Bài giảng Pháp chứng kỹ thuật số - Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính

Dữ liệu điện tử ổn định là dữ liệu điện tử sẽ không bị mất đi khi tắt thiết bị số chứa nó, ví dụ của dữ liệu điện tử ổn định là dữ liệu được lưu trữ trên ổ đĩa cứng của máy tính hay trên thẻ nhớ USB.

Dữ liệu điện tử không ổn định là dữ liệu điện tử sẽ bị mất đi khi tắt thiết bị số chứa nó, ví dụ như dữ liệu trong bộ nhớ RAM. Việc tắt nguồn máy tính có thể sẽ làm mất nên thực hiện memory dumb là việc cần thiết trong nhiều trường hợp

pptx 69 trang thom 05/01/2024 4060
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Pháp chứng kỹ thuật số - Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Bài giảng Pháp chứng kỹ thuật số - Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính

Bài giảng Pháp chứng kỹ thuật số - Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính
Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính 
Giảng viên: TS. Đàm Quang Hồng Hải 
PHÁP CHỨNG KỸ THUẬT SỐ 
Tại sao cần phải điều tra hệ điều hành của máy tính 
Hệ điều hành là phần mềm chạy trên máy tính, dùng để điều hành, quản lý các thiết bị phần cứng và các tài nguyên phần mềm trên máy tính. 
Các thông tin sử dụng máy tính sẽ được ghi nhận bởi hệ điều hành và Pháp chứng viên cần phải tìm hiểu. 
Pháp chứng viên cần có hiểu biết về các Hệ điều hành trên máy tính để khi điều tra có thể tìm kiếm các bằng chứng có liên quan. 
Một số hệ điều hành thông dụng cài đặt trên máy tính như: Windows, Linux, Mac OS .. 
Phân lọai dữ liệu điện tử trên máy tính 
Dữ liệu điện tử ổn định là dữ liệu điện tử sẽ không bị mất đi khi tắt thiết bị số chứa nó, ví dụ của dữ liệu điện tử ổn định là dữ liệu được lưu trữ trên ổ đĩa cứng của máy tính hay trên thẻ nhớ USB. 
Dữ liệu điện tử không ổn định là dữ liệu điện tử sẽ bị mất đi khi tắt thiết bị số chứa nó, ví dụ như dữ liệu trong bộ nhớ RAM. Việc tắt nguồn máy tính có thể sẽ làm mất nên thực hiện memory dumb là việc cần thiết trong nhiều trường hợp. 
Hệ điều hành Windows 
Windows là một họ các hệ điều hành rất thông dụng trên thế giới . 
C ác hệ thống Windows cung cấp một số lượng lớn các thông tin có thể cần thiết cho công tác điều tra. 
Các hệ điều hành Windows thông dụng bao gồm: 
Windows 3.1 
Windows 95/98/Vista/XP/7/8 
Windows NT, Server 2003,2008  
Được sử dụng cho cả máy tính cá nhân lẫn trên máy chủ. 
Các hệ điều hành windows 
Điều tra quá trình hoạt động của Windows 
Nếu Pháp chứng viên có quyền truy cập vào máy tính của người bị tình nghi hoặc máy tính quan tâm, Pháp chứng viên có thể tìm thấy thông tin hoạt động của hệ thống 
Trên máy tính cài Windows, Pháp chứng viên có thể chạy công cụ Event Viewer xem quá trình hoạt động của hệ điều hành 
Công cụ Event Viewer 
Event viewer là một công cụ tích hợp trong Windows cho phép xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều tham số cụ thể như: user, time, computer, services Mỗi khi Windows khởi chạy, hệ điều hành sẽ bắt đầu ghi lại các hoạt động (event) diễn ra bên trong hệ thống. 
Các sự kiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng ta lấy được những thông tin cần thiết một cách nhanh nhất. Công cụ này là một phương tiện hiệu quả giúp Pháp chứng viên khám phá những gì đang xảy ra ở "hậu trường" của hệ điều hành. 
Chọn xem Event theo phân loại 
Một số dữ liệu số quan trọng khi điều tra trong Microsoft Windows 
Recycle bin 
Internet activity - INDEX.DAT files 
Tập tin chứa cookies 
Shortcut files (.LINK) 
Thumbnails (THUMBS.DB) 
Printer spooler 
Recycle bin 
Khi người dùng xóa một tập tin bằng cách bình thường, tập tin bị xóa sẽ được đưa vào Reclycle Bin . 
Dữ liệu trong Recycle bin chứa trong thư mục $Recycle.Bin trong mỗi phân vùng NTFS. 
Internet activity - INDEX.DAT 
Trong quá trình duyệt web, các trình duyệt cần lưu các thông tin như user name, password, cookie, temp file, lịch sử duyệt web... 
Pháp chứng viên có thể tìm kiếm các dữ liệu đã được lưu vào file INDEX.DAT bằng phần mềm Index.dat Scanner 
Tập tin chứa cookies 
Thông tin cookie trong các tập tin .DAT cung cấp các thông tin về thời gian truy cập đến trang web, định danh máy này với trang web đó. 
Shortcut files (.LINK) 
Các file shortcut giúp người dùng truy cập nhanh đến một phần mềm, file khác, đến các trang web và cả các ổ cứng trên mạng. 
Từ các file shortcut, Pháp chứng viên có thể biết được hoạt động thường ngày của đối tượng , các phần mềm thường hay được dùng , các trang web thường được đối tượng truy cập 
Thumbnails (THUMBS.DB) 
Microsoft Windows tạo ra các bản sao thu nhỏ của các file hình ảnh, để giúp cho người dùng có thể xem được nội dung của các hình ảnh mà không cần mở, tiết kiệm thời gian đọc và xử lý file với kích thước đầy đủ. 
Các bản sao thu nhỏ đó gọi là thumbnail và lưu trong các file THUMBS.DB và từ các file THUMBS.DB, 
Pháp chứng viên có thể biết được hình ảnh mà thường ngày của đối tượng hay truy cập và qua đó có thể tìm ra các bằng chứng kỹ thuật số có liên quan đến vụ án. 
Thumbnails 
Printer spooler 
Do mỗi máy in thường chỉ in được mỗi lần 1 file, nên hệ thống cần có một hàng đợi cho việc in ấn các file, hàng đợi này là Printer spooler. 
Khi người dùng yêu cầu in một file, thông tin in sẽ được đưa vào hàng đợi P rinter spooler. Nội dung file in được lưu vào file spool.spl, metadata của file in cần in được lưu vào file shadow.shd. 
Các file trên được lưu vào C:\Windows\System32\spool\printers và k hi in xong thì các file trên sẽ bị xóa. 
Pháp chứng viên có thể kiểm tra được nội dung của hàng đợi cho việc in ấn các file để biết đối tượng còn đang sử dụng máy in của mình không. 
Filesystem trong Windows 
Windows hỗ trợ hai hệ thống tập tin chính: FAT và NTFS. 
FAT16 là File system có từ lâu, từ thời MS-DOS và những phiên bản đầu tiên của Windows như Windows 3.1. 
FAT32 xuất hiện cùng với bản Windows 95 OEM Service Release 2 (OSR2), có không gian địa chỉ 32 bit. 
NTFS (New Technology File System), l à hệ thống tập tin tiêu chuẩn của Windows NT, bao gồm cả  các phiên bản sau này của Windows . 
Registry trong Windows 
Registry là một hệ thống thông tin liên quan máy tính trong hệ điều hành Windows 
Registry lưu tất cả các thông tin về phần cứng, phần mềm, những lựa chọn của người dùng.... 
Pháp chứng viên kiểm tra được nội dung của Registry là yêu cầu tất yếu để biết đối tượng sử dụng máy tính của mình ra sao . 
Con người có có thể nói dối nhưng Registry thì không nói dối. 
Registry là gì 
Registry là một cơ sở dữ liệu dùng để lưu trữ mọi thông số kỹ thuật của Hệ điều hành Windows. 
Khi một phần cứng hoặc phần mềm mới được cài đặt trong Windows, nó sẽ lưu trữ cấu hình vào trong registry. 
Windows đọc các cấu hình trong registry và biết được trình điều khiển nào cần được tải, cài đặt nào cần được áp dụng, và nguồn lực nào cần được phân bổ để thiết bị có thể làm việc. 
Registry ghi nhận tất cả các thông tin khi có thay đổi hoặc chỉnh sửa trong Menu Settings, Control Panel . 
Có thể sử dụng các phần mềm như Regedit, Reg, Forensic Registry EDitor 
Forensic Registry EDitor 
Forensic Registry Editor là phần mềm mã nguồn mở được viết bởi Daniel Gillen trên Linux, Windows cho phép xem và tìm kiếm chứng cớ số trên các vùng ẩn chức Registry 
Nguồn gốc của Registry 
Trước khi có Windows Registry: (DOS, Windows 3.x) , thông tin Hệ điều hành chứa trong các tập tin INI . 
SYSTEM.INI - Tập tin này kiểm soát tất cả các phần cứng trên hệ thống máy tính. WIN.INI - Tập tin này kiểm soát tất cả các màn hình và các ứng dụng trên hệ thống. 
Các ứng dụng khác sử dụng các tập tin INI riêng được liên kết với WIN.INI. 
Từ Windows 9x/NT 3.5 đã đưa ra hệ thống Registry quản lý trên các tập tin System.dat, và User.dat. 
Thông tin thu thập từ Registry 
Cấu hình hệ thống 
Thiết bị trên hệ thống 
Tên người dùng 
Thiết lập cá nhân và Tuỳ chọn cho trình duyệt 
Hoạt động duyệt web 
Các file được mở 
Các chương trình được t hực hiện 
Các mật khẩu 
Windows 9x 
Filename 
Location 
Content 
system.dat 
C:\Windows 
File bảo mật lưu trữ tất cả người dùng . Tất cả các chương trình cài đặt và thiết lập  T hiết lập hệ thống 
user.dat 
Nếu có nhiều người dùng, mỗi người dùng có một tập tin user.dat cá nhân 
windows\profiles\user account 
C:\Windows 
T ập tin chứa thông tin sử dụng mới n hất Cài đặt ưu tiên của người sử dụng 
Windows XP Registry 
Filename 
Location 
Content 
ntuser.dat 
Nếu có nhiều người dùng, mỗi người dùng có một tập tin user.dat cá nhân 
windows\profiles\user account 
\Documents and Settings\user account 
T ập tin bảo mật chứa thông tin sử dụng mới n hất Cài đặt ưu tiên của người sử dụng 
Default 
\Windows\system32\config 
Các t hiết lập hệ thống chuẩn (System settings) 
SAM 
\Windows\system32\config 
Quản lý tài khoản người dùng và thiết lập bảo mật 
Security 
\Windows\system32\config 
T hiết lập bảo mật (Security settings) 
Software 
\Windows\system32\config 
Tất cả các chương trình cài đặt và các thiết lập 
System 
\Windows\system32\config 
Các t hiết lập hệ thống (System settings) 
Windows 7/8 Registry 
Registry được ẩn trong các thư mục và hạn chế truy cập 
HKEY_LOCAL_MACHINE \SYSTEM : \system32\config\system 
HKEY_LOCAL_MACHINE \SAM : \system32\config\sam 
HKEY_LOCAL_MACHINE \SECURITY : \system32\config\security 
HKEY_LOCAL_MACHINE \SOFTWARE : \system32\config\software 
HKEY_USERS \UserProfile :  \winnt\profiles\username 
HKEY_USERS.DEFAULT : \system32\config\default 
Cấu trúc của Registry 
Registry có cấu trúc cây, giống cấu trúc cây thư mục trong cửa sổ Windows Explorer. 
Thông thường có 5 nhánh chính. Mỗi nhánh được giao nhiệm vụ lưu giữ những thông tin đặc trưng riêng biệt. 
Trong các nhánh chính bao gồm rất nhiều khoá và cũng được phân ra để lưu giữ những thông tin đặc trưng riêng. 
Các khoá (K.@.y) chứa các giá trị (Value) là nơi trực tiếp lưu giữ các thông tin, tương tự như tập tin là nơi trực tiếp lưu giữ dữ liệu vậy. 
Nội dung của Registry 
Root Keys 
HKEY_CLASSES_ROOT (HKCR): Lưu những thông tin dùng chung cho toàn bộ hệ thống như kiểu tập tin, các menu, các dữ liệu về hệ thống thường chứa những liên kết đến các file thư viện liên kết động .dll. 
HKEY_CURRENT_USER (HKCU): Lưu những thông tin về phần mềm, các lựa chọn, các thiết lập ... của người dùng đang Logon 
HKEY_LOCAL_MACHINE (HKLM): Lưu những thông tin về hệ thống, phần cứng, phần mềm dùng chung cho tất cả các người dùng. 
HKEY_USERS (HKU): Lưu những thông tin của tất cả các User, mỗi user là một khoá với tên là số ID của user đó, chứa những thông tin đặc trưng của từng User, nó bổ trợ cho nhánh HKEY_CURRENT_USER. 
HKEY_CURRENT_CONFIG (HKCC): Lưu thông tin về phần cứng, các thiết bị ngoại vi, các trình điều khiển (drivers) đang dùng. 
Các kiểu dữ liệu dùng trong Registry 
REG_BINARY: Kiểu nhị phân 32 BIT REG_DWORD: Kiểu Double Word cho phép người dùng nhập theo cơ số 16 (HEX) hoặc cơ số 10 (DECIMAL) REG_EXPAND_SZ: Kiểu chuỗi mở rộng đặc biệt. VD: "%SystemRoot%" thay cho đường dẫn Windows\System32 REG_MULTI_SZ: Một kiểu dữ liệu cho phép người dùng nhập nhiều chuỗi, phân biệt bằng phím Enter để cách dòng. REG_SZ: Kiểu chuỗi thông thường. 
Điều tra trong Registry 
Các R egistry Keys lưu thời gian biến đổi cuối cùng (modified time-stamp) 
Các time-stamp phải sửa dưới dạng Binary 
Thu thập các thông tin liên quan đến địa chỉ Website 
Thu thập các thông tin liên quan đến người dùng – đặc biệt là các user dùng để chat trong Yahoo Messenger, ICQ, 
Các địa chỉ Websites 
Websites 
Điều tra trong Yahoo messenger 
Thông tin các phòng chat 
Danh tính người dùng thay thế 
N gười dùng đăng nhập c uối cùng 
M ật khẩu (có mã hóa ) 
Các liên lạc gần đây 
Tên đăng ký hiện trên màn hình 
Các USB Devices 
Thông tin liên quan đến Mạng 
Các thông tin có thể thu thập từ Registry liên quan đến việc sử dụng Mạng của đối tượng: 
Local groups 
Local users 
Map network drive MRU 
Network Printers 
Thông tin liên quan đến Winzip 
Thông tin sử dụng cuối của đối tượng 
Danh sách các ứng dụng và tên tập tin được mở gần nhất trong Windows 
Thông tin về thời gian của hệ thống 
Thông tin như Timezone trên máy của đối tượng cũng là các thông tin mang lại các đầu mối hữu ích 
Hệ điều hành Linux 
Phiên bản hệ điều hành Linux 1.0 đầu tiên do Linus Torvalds viết vào năm 199 1 tại Đại học Helsinki tại Phần Lan. Hệ điều hành Linux được phát triển và tung ra trên thị trường dưới bản quyền GNU General Public License.  
H ệ điều hành Linux hiện có các nhánh Ubuntu, Fedora, CentOS ..., và chủ yếu được phát triển bởi cộng đồng mã nguồn mở trên khắp thế giới . 
Linux hiên sử dụng rộng rãi trên các Server và trên máy tính cá nhân với khá nhiều phần mềm hỗ trợ phong phú. 
Hệ điều hành Linux 
Hệ thống tập tin trong Linux 
Các hệ thống Linux hiện nay phần lớn sử dụng hệ thống tập tin Ext3 kế thừa từ Ext2. (mới nhất Ext4) 
Bên cạch Ext, còn có các hệ thống Linux khác: 
ReiserFS (Namesys): không còn sử dụng phổ biến . 
XFS (Silicon Graphics ): hệ thống HĐH IRIX xử lý các tập tin rất lớn và thông lượng rất cao. 
JFS (IBM): cho hệ điều hành AIX ,hạt nhân Linux . 
YAFFS2 và JFFS2 là hệ thống tập tin được thiết kế để sử dụng trên flash và lưu trữ nhúng. 
39 
Các thành phần của hệ thống tập tin 
Super Block : là một cấu trúc được tạo tại vị trí bắt đầu hệ thống tập tin. Nó lưu trữ thông tin về hệ thống tập tin như: block-size, free block, thời gian gắn kết (mount) cuối cùng của tập tin . 
Inode (256 byte): Lưu những thông tin về những tập tin và thư mục được tạo ra trong hệ thống tập tin. 
Storageblock : Là vùng lưu dữ liệu thực sự của tập tin và thư mục. Nó chia thành những Data Block. Mỗi block thường chứa 1024 byte. Ngay khi tập tin chỉ có 1 ký tự thì cũng phải cấp phát 1 block để lưu nó. 
40 
Các loại tập tin trong Linux 
Tập tin dữ liệu : Đây là tập tin theo định nghĩa truyền thống, nó là dữ liệu lưu trữ trên các thiết bị lưu trữ như đĩa cứng, CD-ROM , 
Tập tin thư mục : Thư mục không chứa dữ liệu, mà chỉ chứa các thông tin của những tập tin và thư mục con trong nó. Thư mục chứa hai trường của một tập tin là tên tập tin và inode number. 
41 
Các tập tin thiết bị 
Tập tin thiết bị :Hệ thống Unix và Linux xem các thiết bị như là các tập tin. 
Ra vào dữ liệu trên các tập tin này chính là ra vào dữ liệu cho thiết bị. 
Ví dụ khi chúng ta muốn chép dữ liệu ra ổ đĩa A: thì sẽ chép vào tập tin /dev/fd0 hoặc khi chúng ta thực hiện việc in thì dữ liệu vào máy in được đưa vào tập tin tương ứng cho máy in. 
42 
Đơn vị dữ liệu - Data unit 
Đơn vị dữ liệu trong hệ thống tập tin Ext được gọi là khối (block). 
Kích thước mỗi block: 1, 2 hoặc 4K 
Mỗi khối có 1 địa chỉ và được mô tả trong bảng mô tả khối. 
Khi ghi dữ liệu vào một khối, kernel Linux sẽ lấp đầy dữ liệu vào các khối “zeros”. 
43 
Siêu dữ liệu - Metadata 
Metadata: là dữ liệu mô tả file, nó cho biết vị trí lưu trữ các file, kích thước file, thời gian đọc và ghi dữ liệu vào file, các thông tin điều khiển truy nhập. 
(M)odified: L à thời gian cập nhật các nội dung của tập tin hoặc thư mục được sửa đổi. 
(A)ccessed: Đ ược cập nhật khi các nội dung của tập tin hoặc thư mục được đọc. 
(C)hanged: Mốc thời gian khi dữ liệu được chỉnh sửa 
(D)eleted: C ập nhật khi tập tin bị xóa. 
44 
Công cụ nhật ký - Journal Tools 
Là thành phần chỉ có trên Ext3 mà Ext2 không có. 
Nhiệm vụ chính là ghi lại thay đổi metadata trên mỗi block được đánh thứ tự (sequence number) 
Journal bắt đầu với một block mô tả, sau đó tới 1 hay nhiều block dữ liệu, cuối cùng là block xác nhận kết thúc (commit). 
45 
Quản lý phân vùng trên Linux 
Một hệ thống Linux có 1 hoặc nhiều phân vùng được quản lý bởi LVM (Logical volume Manager), được xác định bởi lệnh fdisk -l 
Sự hiện diện của 1 phân vùng LVM được xác định bằng cách kiếm kiểu phân vùng 8e 
46 
Tiến trình khởi động Linux và dịch vụ 
Hiểu về quá trình khởi động của Linux rất quan trọng trong công việc pháp chứng. Quá trình khởi động được mô tả ngắn gọn qua 4 bước như sau: 
Nạp bộ khởi động, tải kernel ở thư mục /boot 
RAM nạp tập tin init.d chứa trình điều khiển thiết bị và module hệ thống tập tin. 
Kernel nạp hệ thống phần cứng. Sau đó, kernel nạp hệ điều hành và bắt đầu tiến trình /sbin/init. 
Khi init khởi động, có 2 cách khởi động để hoàn tất quá trình khởi động: System V và BSD . 
47 
System V 
Cách khởi động phổ biến nhất của Linux. 
Kẻ xâm nhập có thể tạo một script để duy trì liên tục truy cập vào một hệ thống bị xâm nhập. Ta nên xem sét cẩn thận tất cả các kịch bản tham gia vào quá trình khởi động được trong các cuộc điều tra xâm nhập. 
VD: Level 3 sẽ cung cấp một môi trường giao diện điều khiển, trong khi level 5 sẽ xuất ra một môi trường đồ họa 
Run level (1,2,3,5): mô tả các nhiệm vụ/ công cụ mà máy tính sẽ thực hiện. 
Đọc file /etc/inittab để xác định run level 
48 
System V 
Mỗi mục runlevel thực sự là một liên kết mềm với một kịch bản trong file /etc/init.d, sẽ được bắt đầu hoặc dừng lại tùy thuộc vào tên của liên kết. 
Liên kết tên bắt đầu bằng “S” cho thấy thứ tự khởi động và các liên kết bắt đầu với “K” – kill (kết thúc). 
49 
BSD - Berkeley Software Distribution 
Quá trình BSD có một chút phức tạp hơn. Init BSD đọc kịch bản tại /etc/rc xác định các dịch vụ hệ thống có thể chạy. 
BSD đang được sử dụng bởi Slackware và Arch Linux. 
Trong một số trường hợp đây là mức độ cấu hình init, nhưng vấn đề khác cũng có thể bổ sung ở /etc/rc.d. 
Thông tin cấu hình được đọc /etc/rc.conf và các dịch vụ bổ sung để chạy từ /etc/rc.local. 
50 
Các dịch vụ trên linux – Service 
Service (dịch vụ) thường được gọi là daemon là một chương trình xác định chạy ở nền của hệ thống và thường là không tương tác được( non - interactive ). 
Để biết dịch vụ đang chạy ở chạy ở level nào: 
 Code: 	# /sbin/chkconfig – list 
Tất cả các hệ điều hành đều có một tập hợp các dịch vụ để tự động thực thi nhiều hoạt động. 
Các chương trình đó được sử dụng cho nhiều mục đích khác nhau bao gồm: quản lý phần cứng ( hardware ), truy cập mạng ( network access ), theo dõi ( monitoring ), ghi log ( logging ). 
51 
Hierarchy Standard (FHS) 
Tất cả tập tin/thư mục tồn tại dưới thư mục gốc “/”. 
Các hệ thống tập tin như ổ đĩa di động, máy chủ từ xa, đĩa cục bộ sẽ xuất hiện phân cấp và bên dưới hệ hệ thống thư mục gốc (root). 
Hệ thống Filesystem phân cấp trong Linux 
52 
Quyền và thuộc tính files 
Tập tin có thể: đọc (read), ghi (write), thực thi (exec) 
Khi thực hiện các công cụ pháp chứng phải đảm bảo không làm ảnh hưởng đến giá trị của thuộc tính. 
Thuộc tính có thể quan tâm khi điều tra gồm: 
(A): không cập nhật 
(a): chỉ thêm 
(i): bất biến 
 (j): dữ liệu nhật ký được kích hoạt 
Quyền sở hữu tập tin, thư mục dựa vào UID (user id). GID (group id) 
53 
Tập tin ẩn (Hidden files) 
Trên hệ thống Linux, các tập tin ẩn được sử dụng bằng cách thêm vào đầu tên của tập tin bằng một dấu chấm “.” 
Các tập tin ẩn và thư mục ẩn là cách rất thô sơ để che giấu dữ liệu và không được sử dụng công khai. 
Những tập tin mặc định sẽ không được hiển thị trong hầu hết các ứng dụng đồ họa và tiện ích dòng lệnh. 
54 
Thư mục /tmp (temp) 
/tmp được gọi là “bãi rác ảo” của hệ thống Linux . 
=> Là tiền đề cho kẻ tấn công đặt dữ liệu vào hệ thống trong khi hầu hết người dùng không bao giờ kiểm tra sự tồn tại các tập tin xấu trong thư mục này. 
Tất cả người dùng có thể ghi dữ liệu ở thư mục này. 
Nó thường được dùng cho các tập tin tạm thời của một user cụ thể. 
55 
Mật khẩu người dùng trong Linux 
Thông tin liên quan đến tài khoản người dùng nằm trong file “/etc/passwd”. 
Tập tin /etc/passwd thường là tập tin khá dài, ngay cả trên một hệ thống sử dụng độc lập. 
Nguy cơ bảo mật khá lớn từ file passwd là tất cả người dùng trên hệ thống đều có thể đọc được. 
Tập tin passwd chứa một danh sách người dùng và đường dẫn đầy đủ cho thư mục chứa các tập tin cá nhân của họ. 
56 
Tập tin /etc/passwd 
Một dòng điển hình trong file “/etc/passwd”: forensics:x:500:500::/home/forensics:/bin/bash 
Username : forensics 
Hash password : x 
Id của người dùng : 500 
Id group của người dùng : 500 
Tên đầy đủ của người sử dụng : (để trống) 
Đường dẫn chính của thư mục người dùng: /home/forensics 
Chương trình chạy lúc đăng nhập ban đầu (thường là shell mặc định của người dùng) : /bin/bash 
57 
Tập tin /etc/shadow 
Hash password của các tài khoản người dùng thường được lưu trữ trong file “/etc/shadow” để giới hạn phạm vi tấn công cục bộ. 
root: $1$gsGAI2/j$jWMnLc0zHFtlBDveRqw3i/ :139:0:99999:7::: 
Username : root 
Mật khẩu đã được mã hóa: bôi đỏ 
Số ngày mật khẩu thay đổi lần cuối: 139 
Ngày tối thiểu thay đổi mật khẩu: 0 
Số lần nhập mật khẩu tối đa : 9999 
Số ngày cảnh báo hết hạn ngừơi sử dụng: 9 
Ngày hết hạn tuyệt đối: 7 
Dự trữ để dùng trong tương lai 
58 
Thư mục Home và Log files 
Trên môi trường GNOME, các thư mục mặc định của người dùng là : Desktop, Documents, Downloads, Music, Pictures, Public, Templates, Video. 
Khi người dùng kết nối ssh với một máy chủ từ xa bằng tên máy hoặc địa chỉ IP và khóa công khai thì được ghi nhận vào file .ssh/known_hosts 
Ngoài ra: Thư mục ssh chứa các tập tin liên quan tới việc sử dụng Secure Shell (ssh) của người dùng. 
59 
Thư mục Home 
Desktop: 	– Các thư mục nằm trên Desktop của người 	dùng. 
Documents: 	– Chứa các file tài liệu văn bản, bảng tính, 	thuyết trình và các file tương tự. 
Downloads: 	– Các tập tin tải về từ máy chủ từ xa. 
Music: 	– Vị trí mặc định lưu các file nhạc. 
Pictures: 	– Vị trí mặc định lưu các file hình ảnh. 
Public : 	–Tập tin được chia sẻ với những người 	 khác. 
Templates: 	– Giữ các mẫu tài liệu. 
Videos: 	– Vị trí mặc định cho video. 
60 
Thư mục Home 
Ngoài các thư mục “user-accessible” còn có các tập tin và các thư mục ẩn. Một số có thể chứa dữ liệu pháp lý (được tự động tạo ra hoặc là do hành động của người dùng) 
Khi một tài khoản người dùng bị xóa khỏi hệ thống Unix, các thư mục, tập tin lưu vết có thể còn sót lại. Khi đó tìm kiếm trong các thư mục bổ sung trong thư mục “/home” có thể còn chứa dữ liệu người dùng cũ. 
61 
Thư mục Home 
Thư mục ẩn “.gconf ” chứa các tập tin cấu hình ứng dụng GNOME khác nhau theo cấu trúc thư mục. 
Điển hình là thư mục “.gconf/apps/nautilus/desktop-metadata /,” chứa các thư mục con cho bất kỳ phương triện truyền thông nào xử lý bởi GNOME qua các tập tin “%gconf.xml ” . 
62 
Bản ghi (Log Files) 
Được lưu trữ tại thư mục: “/var/log ” 
Thường được lưu trữ trong văn bản rõ ràng, với 1 dòng cho mỗi sự kiện. 
Bao gồm 2 kiểu chính: 
	 + Các bản ghi được tạo ra bởi người sử dụng hoặc do 	các hoạt động theo dõi. 
	+ Các bản ghi được tạo ra bởi hoạt động hệ thống . 
63 
Bản ghi (Log Files) 
Thông tin phân tích đăng nhập của người dùng trên hệ thống Linux được lưu trữ trong 3 tập tin chính: 
	+ “/var/run/utmp,” 
	+ “/ var/log/wtmp ,” 
	+ “/var/log/lastlog .” 
Ngoài ra còn có Syslog , hoạt động trên mô hình client-server, cho phép sự kiện được ghi lại để điều khiển từ xa. 
S yslog được truyền qua giao thức UDP ( các nguồn tin không được xác thực và không tin cậy) , có thể giúp cho kẻ tấn công giả mạo tin nhắn từ xa vào S yslog . 
64 
/var/run/wtmp 
/var/log/wtmp 
/var/log/lastlog 
Cơ chế lập lịch (Scheduling Tasks) 
Hệ thống Linux có 2 cơ chế chính để lên lịch cho một công việc thực thi trong tương lai: 
Tại một thời điểm : 
	 Chạy nhiệm vụ 1 lần, tại 1 thời điểm cụ thể trong tương lai . 
Định kỳ : 
	 Thực hiện lặp đi lặp lại quy trình theo chu kỳ (hàng giờ, ngày, tháng,) 
67 
Cơ chế lập lịch (Scheduling Tasks) 
Bất kỳ hoạt động dự kiến nào được người dùng chọn sẽ được tìm thấy trong “/var/spool/cron,” . Và có thể xem các tiến trình định kỳ qua các thư mục tương ứng như: 
 “/etc/cron.daily,” 
 “/etc/cron.weekly,” 
 “/etc/cron.monthly.” 
Có thể nói đây cũng là đích nhắm của nhiều kẻ tấn công vì có thể lợi dụng cơ chế này để tấn công, duy trì hoạt động của hệ thống sau khi đã bị xâm nhập. 
68 
Hết bài 5 

File đính kèm:

  • pptxbai_giang_phap_chung_ky_thuat_so_bai_5_dieu_tra_phap_chung_t.pptx