Bài giảng Pháp chứng kỹ thuật số: Bài 5 - TS. Đàm Hồng Hải

Bài giảng "Pháp chứng kỹ thuật số - Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính" cung cấp cho người học các kiến thức: Tại sao cần phải điều tra hệ điều hành của máy tính, hệ điều hành Windows, điều tra quá trình hoạt động của Windows,... Mời các bạn cùng tham khảo nội dung chi tiết.
Nội dung trích xuất từ tài liệu:
Bài giảng Pháp chứng kỹ thuật số: Bài 5 - TS. Đàm Hồng Hải PHÁPCHỨNGKỸTHUẬTSỐ Bài5:Điềutraphápchứngtrênhệ điềuhànhmáytínhGiảngviên:TS.ĐàmQuangHồngHảiTạisaocầnphảiđiềutrahệđiềuhànhcủamáytính• Hệđiềuhànhlàphầnmềmchạytrênmáytính,dùngđể điềuhành,quảnlýcácthiếtbịphầncứngvàcáctài nguyênphầnmềmtrênmáytính.• Cácthôngtinsửdụngmáytínhsẽđượcghinhậnbởihệ điềuhànhvàPhápchứngviêncầnphảitìmhiểu.• PhápchứngviêncầncóhiểubiếtvềcácHệđiềuhành trênmáytínhđểkhiđiềutracóthểtìmkiếmcácbằng chứngcóliênquan.• Mộtsốhệđiềuhànhthôngdụngcàiđặttrênmáytính như:Windows,Linux,MacOS..Phânlọaidữliệuđiệntửtrênmáytính• Dữliệuđiệntửổnđịnhlàdữliệuđiệntửsẽ khôngbịmấtđikhitắtthiếtbịsốchứanó,vídụ củadữliệuđiệntửổnđịnhlàdữliệuđượclưu trữtrênổđĩacứngcủamáytínhhaytrênthẻnhớ USB.• Dữliệuđiệntửkhôngổnđịnhlàdữliệuđiện tửsẽbịmấtđikhitắtthiếtbịsốchứanó,vídụ nhưdữliệutrongbộnhớRAM.Việctắtnguồn máytínhcóthểsẽlàmmấtnênthựchiệnmemory dumblàviệccầnthiếttrongnhiềutrườnghợp.HệđiềuhànhWindows• Windowslàmộthọcáchệđiềuhànhrấtthông dụngtrênthếgiới.• CáchệthốngWindowscungcấpmộtsốlượng lớncácthôngtincóthểcầnthiếtchocôngtácđiều tra.• CáchệđiềuhànhWindowsthôngdụngbaogồm: • Windows3.1 • Windows95/98/Vista/XP/7/8 • WindowsNT,Server2003,2008…• Đượcsửdụngchocảmáytínhcánhânlẫntrên máychủ.CáchệđiềuhànhwindowsĐiềutraquátrìnhhoạtđộngcủaWindows• NếuPhápchứngviêncóquyềntruycậpvàomáytínhcủa ngườibịtìnhnghihoặcmáytínhquantâm,Phápchứng viêncóthểtìmthấythôngtinhoạtđộngcủahệthống• TrênmáytínhcàiWindows,Phápchứngviêncóthểchạy côngcụEventViewerxemquátrìnhhoạtđộngcủahệ điềuhànhCôngcụEventViewer• EventviewerlàmộtcôngcụtíchhợptrongWindowscho phépxemlạicácsựkiệnđãxảyratronghệthốngmột cáchchitiếtvớinhiềuthamsốcụthểnhư:user,time, computer,services…MỗikhiWindowskhởichạy,hệ điềuhànhsẽbắtđầughilạicáchoạtđộng(event)diễnra bêntronghệthống.• Cácsựkiệnrờirạcđượclọclạithànhnhữngsựkiện giốngnhaugiúpchúngtalấyđượcnhữngthôngtincần thiếtmộtcáchnhanhnhất.Côngcụnàylàmộtphương tiệnhiệuquảgiúpPhápchứngviênkhámphánhữnggì đangxảyraởhậutrườngcủahệđiềuhành.ChọnxemEventtheophânloạiMộtsốdữliệusốquantrọngkhiđiềutratrongMicrosoftWindows• Recyclebin• InternetactivityINDEX.DATfiles• Tậptinchứacookies• Shortcutfiles(.LINK)• Thumbnails(THUMBS.DB)• PrinterspoolerRecyclebin• Khingườidùngxóamộttậptinbằngcáchbình thường,tậptinbịxóasẽđượcđưavàoReclycle Bin.• DữliệutrongRecyclebinchứatrongthưmục $Recycle.BintrongmỗiphânvùngNTFS.InternetactivityINDEX.DAT• Trongquátrìnhduyệtweb,cáctrìnhduyệtcầnlưu cácthôngtinnhưusername,password,cookie, tempfile,lịchsửduyệtweb...• Phápchứngviêncóthểtìmkiếmcácdữliệuđã đượclưuvàofileINDEX.DATbằngphầnmềm Index.datScannerTậptinchứacookies• Thôngtincookietrongcáctậptin.DATcungcấp cácthôngtinvềthờigiantruycậpđếntrangweb, địnhdanhmáynàyvớitrangwebđó.Shortcutfiles(.LINK)• Cácfileshortcutgiúpngườidùngtruycậpnhanhđếnmột phầnmềm,filekhác,đếncáctrangwebvàcảcácổcứng trênmạng.• Từcácfileshortcut,Phápchứngviêncóthểbiếtđược hoạtđộngthườngngàycủađốitượng,cácphầnmềm thườnghayđượcdùng,cáctrangwebthườngđượcđối tượngtruycậpThumbnails(THUMBS.DB)• MicrosoftWindowstạoracácbảnsaothunhỏcủa cácfilehìnhảnh,đểgiúpchongườidùngcóthể xemđượcnộidungcủacáchìnhảnhmàkhông cầnmở,tiếtkiệmthờigianđọcvàxửlýfilevới kíchthướcđầyđủ.• Cácbảnsaothunhỏđógọilàthumbnailvàlưu trongcácfileTHUMBS.DBvàtừcácfile THUMBS.DB,• Phápchứngviêncóthểbiếtđượchìnhảnhmà thườngngàycủađốitượnghaytruycậpvàquađó cóthểtìmracácbằngchứngkỹthuậtsốcóliên quanđếnvụán.ThumbnailsPrinterspooler• Domỗimáyinthườngchỉinđượcmỗilần1file,nênhệ thốngcầncómộthàngđợichoviệcinấncácfile,hàng đợinàylàPrinterspooler.• Khingườidùngyêucầuinmộtfile,thôngtininsẽđược đưavàohàngđợiPrinterspooler.Nộidungfileinđược lưuvàofilespool.spl,metadatacủafileincầninđượclưu vàofile ...