Pháp chứng kỹ thuật số - Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính - Đàm Quang Hồng Hải
Được lưu trữ tại thư mục: “/var/log”
Thường được lưu trữ trong văn bản rõ ràng, với 1 dòng cho mỗi sự kiện.
Bao gồm 2 kiểu chính:
+ Các bản ghi được tạo ra bởi người sử dụng hoặc do các hoạt động theo dõi.
+ Các bản ghi được tạo ra bởi hoạt động hệ thống.
69 trang |
Chia sẻ: dntpro1256 | Lượt xem: 636 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Pháp chứng kỹ thuật số - Bài 5: Điều tra pháp chứng trên hệ điều hành máy tính - Đàm Quang Hồng Hải, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Bài 5: Điều tra pháp chứng trên hệ điều hành máy tínhGiảng viên: TS. Đàm Quang Hồng HảiPHÁP CHỨNG KỸ THUẬT SỐTại sao cần phải điều tra hệ điều hành của máy tínhHệ điều hành là phần mềm chạy trên máy tính, dùng để điều hành, quản lý các thiết bị phần cứng và các tài nguyên phần mềm trên máy tính.Các thông tin sử dụng máy tính sẽ được ghi nhận bởi hệ điều hành và Pháp chứng viên cần phải tìm hiểu.Pháp chứng viên cần có hiểu biết về các Hệ điều hành trên máy tính để khi điều tra có thể tìm kiếm các bằng chứng có liên quan.Một số hệ điều hành thông dụng cài đặt trên máy tính như: Windows, Linux, Mac OS ..Phân lọai dữ liệu điện tử trên máy tínhDữ liệu điện tử ổn định là dữ liệu điện tử sẽ không bị mất đi khi tắt thiết bị số chứa nó, ví dụ của dữ liệu điện tử ổn định là dữ liệu được lưu trữ trên ổ đĩa cứng của máy tính hay trên thẻ nhớ USB.Dữ liệu điện tử không ổn định là dữ liệu điện tử sẽ bị mất đi khi tắt thiết bị số chứa nó, ví dụ như dữ liệu trong bộ nhớ RAM. Việc tắt nguồn máy tính có thể sẽ làm mất nên thực hiện memory dumb là việc cần thiết trong nhiều trường hợp.Hệ điều hành Windows Windows là một họ các hệ điều hành rất thông dụng trên thế giới .Các hệ thống Windows cung cấp một số lượng lớn các thông tin có thể cần thiết cho công tác điều tra.Các hệ điều hành Windows thông dụng bao gồm:Windows 3.1Windows 95/98/Vista/XP/7/8Windows NT, Server 2003,2008 Được sử dụng cho cả máy tính cá nhân lẫn trên máy chủ.Các hệ điều hành windowsĐiều tra quá trình hoạt động của WindowsNếu Pháp chứng viên có quyền truy cập vào máy tính của người bị tình nghi hoặc máy tính quan tâm, Pháp chứng viên có thể tìm thấy thông tin hoạt động của hệ thống Trên máy tính cài Windows, Pháp chứng viên có thể chạy công cụ Event Viewer xem quá trình hoạt động của hệ điều hànhCông cụ Event Viewer Event viewer là một công cụ tích hợp trong Windows cho phép xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều tham số cụ thể như: user, time, computer, services Mỗi khi Windows khởi chạy, hệ điều hành sẽ bắt đầu ghi lại các hoạt động (event) diễn ra bên trong hệ thống.Các sự kiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng ta lấy được những thông tin cần thiết một cách nhanh nhất. Công cụ này là một phương tiện hiệu quả giúp Pháp chứng viên khám phá những gì đang xảy ra ở "hậu trường" của hệ điều hành.Chọn xem Event theo phân loạiMột số dữ liệu số quan trọng khi điều tra trong Microsoft Windows Recycle binInternet activity - INDEX.DAT filesTập tin chứa cookiesShortcut files (.LINK)Thumbnails (THUMBS.DB)Printer spoolerRecycle binKhi người dùng xóa một tập tin bằng cách bình thường, tập tin bị xóa sẽ được đưa vào Reclycle Bin.Dữ liệu trong Recycle bin chứa trong thư mục $Recycle.Bin trong mỗi phân vùng NTFS.Internet activity - INDEX.DATTrong quá trình duyệt web, các trình duyệt cần lưu các thông tin như user name, password, cookie, temp file, lịch sử duyệt web... Pháp chứng viên có thể tìm kiếm các dữ liệu đã được lưu vào file INDEX.DAT bằng phần mềm Index.dat ScannerTập tin chứa cookiesThông tin cookie trong các tập tin .DAT cung cấp các thông tin về thời gian truy cập đến trang web, định danh máy này với trang web đó. Shortcut files (.LINK)Các file shortcut giúp người dùng truy cập nhanh đến một phần mềm, file khác, đến các trang web và cả các ổ cứng trên mạng. Từ các file shortcut, Pháp chứng viên có thể biết được hoạt động thường ngày của đối tượng, các phần mềm thường hay được dùng, các trang web thường được đối tượng truy cậpThumbnails (THUMBS.DB)Microsoft Windows tạo ra các bản sao thu nhỏ của các file hình ảnh, để giúp cho người dùng có thể xem được nội dung của các hình ảnh mà không cần mở, tiết kiệm thời gian đọc và xử lý file với kích thước đầy đủ.Các bản sao thu nhỏ đó gọi là thumbnail và lưu trong các file THUMBS.DB và từ các file THUMBS.DB, Pháp chứng viên có thể biết được hình ảnh mà thường ngày của đối tượng hay truy cập và qua đó có thể tìm ra các bằng chứng kỹ thuật số có liên quan đến vụ án.ThumbnailsPrinter spoolerDo mỗi máy in thường chỉ in được mỗi lần 1 file, nên hệ thống cần có một hàng đợi cho việc in ấn các file, hàng đợi này là Printer spooler. Khi người dùng yêu cầu in một file, thông tin in sẽ được đưa vào hàng đợi Printer spooler. Nội dung file in được lưu vào file spool.spl, metadata của file in cần in được lưu vào file shadow.shd. Các file trên được lưu vào C:\Windows\System32\spool\printers và khi in xong thì các file trên sẽ bị xóa. Pháp chứng viên có thể kiểm tra được nội dung của hàng đợi cho việc in ấn các file để biết đối tượng còn đang sử dụng máy in của mình không.Filesystem trong WindowsWindows hỗ trợ hai hệ thống tập tin chính: FAT và NTFS. FAT16 là File system có từ lâu, từ thời MS-DOS và những phiên bản đầu tiên của Windows như Windows 3.1.FAT32 xuất hiện cùng với bản Windows 95 OEM Service Release 2 (OSR2), có không gian địa chỉ 32 bit. NTFS (New Technology File System), là hệ thống tập tin tiêu chuẩn của Windows NT, bao gồm cả các phiên bản sau này của Windows.Registry trong WindowsRegistry là một hệ thống thông tin liên quan máy tính trong hệ điều hành WindowsRegistry lưu tất cả các thông tin về phần cứng, phần mềm, những lựa chọn của người dùng....Pháp chứng viên kiểm tra được nội dung của Registry là yêu cầu tất yếu để biết đối tượng sử dụng máy tính của mình ra sao.Con người có có thể nói dối nhưng Registry thì không nói dối.Registry là gìRegistry là một cơ sở dữ liệu dùng để lưu trữ mọi thông số kỹ thuật của Hệ điều hành Windows. Khi một phần cứng hoặc phần mềm mới được cài đặt trong Windows, nó sẽ lưu trữ cấu hình vào trong registry.Windows đọc các cấu hình trong registry và biết được trình điều khiển nào cần được tải, cài đặt nào cần được áp dụng, và nguồn lực nào cần được phân bổ để thiết bị có thể làm việc.Registry ghi nhận tất cả các thông tin khi có thay đổi hoặc chỉnh sửa trong Menu Settings, Control Panel.Có thể sử dụng các phần mềm như Regedit, Reg, Forensic Registry EDitorForensic Registry EDitorForensic Registry Editor là phần mềm mã nguồn mở được viết bởi Daniel Gillen trên Linux, Windows cho phép xem và tìm kiếm chứng cớ số trên các vùng ẩn chức RegistryNguồn gốc của RegistryTrước khi có Windows Registry: (DOS, Windows 3.x), thông tin Hệ điều hành chứa trong các tập tin INI.SYSTEM.INI - Tập tin này kiểm soát tất cả các phần cứng trên hệ thống máy tính. WIN.INI - Tập tin này kiểm soát tất cả các màn hình và các ứng dụng trên hệ thống.Các ứng dụng khác sử dụng các tập tin INI riêng được liên kết với WIN.INI.Từ Windows 9x/NT 3.5 đã đưa ra hệ thống Registry quản lý trên các tập tin System.dat, và User.dat.Thông tin thu thập từ RegistryCấu hình hệ thốngThiết bị trên hệ thống Tên người dùng Thiết lập cá nhân và Tuỳ chọn cho trình duyệtHoạt động duyệt web Các file được mởCác chương trình được thực hiệnCác mật khẩuWindows 9xFilenameLocationContentsystem.datC:\WindowsFile bảo mật lưu trữ tất cả người dùng.Tất cả các chương trình cài đặt và thiết lập Thiết lập hệ thốnguser.datNếu có nhiều người dùng, mỗi người dùng có một tập tin user.dat cá nhânwindows\profiles\user accountC:\WindowsTập tin chứa thông tin sử dụng mới nhất Cài đặt ưu tiên của người sử dụngWindows XP RegistryFilenameLocationContentntuser.datNếu có nhiều người dùng, mỗi người dùng có một tập tin user.dat cá nhânwindows\profiles\user account\Documents and Settings\user accountTập tin bảo mật chứa thông tin sử dụng mới nhất Cài đặt ưu tiên của người sử dụngDefault\Windows\system32\configCác thiết lập hệ thống chuẩn (System settings)SAM\Windows\system32\configQuản lý tài khoản người dùng và thiết lập bảo mậtSecurity\Windows\system32\configThiết lập bảo mật (Security settings)Software\Windows\system32\configTất cả các chương trình cài đặt và các thiết lậpSystem\Windows\system32\configCác thiết lập hệ thống (System settings)Windows 7/8 RegistryRegistry được ẩn trong các thư mục và hạn chế truy cậpHKEY_LOCAL_MACHINE \SYSTEM : \system32\config\systemHKEY_LOCAL_MACHINE \SAM : \system32\config\samHKEY_LOCAL_MACHINE \SECURITY : \system32\config\securityHKEY_LOCAL_MACHINE \SOFTWARE : \system32\config\softwareHKEY_USERS \UserProfile : \winnt\profiles\usernameHKEY_USERS.DEFAULT : \system32\config\defaultCấu trúc của RegistryRegistry có cấu trúc cây, giống cấu trúc cây thư mục trong cửa sổ Windows Explorer. Thông thường có 5 nhánh chính. Mỗi nhánh được giao nhiệm vụ lưu giữ những thông tin đặc trưng riêng biệt. Trong các nhánh chính bao gồm rất nhiều khoá và cũng được phân ra để lưu giữ những thông tin đặc trưng riêng. Các khoá (K.@.y) chứa các giá trị (Value) là nơi trực tiếp lưu giữ các thông tin, tương tự như tập tin là nơi trực tiếp lưu giữ dữ liệu vậy.Nội dung của RegistryRoot Keys HKEY_CLASSES_ROOT (HKCR): Lưu những thông tin dùng chung cho toàn bộ hệ thống như kiểu tập tin, các menu, các dữ liệu về hệ thống thường chứa những liên kết đến các file thư viện liên kết động .dll. HKEY_CURRENT_USER (HKCU): Lưu những thông tin về phần mềm, các lựa chọn, các thiết lập ... của người dùng đang Logon HKEY_LOCAL_MACHINE (HKLM): Lưu những thông tin về hệ thống, phần cứng, phần mềm dùng chung cho tất cả các người dùng.HKEY_USERS (HKU): Lưu những thông tin của tất cả các User, mỗi user là một khoá với tên là số ID của user đó, chứa những thông tin đặc trưng của từng User, nó bổ trợ cho nhánh HKEY_CURRENT_USER.HKEY_CURRENT_CONFIG (HKCC): Lưu thông tin về phần cứng, các thiết bị ngoại vi, các trình điều khiển (drivers) đang dùng. Các kiểu dữ liệu dùng trong RegistryREG_BINARY: Kiểu nhị phân 32 BIT REG_DWORD: Kiểu Double Word cho phép người dùng nhập theo cơ số 16 (HEX) hoặc cơ số 10 (DECIMAL) REG_EXPAND_SZ: Kiểu chuỗi mở rộng đặc biệt. VD: "%SystemRoot%" thay cho đường dẫn Windows\System32 REG_MULTI_SZ: Một kiểu dữ liệu cho phép người dùng nhập nhiều chuỗi, phân biệt bằng phím Enter để cách dòng. REG_SZ: Kiểu chuỗi thông thường.Điều tra trong RegistryCác Registry Keys lưu thời gian biến đổi cuối cùng (modified time-stamp)Các time-stamp phải sửa dưới dạng BinaryThu thập các thông tin liên quan đến địa chỉ WebsiteThu thập các thông tin liên quan đến người dùng – đặc biệt là các user dùng để chat trong Yahoo Messenger, ICQ, Các địa chỉ WebsitesWebsites Điều tra trong Yahoo messengerThông tin các phòng chatDanh tính người dùng thay thế Người dùng đăng nhập cuối cùng Mật khẩu (có mã hóa) Các liên lạc gần đây Tên đăng ký hiện trên màn hìnhCác USB DevicesThông tin liên quan đến Mạng Các thông tin có thể thu thập từ Registry liên quan đến việc sử dụng Mạng của đối tượng:Local groupsLocal users Map network drive MRUNetwork PrintersThông tin liên quan đến WinzipThông tin sử dụng cuối của đối tượng Danh sách các ứng dụng và tên tập tin được mở gần nhất trong WindowsThông tin về thời gian của hệ thốngThông tin như Timezone trên máy của đối tượng cũng là các thông tin mang lại các đầu mối hữu íchHệ điều hành LinuxPhiên bản hệ điều hành Linux 1.0 đầu tiên do Linus Torvalds viết vào năm 1991 tại Đại học Helsinki tại Phần Lan. Hệ điều hành Linux được phát triển và tung ra trên thị trường dưới bản quyền GNU General Public License. Hệ điều hành Linux hiện có các nhánh Ubuntu, Fedora, CentOS..., và chủ yếu được phát triển bởi cộng đồng mã nguồn mở trên khắp thế giới.Linux hiên sử dụng rộng rãi trên các Server và trên máy tính cá nhân với khá nhiều phần mềm hỗ trợ phong phú.Hệ điều hành LinuxHệ thống tập tin trong LinuxCác hệ thống Linux hiện nay phần lớn sử dụng hệ thống tập tin Ext3 kế thừa từ Ext2. (mới nhất Ext4)Bên cạch Ext, còn có các hệ thống Linux khác:ReiserFS (Namesys): không còn sử dụng phổ biến.XFS (Silicon Graphics ): hệ thống HĐH IRIX xử lý các tập tin rất lớn và thông lượng rất cao.JFS (IBM): cho hệ điều hành AIX ,hạt nhân Linux.YAFFS2 và JFFS2 là hệ thống tập tin được thiết kế để sử dụng trên flash và lưu trữ nhúng.39Các thành phần của hệ thống tập tin Super Block: là một cấu trúc được tạo tại vị trí bắt đầu hệ thống tập tin. Nó lưu trữ thông tin về hệ thống tập tin như: block-size, free block, thời gian gắn kết (mount) cuối cùng của tập tin.Inode (256 byte): Lưu những thông tin về những tập tin và thư mục được tạo ra trong hệ thống tập tin.Storageblock: Là vùng lưu dữ liệu thực sự của tập tin và thư mục. Nó chia thành những Data Block. Mỗi block thường chứa 1024 byte. Ngay khi tập tin chỉ có 1 ký tự thì cũng phải cấp phát 1 block để lưu nó.40Các loại tập tin trong LinuxTập tin dữ liệu: Đây là tập tin theo định nghĩa truyền thống, nó là dữ liệu lưu trữ trên các thiết bị lưu trữ như đĩa cứng, CD-ROM,Tập tin thư mục: Thư mục không chứa dữ liệu, mà chỉ chứa các thông tin của những tập tin và thư mục con trong nó. Thư mục chứa hai trường của một tập tin là tên tập tin và inode number. 41Các tập tin thiết bịTập tin thiết bị :Hệ thống Unix và Linux xem các thiết bị như là các tập tin. Ra vào dữ liệu trên các tập tin này chính là ra vào dữ liệu cho thiết bị. Ví dụ khi chúng ta muốn chép dữ liệu ra ổ đĩa A: thì sẽ chép vào tập tin /dev/fd0 hoặc khi chúng ta thực hiện việc in thì dữ liệu vào máy in được đưa vào tập tin tương ứng cho máy in. 42Đơn vị dữ liệu - Data unit Đơn vị dữ liệu trong hệ thống tập tin Ext được gọi là khối (block).Kích thước mỗi block: 1, 2 hoặc 4KMỗi khối có 1 địa chỉ và được mô tả trong bảng mô tả khối.Khi ghi dữ liệu vào một khối, kernel Linux sẽ lấp đầy dữ liệu vào các khối “zeros”.43Siêu dữ liệu - Metadata Metadata: là dữ liệu mô tả file, nó cho biết vị trí lưu trữ các file, kích thước file, thời gian đọc và ghi dữ liệu vào file, các thông tin điều khiển truy nhập.(M)odified: Là thời gian cập nhật các nội dung của tập tin hoặc thư mục được sửa đổi.(A)ccessed: Được cập nhật khi các nội dung của tập tin hoặc thư mục được đọc. (C)hanged: Mốc thời gian khi dữ liệu được chỉnh sửa(D)eleted: Cập nhật khi tập tin bị xóa.44Công cụ nhật ký - Journal ToolsLà thành phần chỉ có trên Ext3 mà Ext2 không có.Nhiệm vụ chính là ghi lại thay đổi metadata trên mỗi block được đánh thứ tự (sequence number)Journal bắt đầu với một block mô tả, sau đó tới 1 hay nhiều block dữ liệu, cuối cùng là block xác nhận kết thúc (commit).45Quản lý phân vùng trên LinuxMột hệ thống Linux có 1 hoặc nhiều phân vùng được quản lý bởi LVM (Logical volume Manager), được xác định bởi lệnh fdisk -lSự hiện diện của 1 phân vùng LVM được xác định bằng cách kiếm kiểu phân vùng 8e46Tiến trình khởi động Linux và dịch vụHiểu về quá trình khởi động của Linux rất quan trọng trong công việc pháp chứng. Quá trình khởi động được mô tả ngắn gọn qua 4 bước như sau: Nạp bộ khởi động, tải kernel ở thư mục /bootRAM nạp tập tin init.d chứa trình điều khiển thiết bị và module hệ thống tập tin.Kernel nạp hệ thống phần cứng. Sau đó, kernel nạp hệ điều hành và bắt đầu tiến trình /sbin/init.Khi init khởi động, có 2 cách khởi động để hoàn tất quá trình khởi động: System V và BSD.47System VCách khởi động phổ biến nhất của Linux.Kẻ xâm nhập có thể tạo một script để duy trì liên tục truy cập vào một hệ thống bị xâm nhập. Ta nên xem sét cẩn thận tất cả các kịch bản tham gia vào quá trình khởi động được trong các cuộc điều tra xâm nhập.VD: Level 3 sẽ cung cấp một môi trường giao diện điều khiển, trong khi level 5 sẽ xuất ra một môi trường đồ họaRun level (1,2,3,5): mô tả các nhiệm vụ/ công cụ mà máy tính sẽ thực hiện. Đọc file /etc/inittab để xác định run level48System V Mỗi mục runlevel thực sự là một liên kết mềm với một kịch bản trong file /etc/init.d, sẽ được bắt đầu hoặc dừng lại tùy thuộc vào tên của liên kết. Liên kết tên bắt đầu bằng “S” cho thấy thứ tự khởi động và các liên kết bắt đầu với “K” – kill (kết thúc).49BSD - Berkeley Software DistributionQuá trình BSD có một chút phức tạp hơn. Init BSD đọc kịch bản tại /etc/rc xác định các dịch vụ hệ thống có thể chạy.BSD đang được sử dụng bởi Slackware và Arch Linux.Trong một số trường hợp đây là mức độ cấu hình init, nhưng vấn đề khác cũng có thể bổ sung ở /etc/rc.d. Thông tin cấu hình được đọc /etc/rc.conf và các dịch vụ bổ sung để chạy từ /etc/rc.local. 50Các dịch vụ trên linux – Service Service (dịch vụ) thường được gọi là daemon là một chương trình xác định chạy ở nền của hệ thống và thường là không tương tác được(non-interactive). Để biết dịch vụ đang chạy ở chạy ở level nào: Code: # /sbin/chkconfig – listTất cả các hệ điều hành đều có một tập hợp các dịch vụ để tự động thực thi nhiều hoạt động.Các chương trình đó được sử dụng cho nhiều mục đích khác nhau bao gồm: quản lý phần cứng (hardware), truy cập mạng (network access), theo dõi (monitoring), ghi log (logging). 51Hierarchy Standard (FHS)Tất cả tập tin/thư mục tồn tại dưới thư mục gốc “/”.Các hệ thống tập tin như ổ đĩa di động, máy chủ từ xa, đĩa cục bộ sẽ xuất hiện phân cấp và bên dưới hệ hệ thống thư mục gốc (root).Hệ thống Filesystem phân cấp trong Linux 52Quyền và thuộc tính filesTập tin có thể: đọc (read), ghi (write), thực thi (exec)Khi thực hiện các công cụ pháp chứng phải đảm bảo không làm ảnh hưởng đến giá trị của thuộc tính.Thuộc tính có thể quan tâm khi điều tra gồm:(A): không cập nhật(a): chỉ thêm(i): bất biến (j): dữ liệu nhật ký được kích hoạtQuyền sở hữu tập tin, thư mục dựa vào UID (user id). GID (group id)53Tập tin ẩn (Hidden files)Trên hệ thống Linux, các tập tin ẩn được sử dụng bằng cách thêm vào đầu tên của tập tin bằng một dấu chấm “.”Các tập tin ẩn và thư mục ẩn là cách rất thô sơ để che giấu dữ liệu và không được sử dụng công khai.Những tập tin mặc định sẽ không được hiển thị trong hầu hết các ứng dụng đồ họa và tiện ích dòng lệnh. 54Thư mục /tmp (temp)/tmp được gọi là “bãi rác ảo” của hệ thống Linux .=> Là tiền đề cho kẻ tấn công đặt dữ liệu vào hệ thống trong khi hầu hết người dùng không bao giờ kiểm tra sự tồn tại các tập tin xấu trong thư mục này.Tất cả người dùng có thể ghi dữ liệu ở thư mục này.Nó thường được dùng cho các tập tin tạm thời của một user cụ thể. 55Mật khẩu người dùng trong LinuxThông tin liên quan đến tài khoản người dùng nằm trong file “/etc/passwd”. Tập tin /etc/passwd thường là tập tin khá dài, ngay cả trên một hệ thống sử dụng độc lập.Nguy cơ bảo mật khá lớn từ file passwd là tất cả người dùng trên hệ thống đều có thể đọc được.Tập tin passwd chứa một danh sách người dùng và đường dẫn đầy đủ cho thư mục chứa các tập tin cá nhân của họ.56Tập tin /etc/passwdMột dòng điển hình trong file “/etc/passwd”: forensics:x:500:500::/home/forensics:/bin/bashUsername : forensicsHash password : xId của người dùng : 500Id group của người dùng : 500Tên đầy đủ của người sử dụng : (để trống)Đường dẫn chính của thư mục người dùng: /home/forensicsChương trình chạy lúc đăng nhập ban đầu (thường là shell mặc định của người dùng) : /bin/bash57Tập tin /etc/shadowHash password của các tài khoản người dùng thường được lưu trữ trong file “/etc/shadow” để giới hạn phạm vi tấn công cục bộ.root:$1$gsGAI2/j$jWMnLc0zHFtlBDveRqw3i/:139:0:99999:7:::Username : rootMật khẩu đã được mã hóa: bôi đỏSố ngày mật khẩu thay đổi lần cuối: 139Ngày tối thiểu thay đổi mật khẩu: 0Số lần nhập mật khẩu tối đa : 9999Số ngày cảnh báo hết hạn ngừơi sử dụng: 9Ngày hết hạn tuyệt đối: 7Dự trữ để dùng trong tương lai58Thư mục Home và Log filesTrên môi trường GNOME, các thư mục mặc định của người dùng là : Desktop, Documents, Downloads, Music, Pictures, Public, Templates, Video.Khi người dùng kết nối ssh với một máy chủ từ xa bằng tên máy hoặc địa chỉ IP và khóa công khai thì được ghi nhận vào file .ssh/known_hostsNgoài ra: Thư mục ssh chứa các tập tin liên quan tới việc sử dụng Secure Shell (ssh) của người dùng. 59Thư mục HomeDesktop: – Các thư mục nằm trên Desktop của người dùng.Documents: – Chứa các file tài liệu văn bản, bảng tính, thuyết trình và các file tương tự.Downloads: – Các tập tin tải về từ máy chủ từ xa.Music: – Vị trí mặc định lưu các file nhạc.Pictures: – Vị trí mặc định lưu các file hình ảnh.Public: –Tập tin được chia sẻ với những người khác.Templates: – Giữ các mẫu tài liệu.Videos: – Vị trí mặc định cho video.60Thư mục HomeNgoài các thư mục “user-accessible” còn có các tập tin và các thư mục ẩn. Một số có thể chứa dữ liệu pháp lý (được tự động tạo ra hoặc là do hành động của người dùng)Khi một tài khoản người dùng bị xóa khỏi hệ thống Unix, các thư mục, tập tin lưu vết có thể còn sót lại. Khi đó tìm kiếm trong các thư mục bổ sung trong thư mục “/home” có thể còn chứa dữ liệu người dùng cũ.61Thư mục HomeThư mục ẩn “.gconf” chứa các tập tin cấu hình ứng dụng GNOME khác nhau theo cấu trúc thư mục.Điển hình là thư mục “.gconf/apps/nautilus/desktop-metadata/,” chứa các thư mục con cho bất kỳ phương triện truyền thông nào xử lý bởi GNOME qua các tập tin “%gconf.xml”.62Bản ghi (Log Files)Được lưu trữ tại thư mục: “/var/log”Thường được lưu trữ trong văn bản rõ ràng, với 1 dòng cho mỗi sự kiện.Bao gồm 2 kiểu chính: + Các bản ghi được tạo ra bởi người sử dụng hoặc do các hoạt động theo dõi. + Các bản ghi được tạo ra bởi hoạt động hệ thống.63Bản ghi (Log Files)Thông tin phân tích đăng nhập của người dùng trên hệ thống Linux được lưu trữ trong 3 tập tin chính: + “/var/run/utmp,” + “/var/log/wtmp,” + “/var/log/lastlog.”Ngoài ra còn có Syslog, hoạt động trên mô hình client-server, cho phép sự kiện được ghi lại để điều khiển từ xa. Syslog được truyền qua giao thức UDP (các nguồn tin không được xác thực và không tin cậy), có thể giúp cho kẻ tấn công giả mạo tin nhắn từ xa vào Syslog.64/var/run/wtmp /var/log/wtmp/var/log/lastlogCơ chế lập lịch (Scheduling Tasks)Hệ thống Linux có 2 cơ chế chính để lên lịch cho một công việc thực thi trong tương lai:Tại một thời điểm: Chạy nhiệm vụ 1 lần, tại 1 thời điểm cụ thể trong tương lai.Định kỳ: Thực hiện lặp đi lặp lại quy trình theo chu kỳ (hàng giờ, ngày, tháng,)67Cơ chế lập lịch (Scheduling Tasks)Bất kỳ hoạt động dự kiến nào được người dùng chọn sẽ được tìm thấy trong “/var/spool/cron,”. Và có thể xem các tiến trình định kỳ qua các thư mục tương ứng như: “/etc/cron.daily,” “/etc/cron.weekly,” “/etc/cron.monthly.”Có thể nói đây cũng là đích nhắm của nhiều kẻ tấn công vì có thể lợi dụng cơ chế này để tấn công, duy trì hoạt động của hệ thống sau khi đã bị xâm nhập.68Hết bài 5
Các file đính kèm theo tài liệu này:
- bai_5_4659_2053716.pptx