18/09/2018, 11:29

Điều tra số, điều tra an ninh mạng trên hệ điều hành Windows

Điều tra thông tin số, điều tra an ninh mạng hay điều tra số là quá trình xác định và thu thập bằng chứng số từ bất kỳ môi trường nào, đồng thời bảo vệ tính toàn vẹn của chứng cứ phục vụ quá trình kiểm tra và báo cáo. Bằng chứng số có thể được định nghĩa là sự kết hợp giữa các yếu tố của pháp luật ...

Điều tra thông tin số, điều tra an ninh mạng hay điều tra số là quá trình xác định và thu thập bằng chứng số từ bất kỳ môi trường nào, đồng thời bảo vệ tính toàn vẹn của chứng cứ phục vụ quá trình kiểm tra và báo cáo. Bằng chứng số có thể được định nghĩa là sự kết hợp giữa các yếu tố của pháp luật và khoa học máy tính để thu thập và phân tích dữ liệu từ các hệ thống máy tính, mạng, truyền thông không dây và các thiết bị lưu trữ…

Các bước của Điều tra số, điều tra an ninh mạng

Các bước của Điều tra số – Điều tra an ninh mạng

1. Phản ứng và xác định sự cố

Đầu tiên cần phải thực hiện khảo sát và điều tra để hiểu được bản chất của vụ việc. Sau đó, cần xác định nguồn gốc bên trong của những dữ liệu liên quan và lập kế hoạch thu thập dữ liệu để đảm bảo sự riêng tư của dữ liệu cũng như đảm bảo khả năng sẵn sàng truy cập vào dữ liệu.

2. Bảo quản và thu thập

Dữ liệu phải được bảo quản để tránh bị phá huỷ hoặc gặp phải các sự cố bất ngờ khác và cần có báo cáo chi tiết cho các thông tin đã được thu thập. Bao gồm: Hình ảnh của các ổ cứng vật lý, RAID, bộ nhớ vật lý được duy trì và ghi tài liệu theo mẫu chuẩn. Môi trường và phương tiện điều tra số cho việc lưu trữ các bằng chứng số cũng cần được bảo quản tốt.

3. Xử lý và phân tích

Phân tích chi tiết dữ liệu được thực hiện để xác định tính chính xác của các sự kiện đã xảy ra trong vụ việc và phát hiện được nguyên nhân từ những hành vi này. Các phân tích phải có khả năng xác định các tệp tin đã bị xoá và khôi phục chúng.

4. Lập báo cáo

Báo cáo về các phát hiện cần có bằng chứng và đề xuất các biện pháp khắc phục. Trong bước này, các phân tích cần được xác minh bằng cách sử dụng kết hợp nhiều công cụ và sử dụng kỹ thuật giả định. Báo cáo phải được kiểm tra chéo để tìm ra bất kỳ lỗi kỹ thuật nào và phải duy trì được tính chính xác.

Kiến thức cơ bản về Windows Registry

1. Windows Registry là gì ?

Windows registry là một cơ sở dữ liệu phân cấp dùng để lưu trữ các thông tin cần thiết về cấu hình hệ thống cho nhiều người dùng, ứng dụng và thiết bị. Registry xuất hiện ở hệ điều hành Windows 95 và từ đó nó cũng được sử dụng cho mọi hệ điều hành Windows. Registry thay thế các tệp tin cấu hình được sử dụng trong hệ điều hành MS-DOS, ví dụ như tệp tin config.sys và autoexec.bat. Registry cũng thay thế các tệp tin khởi tạo dựa trên các tệp tin đuôi .ini được sử dụng trong các phiên bản DOS. Registry được sử dụng bởi nhân hệ điều hành, giao diện người dùng, các thiết bị, dịch vụ và các ứng dụng khác chạy trên hệ điều hành.

2. Cấu trúc của Windows Registry

Windows Registry được miêu tả như một hệ thống tệp tin thống nhất, mặc dù có chứa 5 thư mục phân cấp chính. Năm thư mục chính này được gọi là “HIVE” và bắt đầu bằng từ khoá HKEY. Mỗi một thư mục này bao gồm nhiều key  có chứa giá trị và mỗi key bao gồm nhiều key con. Giá trị của các key được xác định duy nhất và là giá trị liên quan đến hệ điều hành hoặc các ứng dụng phụ thuộc và giá trị đó.

Cấu trúc của Windows Registry

3. Một số thành phần chính của Registry phục vụ công tác điều tra số

► HKEY_CLASSES_ROOT (viết tắt là HKCR): Thành phần này lưu thông tin về các chương trình khi các chương trình này được thực thi trong Windows Explorer. Khóa này cũng chứa thông tin về các shortcut, điều khiển kéo-thả và giao diện người dùng.

► HKEY_CURRENT_USER (viết tắt là HKCU): Thành phần này lưu thông tin về cấu hình tài khoản người dùng hiện tại đăng nhập vào hệ thống. Các dữ liệu liên quan đến màu sắc, thiết lập ứng dụng Control Panel và thư mục người dùng. Các bí danh/tên khác cho từng nhánh người dùng cụ thể có thể được tìm thấy trong khoá chính sau: HKEY_USERS
►HKEY_LOCAL_MACHINE (viết tắt là HKLM): Thành phần này lưu thông tin phần cứng máy tính như thông tin hệ điều hành đang chạy. Bao gồm một danh sách các phần cứng của hệ thống và các cấu hình chung của các phần cứng và ứng dụng được cài đặt.

► HKEY_USERS (viết tắt là HKU): Thành phần này lưu thông tin cấu hình của về thông tin người dùng đầy đủ trên hệ thống, liên quan đến cấu hình ứng dụng và thiết lập hình ảnh.

► HKEY_CURRENT_CONFIG (viết tắt là HCU): Thành phần này lưu thông tin về cấu hình hiện tại của hệ thống.

Đọc tiếp phần 2 tại đây: Điều tra Registry trên hệ điều hành Windows

Bài viết cùng chủ đề << Windows Registry là gì? Các kiến thức cơ bản về Windows RegistryĐiều tra an ninh mạng trong Registry trên Windows >>
0