Thu thập và phân tích chứng cứ từ hệ thống
Quá trình thu thập và phân tích chứng cứ từ hệ thống bao gồm các quá trình thu thập dữ liệu từ trình duyệt, nhật ký trò chuyện và thu thập dữ liệu từ các file log hệ thống.
1. Dữ liệu từ trình duyệt, nhật ký trò chuyện
o Bất kỳ các ứng dụng được sử dụng để giao tiếp trên Internet đều có khả năng chứa các chứng cứ: trình duyệt web, email khách hàng, các bản ghi trò chuyện.
o Tìm kiếm chứng cứ trong các trình duyệt:
▪ Lịch sử duyệt web.
▪ Kiểm tra địa chỉ: thanh địa chỉ ghi lại những địa chỉ web mà tội phạm đã gõ vào.
▪ Tìm kiếm thông qua các phần hiển thị: các trình duyệt thường lưu lại các thuật ngữ tìm kiếm được nhập trước đó.
Các tội phạm chuyên nghiệp thường không dùng biểu tượng của trình duyệt trên màn hình máy tính nên cần tìm kiếm tất cả các trình duyệt trên máy tính.
o Tìm chứng cứ thông qua nhật ký trò chuyện: các chat room cũng có thể được sử dụng để trao đổi thông tin giữa các tội phạm. Các phần mềm chat (Yahoo, MSN, Wechat, Zalo…) thường giữ ít nhất một bản ghi tạm thời của cuộc hội thoại => có thể tìm kiếm các manh mối có giá trị.
2. Thu thập dữ liệu từ các file log hệ thống
o Windows log:
▪ Log ứng dụng: sự kiện đăng nhập bởi các ứng dụng.
▪ Log bảo mật: việc sử dụng tài nguyên, số lần đăng nhập thành công/thất bại.
▪ Log setup: sự kiện liên quan đến cài đặt ứng dụng.
▪ Log hệ thống: các sự kiện liên quan các thành phần hệ thống.
▪ Log sự kiện chuyển tiếp: các sự kiện thu thập được từ máy tính từ xa.
o Linux log:
▪ /var/log/faillog: thông tin đăng nhập người dùng không thành công.
▪ /var/log/kern.log: các thông điệp từ nhân của hệ điều hành.
▪ /var/log/lpr.log: nhật ký máy in.
▪ /var/log/mail.*: nhật ký máy chủ email.
▪ /var/log/mysql: nhật ký máy chủ CSDL MySQL.
▪ /var/log/apache2/*: các hoạt động liên quan tới máy chủ web apache.
▪ /var/log/apport.log: nhật ký các ứng dụng bị treo.
▪ /var/log/user.log: chứa bản ghi hoạt động của người dùng.
3. Phục hồi dữ liệu bị xóa
o Phục hồi dữ liệu từ hệ điều hành Windows: khôi phục dữ liệu từ thùng rác, từ ổ đĩa.
o Phục hồi dữ liệu từ hệ điều hành Linux:
▪ Thông báo cho người dùng hệ thống: lệnh wall System is going down to… please save your work. Press CTRL+D to send message.
▪ Khởi động lại máy và vào chế độ single user.
▪ Sử dụng cú pháp:
grep -b ‘search-text /dev/partition > file.txt
hoặc grep -a -B[size before] -A[size after] ‘text’/dev/[your_partition] > file.txt
Ví dụ: # grep -i -a -B10 -A100 nixCraft’ /dev/sda1 > file.txt
▪ Xem file.txt.
4. Các vị trí quan trọng cần kiểm tra đối với hệ thống
o Trong Windows:
▪ C:\Program Files: nơi cài đặt hầu hết các chương trình, nơi thường được tìm kiếm các phần mềm gián điệp, công cụ hack, phần mềm liên quan đến tội phạm máy tính.
▪ C:\Windows: nơi lưu trữ các hệ điều hành.
▪ C:\Windows\System32: chứa các file hệ thống quan trọng DLLs.
▪ C:\Users\username\Documents: vị trí mặc định của các tài liệu.
▪ C:\Users\username\Pictures: vị trí mặc định lưu hình ảnh của Windows.
▪ C:\Users\username\Favorites: nơi Internet Explorer lưu trữ thư mục yêu thích của mỗi người dùng, nơi có thể tìm những trang web mà tội phạm có thể đánh dấu.
▪ C:\Users\username\Desktop: màn hình máy tính người dùng.
▪ C:\Users\username\Downloads: vị trí mặc định cho bất kỳ chương trình tải về từ Internet.
o Trong Linux:
▪ /home: tương tự thư mục C:\Users trong Windows.
▪ /root: thư mục cho người quản trị có quyền root.
▪ /var: chứa các mục quản trị như các bản ghi, cần kiểm tra kỹ lưỡng.
▪ /temp: chứa các tập tin tạm thời.
▪ /etc: chứa các tập tin cấu hình, các tội phạm thường thay đổi file cấu hình => cần so sánh các tập tin cấu hình trên máy tính bị nghi ngờ với phiên bản sao lưu.