PHÁP CHỨNG KỸ THUẬT SỐ
Bài 3: Điều tra hệ điều hành trên
máy tính
Giảng viên: TS. Đàm Quang Hồng Hải
Tại sao cần phải điều tra hệ điều hành của
máy tính
• Hệ điều hành là phần mềm chạy trên máy tính, dùng
để điều hành, quản lý các thiết bị phần cứng và
các tài nguyên phần mềm trên máy tính.
• Các thông tin sử dụng máy tính sẽ được ghi nhận
bởi hệ điều hành và điều tra viên cần phải tìm hiểu.
• Điều tra viên cần có hiểu biết về các Hệ điều hành
trên máy tính để khi điều tra có thể tìm kiếm các
bằng chứng có liên quan.
• Một số hệ điều hành thông dụng cài đặt trên máy
tính như: Windows, Linux, Mac OS
Hệ điều hành Windows
• Windows là một họ các hệ điều hành rất thông dụng
trên thế giới .
• Các hệ thống Windows cung cấp một số lượng lớn
các thông tin có thể cần thiết cho công tác điều tra.
• Các hệ điều hành Windows thông dụng bao gồm:
• Windows 3.1
• Windows 95/98/Vista/XP/7/8
• Windows NT, Server 2003,2008 …
• Được sử dụng cho cả máy tính cá nhân lẫn trên máy
chủ.
Filesystem trong Windows
• Windows hỗ trợ hai hệ thống tập tin chính: FAT và
NTFS.
• FAT16 là File system có t lâu, t thi MS-DOS và

nhng phiên bản đầu tiên của Windows như
Windows 3.1.
• FAT32 xuất hiện cng với bản Windows 95 OEM
Service Release 2 (OSR2), có không gian địa ch 32
bit.
• NTFS (New Technology File System), là hệ thống
tập tin tiêu chuẩn của Windows NT, bao gồm cả
các phiên bản sau này của Windows.
Registry trong Windows
• Registry là một hệ thống thông tin liên quan máy
tính trong hệ điều hành Windows
• Registry lưu tất cả các thông tin về phần cứng, phần
mềm, nhng lựa chọn của ngưi dng
• Điều tra viên kiểm tra được nội dung của Registry là
yêu cầu tất yếu để biết đối tượng sử dụng máy tính
của mình ra sao.
• Con ngưi có có thể nói dối nhưng Registry thì
không nói dối.
Registry là gì
• Registry là một cơ sở d liệu dng để lưu tr mọi thông số
kỹ thuật của Hệ điều hành Windows.
• Khi một phần cứng hoặc phần mềm mới được cài đặt trong
Windows, nó sẽ lưu tr cấu hình vào trong registry.
• Windows đọc các cấu hình trong registry và biết được trình
điều khiển nào cần được tải, cài đặt nào cần được áp dụng,
và nguồn lực nào cần được phân bổ để thiết bị có thể làm
việc.
• Registry ghi nhận tất cả các thông tin khi có thay đổi hoặc
chnh sửa trong Menu Settings, Control Panel.
• Có thể sử dụng các phần mềm như Regedit, Reg,

Forensic Registry EDitor
Forensic Registry EDitor
Forensic Registry Editor là phần mềm mã nguồn mở được viết bởi
Daniel Gillen trên Linux, Windows cho phép xem và tìm kiếm chứng
cớ số trên các vng ẩn chức Registry
Nguồn gốc của Registry
• Trước khi có Windows Registry: (DOS, Windows 3.x),
thông tin Hệ điều hành chứa trong các tập tin INI.
• SYSTEM.INI - Tập tin này kiểm soát tất cả các phần cứng
trên hệ thống máy tính.
WIN.INI - Tập tin này kiểm soát tất cả các màn hình và các
ứng dụng trên hệ thống.
• Các ứng dụng khác sử dụng các tập tin INI riêng được liên
kết với WIN.INI.
• T Windows 9x/NT 3.5 đã đưa ra hệ thống Registry quản lý
trên các tập tin System.dat, và User.dat.
Thông tin thu thập t Registry
• Cấu hình hệ thống
• Thiết bị trên hệ thống
• Tên ngưi dng
• Thiết lập cá nhân và Tuỳ chọn cho trình duyệt
• Hoạt động duyệt web
• Các file được mở
• Các chương trình được thực hiện
• Các mật khẩu
Windows 9x
Filename Location Content
system.dat C:\Windows File bảo mật lưu trữ
tất cả người dùng.
Tất cả các chương

trình cài đặt và thiết
lập
Thiết lập hệ thống
user.dat
Nếu có nhiều người dùng,
mỗi người dùng có một tập
tin user.dat cá nhân
windows\profiles\user
account
C:\Windows Tập tin chứa thông tin
sử dụng mới nhất
Cài đặt ưu tiên của
người sử dụng
Windows XP Registry
Filename Location Content
ntuser.dat
Nếu có nhiều người dùng,
mỗi người dùng có một tập
tin user.dat cá nhân
windows\profiles\user
account
\Documents and
Settings\user account
Tập tin bảo mật chứa
thông tin sử dụng mới
nhất
Cài đặt ưu tiên của người
sử dụng
Default \Windows\system32\config Các thiết lập hệ thống
chuẩn (System settings)

SAM \Windows\system32\config Quản lý tài khoản người
dùng và thiết lập bảo mật
Security \Windows\system32\config Thiết lập bảo mật
(Security settings)
Software \Windows\system32\config Tất cả các chương trình
cài đặt và các thiết lập
System \Windows\system32\config Các thiết lập hệ thống
(System settings)
Windows 7/8 Registry
• Registry được ẩn trong các thư mục và hạn chế truy cập
• HKEY_LOCAL_MACHINE \SYSTEM :
\system32\config\system
• HKEY_LOCAL_MACHINE \SAM :
\system32\config\sam
• HKEY_LOCAL_MACHINE \SECURITY :
\system32\config\security
• HKEY_LOCAL_MACHINE \SOFTWARE :
\system32\config\software
• HKEY_USERS \UserProfile : \winnt\profiles\username
• HKEY_USERS.DEFAULT : \system32\config\default
Cấu trúc của Registry
• Registry có cấu trúc cây, giống cấu trúc cây thư mục trong
cửa sổ Windows Explorer.
• Thông thưng có 5 nhánh chính. Mỗi nhánh được giao
nhiệm vụ lưu gi nhng thông tin đặc trưng riêng biệt.
• Trong các nhánh chính bao gồm rất nhiều khoá và cũng
được phân ra để lưu gi nhng thông tin đặc trưng riêng.
• Các khoá (K.@.y) chứa các giá trị (Value) là nơi trực tiếp
lưu gi các thông tin, tương tự như tập tin là nơi trực tiếp
lưu gi d liệu vậy.

Nội dung của Registry
• Root Keys
• HKEY_CLASSES_ROOT (HKCR): Lưu nhng thông tin dng
chung cho toàn bộ hệ thống như kiểu tập tin, các menu, các d liệu về hệ
thống thưng chứa nhng liên kết đến các file thư viện liên kết động .dll.
• HKEY_CURRENT_USER (HKCU): Lưu nhng thông tin về phần
mềm, các lựa chọn, các thiết lập của ngưi dng đang Logon
• HKEY_LOCAL_MACHINE (HKLM): Lưu nhng thông tin về hệ
thống, phần cứng, phần mềm dng chung cho tất cả các ngưi dng.
• HKEY_USERS (HKU): Lưu nhng thông tin của tất cả các User, mỗi
user là một khoá với tên là số ID của user đó, chứa nhng thông tin đặc
trưng của tng User, nó bổ trợ cho nhánh HKEY_CURRENT_USER.
• HKEY_CURRENT_CONFIG (HKCC): Lưu thông tin về phần cứng,
các thiết bị ngoại vi, các trình điều khiển (drivers) đang dng.
Các kiểu d liệu dng trong Registry
• REG_BINARY: Kiểu nhị phân 32 BIT
REG_DWORD: Kiểu Double Word cho phép ngưi dng
nhập theo cơ số 16 (HEX) hoặc cơ số 10 (DECIMAL)
REG_EXPAND_SZ: Kiểu chuỗi mở rộng đặc biệt. VD:
"%SystemRoot%" thay cho đưng dẫn Windows\System32
REG_MULTI_SZ: Một kiểu d liệu cho phép ngưi dng
nhập nhiều chuỗi, phân biệt bằng phím Enter để cách dòng.
REG_SZ: Kiểu chuỗi thông thưng.
Điều tra trong Registry
• Các Registry Keys lưu thi gian biến đổi cuối cng
(modified time-stamp)
• Các time-stamp phải sửa dưới dạng Binary
• Thu thập các thông tin liên quan đến địa ch Website
• Thu thập các thông tin liên quan đến ngưi dng –
đặc biệt là các user dng để chat trong Yahoo

Messenger, ICQ,
Các địa ch Websites
Websites
Điều tra trong Yahoo messenger
• Thông tin các phòng chat
• Danh tính ngưi dng thay thế
• Ngưi dng đăng nhập cuối cng
• Mật khẩu (có mã hóa)
• Các liên lạc gần đây
• Tên đăng ký hiện trên màn hình
Các USB Devices
Thông tin liên quan đến Mạng
• Các thông tin có thể thu thập t Registry liên quan
đến việc sử dụng Mạng của đối tượng:
• Local groups
• Local users
• Map network drive MRU
• Network Printers
Thông tin liên quan đến Winzip
Thông tin sử dụng cuối của đối tượng
• Danh sách các ứng dụng và tên tập tin được mở gần
nhất trong Windows
Thông tin về thi gian của hệ thống
• Thông tin như Timezone trên máy của đối tượng
cũng là các thông tin mang lại các đầu mối hu ích
Hệ điều hành Linux
• Phiên bản hệ điều hành Linux 1.0 đầu tiên do Linus
Torvalds viết vào năm 1994 tại Đại học Helsinki
tại Phần Lan. Hệ điều hành Linux được phát triển và
tung ra trên thị trưng dưới bản quyền GNU General

Public License.
• Hệ điều hành Linux hiện có các nhánh Ubuntu,
Fedora, Linux Mint , và chủ yếu được phát triển
bởi cộng đồng mã nguồn mở trên khắp thế giới.
• Linux hiên sử dụng rộng rãi trên các Server và trên
máy tính cá nhân với khá nhiều phần mềm
hỗ trợ phong phú.
Hệ thống tập tin trong Linux
• Các hệ thống Linux hiện nay phần lớn sử dụng hệ thống tập
tin Ext3 kế tha t Ext2. (mới nhất Ext4)
• Bên cạch Ext, còn có các hệ thống Linux khác:
• ReiserFS (Namesys): không còn sử dụng phổ biến.
• XFS (Silicon Graphics ): hệ thống HĐH IRIX xử lý các tập
tin rất lớn và thông lượng rất cao.
• JFS (IBM): cho hệ điều hành AIX ,hạt nhân Linux.
• YAFFS2 và JFFS2 là hệ thống tập tin được thiết kế để sử
dụng trên flash và lưu tr nhúng.
25