Quá trình bắt và khám xét tội phạm tin học thông thường phải yêu cầu trích xuất dữ liệu một cách kịp thời, tránh việc tẩy xóa chứng cứ điện tử. Để làm được điều này yêu cầu điều tra viên Forensic phải thực hiện các thao tác để tìm các dấu vết được lưu trên máy tính.
1. Vị trí lưu trữ của Cookies
Cookies được trình duyệt của người dùng chấp nhận cho lưu trữ trên ổ cứng của máy tính với mục đích đảm bảo những lần truy cập tiếp theo Webserver sẽ tự động lấy những dữ liệu này để xác thực thay cho người sử dụng và không yêu cầu người dùng đăng nhập lại một lần nữa. Điều này tạo nên sự tiện dụng, tuy nhiên trong bảo mật thì sự tiện dụng luôn xung đột với với an toàn thông tin.
C > Documents and Setting > User (tương ứng với tài khoản sử dụng) > Cookies
2. Temporary Internet Files
Là nơi lưu trữ một số thông tin về website đã truy cập, khi thực hiện truy cập Internet.
C > Documents and Setting > User (tương ứng với tài khoản sử dụng) > Local Settings >Temporary Internet Files.
3. Histor
Lưu trữ các địa chỉ web đã t
ruy cập
C > Documents and Setting > User (tương ứng với tài khoản sử dụng) > Local Settings >History.
4. Temporary
Lưu những dữ liệu được sử dụng tạm thời do các chương trình tự động sinh ra trong quá trình cài đặt và sử dụng các ứng dụng trên máy tính, và tất nhiên là sau một thời gian sử dụng, file sẽ đầy nên và cần phải xóa bỏ để giải phóng bộ nhớ.
C > Documents and Setting > User (tương ứng với tài khoản sử dụng) > Local Settings >Temp.
5. Những tập tin mới mở
Hệ điều hành có chức năng lưu lại nhưng tập tin mới mở, nếu không được xóa bỏ, nó sẽ là một phương pháp để tìm kiếm các hoạt động còn mới trên máy tính.
Lưu trữ:
C > Documents and Setting > User (tương ứng với tài khoản sử dụng) >Recent.
6. Dấu vết trong Regisrtry của Windows
Registry của Windows là một cơ sở dữ liệu lớn, lưu trữ hầu hết mọi thông tin trên máy tính đang sử dụng gồm như:
- Quản lý danh mục phần mềm
- Các đăng ký trong Windows và lưu trữ đường dẫn của các hình ảnh, video người sử dụng đã xem, những website đã truy cập,... đây là một đầu mối rất quan trọng.
Mở Resgistry bằng cách vào cửa sổ Command (Ctrl+R) đánh Regedit, nhấn OK
* Xem các tập tin MS Word đã mở:
Regisrtry > HKEY_CURRENT_USER > Software > Microsoft > Office > 12.0 > Word > File MRU.
* Xem các URL đã truy cập trong Registry: Có thể xem và xóa lịch sử truy cập bằng việc seach (Ctrl + F) địa chỉ cần thiết.
7. Lịch sử duyệt web trên các trình duyệt
Xem: Thôn thường mở trình duyệt cần kiểm tra, nhấn tổ hợp Ctrl + H , hoặc Ctrl+Shift+H sẽ hiển thị toàn bộ lịch sử duyệt web của trình duyệt.
* Đối với trình duyệt Safari:
Mở trình duyệt : Start > Programs > Safari
Tại trình duyệt, vào Menu Edit > Preference hoặc nhấn Ctrl ++, (Nhấn giữ phím Ctrl, nhấn tiếp phím + và phím ,) để mở hộp thoại General > Security > Show Cookies: tại đây sẽ hiển thị hộp thoại Cookies.
Chúc các bạn có thêm kiến thức bổ ích về Computer forensic
Đăng nhận xét