Khái niệm, lịch sử và tính năng của hệ điều hành
Hệ điều hành (OS) là phần mềm thiết yếu cho phép người dùng vận hành và quản lý các ứng dụng trên thiết bị máy tính Qua hệ điều hành, người dùng có khả năng điều khiển và quản lý tài nguyên phần cứng cũng như phần mềm một cách hiệu quả.
Quá trình giao tiếp giữa người và máy tính diễn ra thông qua hệ điều hành, đóng vai trò như bước đệm trung gian Hệ điều hành cho phép các ứng dụng sử dụng các thư viện chung mà không cần lo lắng về thông số phần cứng cụ thể.
Là tập hợp các chương trình được tổ chức thành một hệ thống với nhiệm vụ:
● Đảm bảo tương tác giữa người dùng với máy tính
● Cung cấp các phương tiện và dịch vụ để điều phối thực hiện chương trình
● Quản lý chặt chẽ các tài nguyên của máy, tổ chức khai thác chúng một cách thuận tiện và tối ưu
Hệ điều hành là cầu nối giữa thiết bị với người dùng và giữa thiết bị với các chương trình thực hiện trên máy
Hệ điều hành cùng với các thiết bị kỹ thuật (máy tính và các thiết bị ngoại vi) tạo thành một hệ thống
Một số hệ điều hành phổ biến hiện nay đó là MS-DOS, Windows 98,
Hình 1- 1: Các hệ điều hành máy tính phổ biến
❖ Lịch sử phát triển của hệ điều hành
● Giai đoạn 1 (1945 – 1955): đã có máy tính lớn nhưng chưa có hệ điều hành
● Giai đoạn 2 (1956 – 1965): hệ thống xử lý theo lô (Batch systems)
● Giai đoạn 3 (1966 – 1980): hệ thống xử lý đa chương (Multiprogramming systems), hệ thống xử lý đa nhiệm (Multitasking systems)
● Giai đoạn 4 (1981 – 2007): hệ thống đa xử lý (Multiprocessor systems), hệ thống nhúng (Embedded systems)
❖ Tính năng của hệ điều hành
● Một hệ điều hành hoạt động như một giao diện giữa phần mềm và phần cứng máy tính
● Hỗ trợ quản lý tài nguyên của hệ thống máy tính, đồng thời ẩn những chi tiết của tài nguyên phần cứng từ người dùng
Giúp theo dõi và quản lý việc thực hiện tất cả các chương trình trên máy tính, bao gồm cả ứng dụng và phần mềm hệ thống khác.
● Là môi trường trung gian giữa phần cứng và người dùng, giúp người dùng nhanh chóng truy cập và vận hành những tài nguyên khác
● Tăng hiệu quả chia sẻ tài nguyên, đảm bảo sự công bằng giữa người dùng máy tính với các chương trình
Các chức năng chính của hệ điều hành
Hệ điều hành là phần mềm quản lý thông tin phần cứng, bao gồm quản lý bộ nhớ, CPU, mạng, thiết bị và hệ thống tập tin Nó cung cấp giao diện thân thiện cho người dùng, giúp họ sử dụng các phần mềm trên máy tính một cách hiệu quả Hệ điều hành tối ưu hóa quá trình hoạt động của máy tính, bao gồm cả thao tác và nhập liệu, nhằm nâng cao hiệu suất làm việc.
❖ Hệ điều hành quản lý tài nguyên phần cứng của máy tính, bao gồm:
● Các thiết bị đầu vào như bàn phím và chuột
● Các thiết bị đầu ra như màn hình hiển thị, máy in và máy quét
● Các thiết bị mạng như modem, bộ định tuyến và kết nối mạng
● Các thiết bị lưu trữ như ổ đĩa trong và ngoài
Các thành phần chính của hệ điều hành
Hệ điều hành có các thành phần chính sau:
Kernel là phần mềm cung cấp các điều khiển cơ bản cho tất cả thiết bị phần cứng máy tính Vai trò chính của Kernel bao gồm việc đọc và ghi dữ liệu vào bộ nhớ, xử lý các lệnh thực thi, cũng như xác định cách thức dữ liệu được quản lý và truy cập.
4 nhận và gửi bởi các thiết bị như màn hình, bàn phím, chuột và xác định cách diễn giải dữ liệu nhận được từ mạng
● Giao diện người dùng: User Interface cho phép việc tương tác với người dùng thông qua các graphical icons và một desktop hoặc thông qua một command line
● Giao diện lập trình ứng dụng: Application Programming Interfaces cho phép các application developers viết modular code
Một số hệ điều hành phổ biến hiện nay
Hiện nay, có nhiều hệ điều hành cho máy tính, nhưng Windows vẫn là hệ điều hành phổ biến nhất Dưới đây là một số hệ điều hành thường được sử dụng.
Windows là hệ điều hành hàng đầu của Microsoft, đóng vai trò là tiêu chuẩn cho máy tính gia đình và doanh nghiệp Ra mắt vào năm 1985, hệ điều hành dựa trên giao diện người dùng đồ họa (GUI) này đã trải qua nhiều phiên bản phát hành khác nhau.
Windows 95 thân thiện với người dùng phần lớn chịu trách nhiệm cho sự phát triển nhanh chóng của máy tính cá nhân
Mac OS là hệ điều hành dành cho máy tính cá nhân và workstations của Apple, nổi bật với khả năng vận hành mượt mà và tốc độ thao tác nhanh Hệ điều hành này được thiết kế riêng cho các dòng máy tính xách tay, mang lại sự ổn định gần như tuyệt đối và ít gặp tình trạng giật lag, điều này khiến nhiều người yêu thích Mac OS.
Hệ điều hành Apple OS/Macintosh thường gặp khó khăn trong việc tương thích với các thiết bị ngoại vi, điều này tạo ra thách thức cho người dùng Thêm vào đó, số lượng phiên bản của hệ điều hành này khá hạn chế, khiến việc lựa chọn trở nên khó khăn hơn cho người tiêu dùng.
Linux là một hệ điều hành tương tự Unix, được phát triển nhằm cung cấp cho người dùng máy tính cá nhân một giải pháp hiệu quả với chi phí thấp hoặc hoàn toàn miễn phí.
Linux là một hệ điều hành nổi tiếng với hiệu suất hoạt động nhanh chóng và hiệu quả Tính linh hoạt cao của nó cho phép vận hành trên hầu hết các server máy tính phổ biến, giúp người dùng tránh được nguy cơ virus và phần mềm độc hại Ngoài ra, Linux là nền tảng mã nguồn mở hoàn toàn miễn phí, mang lại cho người dùng quyền truy cập không giới hạn vào các tính năng Hệ điều hành này cũng không yêu cầu cấu hình quá cao, nên có thể dễ dàng chạy trên các thiết bị có cấu hình yếu.
Android là hệ điều hành di động phổ biến nhất, được phát triển dựa trên nền tảng Linux, chuyên dụng cho smartphone và máy tính bảng Nhiều thương hiệu nổi tiếng như Samsung, Xiaomi, Oppo, Nokia, LG, Huawei và Vsmart sử dụng hệ điều hành này.
● Hệ điều hành iOS: Ios là hệ điều hành chuyên dụng các thiết bị thông minh của Apple như iPhone, iPad, iPod, Macbook
● Windows Phone: Sự giao thoa giữa iOS và Android
● Symbian: đã từng là cú hick mạnh đưa Nokia lên đỉnh cao công nghệ
● BlackBerry OS: Hệ điều hành có mức độ bảo mật cao nhất
HỆ ĐIỀU HÀNH WINDOWS 6
File system và Registry trong Windows
❖ Hệ điều hành quản lý tài nguyên phần cứng của máy tính, bao gồm:
Windows hỗ trợ hai hệ thống tập tin chính: FAT và NTFS
● FAT16 là File system có từ lâu, từ thời MS-DOS và những phiên bản đầu tiên của Windows như Windows 3.1
● FAT32 xuất hiện cùng với bản Windows 95 OEM Service Release 2
(OSR2), có không gian địa chỉ 32 bit
● NTFS (New Technology File System), là hệ thống tập tin tiêu chuẩn của Windows NT, bao gồm cả các phiên bản sau này của Windows
❖ Tồng quan về Registry trong Windows
Registry là hệ thống thông tin quan trọng trong hệ điều hành Windows, lưu trữ mọi thông tin liên quan đến phần cứng, phần mềm và tùy chọn của người dùng.
Việc kiểm tra nội dung của Registry là cần thiết để hiểu rõ cách mà người dùng máy tính sử dụng thiết bị của mình Trong khi con người có thể nói dối, Registry lại cung cấp thông tin chính xác và đáng tin cậy.
Windows sử dụng registry để đọc các cấu hình, xác định trình điều khiển cần tải, cài đặt áp dụng và phân bổ nguồn lực cần thiết cho thiết bị hoạt động hiệu quả.
● Registry ghi nhận tất cả các thông tin khi có thay đổi hoặc chỉnh sửa trong Menu Settings, Control Panel
● Có thể sử dụng các phần mềm như Regedit, Reg, Forensic Registry Editor
○ Forensic Registry Editor: là phần mềm mã nguồn mở được viết bởi
Daniel Gillen trên Linux, Windows cho phép xem và tìm kiếm chứng cớ số
○ Trước khi có Windows Registry: (DOS, Windows 3.x), thông tin Hệ điều hành chứa trong các tập tin INI
○ SYSTEM.INI - Tập tin này kiểm soát tất cả các phần cứng trên hệ thống máy tính
WIN.INI - Tập tin này kiểm soát tất cả các màn hình và các ứng dụng trên hệ thống
○ Các ứng dụng khác sử dụng các tập tin INI riêng được liên kết với
○ Từ Windows 9x/NT 3.5 đã đưa ra hệ thống Registry quản lý trên các tập tin System.dat và User.dat
● Thông tin thu thập từ Registry:
○ Thiết bị trên hệ thống
○ Thiết lập cá nhân và Tuỳ chọn cho trình duyệt
○ Các chương trình được thực hiện
● Windows 7/8 Registry: Registry được ẩn trong các thư mục và hạn chế try cập
○ HKEY_LOCAL_MACHINE\SYSTEM: \system32\config\system
○ HKEY_LOCAL_MACHINE\SAM: \system32\config\sam
○ HKEY_LOCAL_MACHINE\SECURITY: \system32\config\security
○ HKEY_LOCAL_MACHINE\SOFTWARE: \system32\config\software
○ HKEY_USERS \UserProfile: \winnt\profiles\username
○ HKEY_USERS.DEFAULT: \system32\config\default
○ Registry có cấu trúc cây, giống cấu trúc cây thư mục trong cửa sổ
○ Thông thường có 5 nhánh chính Mỗi nhánh được giao nhiệm vụ lưu giữ những thông tin đặc trưng riêng biệt
○ Trong các nhánh chính bao gồm rất nhiều khóa và cũng được phân ra để lưu giữ những thông tin đặc trưng riêng
Các khóa (K.@.y) chứa các giá trị (Value) là nơi lưu trữ thông tin trực tiếp, tương tự như tập tin lưu giữ dữ liệu.
HKEY_CLASSES_ROOT (HKCR) lưu trữ thông tin chung cho toàn bộ hệ thống, bao gồm kiểu tập tin, menu và dữ liệu hệ thống, thường chứa các liên kết đến file thư viện liên kết động dll.
○ HKEY_CURRENT_USER (HKCU): Lưu những thông tin về phần mềm, các lựa chọn, các thiết lập,… của người dùng đang Logon
○ HKEY_LOCAL_MACHINE (HKLM): Lưu những thông tin về hệ thống, phần cứng, phần mềm, dùng chung cho tất cả các người dùng
HKEY_USERS (HKU) lưu trữ thông tin của tất cả người dùng trên hệ thống, với mỗi người dùng được đại diện bằng một khóa mang tên ID của họ Mỗi khóa chứa các thông tin đặc trưng cho từng người dùng, hỗ trợ cho nhánh HKEY_CURRENT_USER.
○ HKEY_CURRENT_CONFIG (HKCC): Lưu thông tin về phần cứng, các thiết bị ngoại vi, các trình điều khiển (drivers) đang dùng
Thông số của máy vi tính và phiên bản của hệ điều hành Windows
Có nhiều cách để kiểm tra, một trong những cách đó là:
Trong Settings window, gõ “about” vào ô tìm kiếm và chọn About your PC
Hình 2- 2: Kiểm tra thông số HĐH windows
● Windows edition - Phiên bản Windows: Windows 10 Home Single
● Processor - Tên và tốc độ của bộ vi xử lý (CPU): Bộ vi xử lý Intel Core i5- 7200U, tốc độ xử lý 2.50GHz và có thể tăng tốc lên 2.70GHz
● Install memory (RAM) - Dung lượng bộ nhớ được lắp đặt: 12 GB
● System type - Loại hệ thống: Hệ điều hành 64 bit
Các file và thư mục mặc định Windows quan trọng
❖ Program Files và Program Files (x86):
Khi người dùng cài đặt phần mềm, họ thường mở các file EXE và thực hiện quá trình cài đặt, trong đó ứng dụng tạo mục nhập trong thư mục Program Files Quá trình này cho phép ứng dụng hoạt động trên hệ thống, vì vậy người dùng có thể tìm thấy thư mục chứa hầu hết các chương trình đã cài đặt trong thư mục Program Files.
Trong một số trường hợp đặc biệt, người dùng mới có thể cần truy cập dữ liệu chương trình trong thư mục chứa file DLL và thông tin cấu hình cần thiết cho ứng dụng Nếu gặp sự cố với ứng dụng, người dùng có thể gỡ bỏ và cài đặt lại Để thực hiện việc gỡ cài đặt, nên sử dụng menu Programs and Features trong bảng điều khiển hoặc áp dụng một giải pháp từ bên thứ ba.
Mặc dù việc xóa thư mục ứng dụng khỏi Program Files trên Windows có thể thực hiện dễ dàng, nhưng các tham chiếu còn lại trong hệ thống khiến việc gỡ cài đặt không hoàn toàn triệt để Trong khi đó, trên macOS, người dùng chỉ cần kéo ứng dụng vào thùng rác để gỡ cài đặt một cách đơn giản và hiệu quả.
Nếu bạn đang sử dụng Windows 32-bit, chỉ có thể cài đặt phần mềm 32-bit và chỉ có một thư mục "Program Files" Trong khi đó, với Windows 64-bit, người dùng sẽ thấy thêm thư mục "Program Files (x86)" để chứa phần mềm 32-bit, trong khi phần mềm 64-bit sẽ được lưu trữ trong thư mục "Program Files" tiêu chuẩn.
Thư mục System32 trong C:\Windows chứa hàng trăm tệp DLL quan trọng, đóng vai trò thiết yếu trong việc duy trì hoạt động ổn định của máy tính.
Thư mục này bao gồm các dịch vụ xử lý âm thanh, file khởi động Windows, và tài nguyên hiển thị phông chữ chính xác Ngoài ra, nó còn chứa các thực thi cho các chương trình mặc định của Windows, chẳng hạn như Calc.exe để mở Calculator và MSPaint.exe để khởi động Microsoft Paint.
File pagefile.sys nằm tại C:\ và người dùng không thể nhìn thấy file này trừ khi truy cập vào Tùy chọn File Explorer > Xem và bỏ chọn "Ẩn các file hệ thống bảo vệ" Tuy nhiên, việc làm này không được khuyến khích.
Bộ nhớ truy cập ngẫu nhiên (RAM) trong máy tính giữ tạm thời các chương trình đang mở, cho phép truy cập nhanh chóng khi cần thiết Khi bạn khởi động một phiên bản Windows, nó sẽ được lưu trữ trong RAM, giúp cải thiện hiệu suất Do đó, việc có nhiều RAM hơn cho phép người dùng chạy đồng thời nhiều chương trình mà không gặp phải tình trạng chậm trễ.
Khi RAM vật lý đầy, Windows sẽ sử dụng tệp page file hay swap file, một không gian hoạt động trên ổ cứng tương tự như RAM Nếu máy tính có đủ bộ nhớ RAM, người dùng sẽ không nhận thấy sự hoạt động của page file Tuy nhiên, việc phụ thuộc vào page file thường xuyên có thể làm giảm hiệu suất, vì tốc độ ổ cứng chậm hơn nhiều so với RAM, đặc biệt là khi không sử dụng ổ SSD.
Khi kiểm tra dung lượng máy, người dùng có thể thấy rằng các file page chiếm một vài gigabyte Mặc dù có thể bị cám dỗ để vô hiệu hóa chúng nhằm tiết kiệm dung lượng, nhưng đây không phải là lựa chọn thông minh Việc không có file page sẽ dẫn đến tình trạng quá tải bộ nhớ RAM và gây ra lỗi, thay vì chuyển dữ liệu vào bộ nhớ thêm.
Nếu người dùng thường xuyên làm việc với phần mềm đồ họa nặng hoặc chơi game yêu cầu cấu hình cao nhưng máy tính không đủ khả năng, họ có thể thiết lập RAM ảo để cải thiện hiệu suất.
Hình 2- 3: Set Ram ảo trên windows
Windows tự động quản lý bộ nhớ ảo, và người dùng nên để hệ điều hành thực hiện công việc này Nếu gặp phải vấn đề về bộ nhớ, giải pháp tối ưu là nâng cấp RAM cho hệ thống.
Tại C:\System Volume Information (nó sẽ được ẩn nếu Hide protected operating system files kích hoạt)
System Volume Information thực sự chứa một số chức năng Windows quan trọng Trong thực tế, khi cố gắng truy cập vào nó, Windows sẽ báo lỗi Access
Thư mục này lưu trữ các điểm Khôi phục Hệ thống mà máy tính tự động tạo ra để hỗ trợ quá trình khôi phục Người dùng có thể tìm kiếm "Điểm Khôi phục" trong menu Bắt đầu và chọn "Tạo một" để tạo điểm khôi phục mới.
Để giảm kích thước thư mục của Restore Point, hãy truy cập vào ổ C: và chọn Configure Sau đó, điều chỉnh thanh Max Usage đến mức hợp lý để giảm dung lượng bộ nhớ mà System Restore sử dụng Tuy nhiên, cần lưu ý rằng việc này có thể làm hạn chế các tùy chọn khôi phục hệ thống trong tương lai.
Ngoài các điểm khôi phục, thư mục System Volume Information còn lưu trữ dữ liệu quan trọng mà Windows sử dụng để quản lý ổ đĩa Thiếu thông tin này, quá trình tìm kiếm sẽ trở nên chậm chạp và tốn nhiều thời gian hơn Bên cạnh đó, nó cũng bao gồm các dịch vụ Volume Shadow, hỗ trợ sao lưu và phục hồi dữ liệu hiệu quả.
Copy cần thiết cho sao lưu file
Giống như các thư mục quan trọng khác, người dùng nên tránh xa nó
Các phần mềm được cài đặt sẵn để phát hiện, ngăn chặn các mã độc, tệp tin độc hại
độc, tệp tin độc hại
Hình 2- 5: Tường làm nhiệm vụ bảo vệ
● Những tùy chọn triển khai tường lửa
● Những tiến bộ trong công nghệ tường lửa đã tạo ra các tùy chọn triển khai tường lửa trong thập kỉ qua
● Tường lửa có trạng thái (Stateful firewall)
Khi tường lửa ra đời, chúng hoạt động mà không có trạng thái, tức là phần cứng chỉ theo dõi từng gói lưu lượng mạng riêng lẻ trong quá trình kiểm tra, từ đó quyết định chặn hoặc cho phép chúng đi qua.
Bắt đầu từ giữa đến cuối những năm 1990, các tiến bộ đầu tiên về tường lửa đã xuất hiện, đánh dấu sự phát triển quan trọng trong việc kiểm soát lưu lượng truy cập mạng.
Việc duy trì trạng thái hoạt động và đặc điểm kết nối mạng giúp cung cấp tường lửa toàn diện hơn Điều này cho phép tường lửa quản lý lưu lượng truy cập, cho phép một số người dùng truy cập trong khi chặn lưu lượng tương tự đến những người dùng khác.
● Tường lửa thế hệ tiếp theo (Next-generation firewalls - NGFW)
Trong nhiều năm qua, tường lửa đã phát triển với nhiều tính năng mới như phân tích sâu các gói (Deep Packet Inspection - DPI), phát hiện xâm nhập, cũng như khả năng ngăn chặn và kiểm tra lưu lượng mã hóa Tường lửa thế hệ tiếp theo được hiểu là loại tường lửa tích hợp những tính năng tiên tiến này.
● Tường lửa dựa trên proxy (Proxy-based firewall)
Các tường lửa hoạt động như cổng nối giữa người dùng cuối và nguồn dữ liệu, lọc toàn bộ lưu lượng truy cập qua proxy trước khi gửi đến người dùng Mục đích của việc này là bảo vệ máy khách khỏi các mối đe dọa bằng cách che giấu danh tính của người yêu cầu thông tin.
○ Tường lửa ứng dụng web (Web application firewall - WAF)
Tường lửa ứng dụng web được thiết kế để bảo vệ máy chủ ứng dụng, khác với các tường lửa truyền thống thường hoạt động tại điểm vào hoặc ra của mạng lưới Trong khi tường lửa dựa trên proxy chủ yếu bảo vệ máy khách người dùng cuối, tường lửa ứng dụng web tập trung vào việc bảo vệ các ứng dụng cụ thể.
Phần cứng tường lửa thường được thiết kế dưới dạng một máy chủ đơn giản, có khả năng hoạt động như một router để lọc lưu lượng truy cập và chạy phần mềm tường lửa Những thiết bị này đóng vai trò quan trọng trong việc bảo vệ mạng lưới khỏi các mối đe dọa bên ngoài.
Tường lửa được lắp đặt trong mạng công ty, nằm giữa router và điểm kết nối của nhà cung cấp dịch vụ Internet Doanh nghiệp có khả năng triển khai nhiều tường lửa vật lý trong trung tâm dữ liệu để tăng cường bảo mật Người dùng cần xác định dung lượng và cấu hình phù hợp để đảm bảo hiệu quả hoạt động của hệ thống.
18 lượng thông qua mà họ cần tường lửa hỗ trợ dựa trên kích thước cơ sở người dùng và tốc độ kết nối Internet
Người dùng cuối thường triển khai nhiều điểm cuối phần cứng tường lửa kết hợp với hệ thống phần mềm tường lửa trung tâm để quản lý hiệu quả Hệ thống trung tâm này không chỉ cấu hình các chính sách và tính năng mà còn thực hiện phân tích và phản hồi kịp thời trước các mối đe dọa.
○ Đây là chức năng tường lửa cơ bản trong đó thiết bị chặn lưu lượng truy cập không mong muốn đã biết
Tường lửa có khả năng phát hiện virus và lỗ hổng đã biết trong lưu lượng mạng nhờ vào các bản cập nhật về mối đe dọa mới nhất, từ đó bảo vệ hệ thống khỏi những nguy cơ tiềm ẩn.
○ Hệ thống phòng chống xâm nhập (Intrusion Prevention Systems - IPS)
Lớp bảo mật này có thể hoạt động độc lập hoặc tích hợp vào tường lửa thế hệ tiếp theo Trong khi tường lửa cơ bản chỉ xác định và chặn một số loại lưu lượng mạng, hệ thống IPS sử dụng các biện pháp bảo mật chi tiết như truy tìm chữ ký và phát hiện bất thường để ngăn chặn các mối đe dọa không mong muốn xâm nhập vào mạng công ty.
● Phân tích sâu các gói (DPI)
DPI, hay phân tích sâu gói, là một tính năng quan trọng của tường lửa thế hệ mới, có khả năng phân tích chi tiết lưu lượng truy cập, đặc biệt là các tiêu đề của các gói dữ liệu Nó có thể hoạt động độc lập hoặc kết hợp với hệ thống IPS, đồng thời cũng được sử dụng để theo dõi lưu lượng gửi đi, giúp ngăn chặn thông tin nhạy cảm rò rỉ ra khỏi mạng công ty thông qua công nghệ ngăn chặn mất dữ liệu (Data Loss Prevention - DLP).
Kiểm tra SSL là một phần quan trọng trong công nghệ DPI, giúp phát hiện mối đe dọa trong lưu lượng được mã hóa Khi lưu lượng mã hóa ngày càng gia tăng, việc kiểm tra SSL trở nên cần thiết trong tường lửa thế hệ mới Quá trình này hoạt động bằng cách giải mã lưu lượng trước khi chuyển đến địa điểm cuối để kiểm tra.
Windows Defender là phần mềm quét virus miễn phí tích hợp sẵn trên máy tính, giúp người dùng bảo vệ thiết bị mà không cần cài đặt thêm Điểm mạnh của Windows Defender là khả năng sử dụng ít tài nguyên, phù hợp cho cả máy tính đời mới và cũ, mang lại trải nghiệm mượt mà cho người dùng.
Windows Defender là một lựa chọn tuyệt vời để bảo vệ máy tính của người dùng Những ai đã từng sử dụng phần mềm antivirus của bên thứ ba có thể thử nghiệm Windows Defender để so sánh hiệu suất và tính bảo mật với các chương trình trước đó.
Các công cụ thu thập và phân tích log, nhật ký hành vi
Windows Registry là cơ sở dữ liệu phân cấp lưu trữ thông tin cấu hình hệ thống cho người dùng, ứng dụng và thiết bị Xuất hiện lần đầu trong Windows 95, Registry thay thế các tệp tin cấu hình của MS-DOS như config.sys và autoexec.bat, cũng như các tệp ini trong các phiên bản DOS Nó được sử dụng bởi nhân hệ điều hành, giao diện người dùng, thiết bị, dịch vụ và các ứng dụng khác trên hệ điều hành Windows.
❖ Cấu trúc của Windows Registry
Windows Registry là một hệ thống tệp tin thống nhất với 5 thư mục phân cấp chính, được gọi là “HIVE” và bắt đầu bằng từ khoá HKEY Mỗi thư mục này chứa nhiều key với các giá trị liên quan đến hệ điều hành và các ứng dụng phụ thuộc Các key cũng bao gồm nhiều key con, và giá trị của chúng được xác định duy nhất.
● Một số thành phần chính (root key)
○ HKEY_CLASSES_ROOT (viết tắt là HKCR)
Thành phần này ghi lại thông tin về các chương trình khi chúng được thực thi trong Windows Explorer, bao gồm thông tin về các shortcut, điều khiển kéo-thả và giao diện người dùng.
○ HKEY_CURRENT_USER (viết tắt là HKCU)
Thành phần này lưu trữ thông tin cấu hình của tài khoản người dùng đang đăng nhập, bao gồm dữ liệu về màu sắc, thiết lập ứng dụng Control Panel và thư mục người dùng Các bí danh hoặc tên khác cho từng nhánh người dùng cụ thể có thể được tìm thấy trong khóa chính.
○ HKEY_LOCAL_MACHINE (viết tắt là HKLM)
Thành phần này ghi lại thông tin về phần cứng máy tính, bao gồm thông tin về hệ điều hành đang hoạt động Nó cung cấp một danh sách chi tiết các phần cứng trong hệ thống cùng với các cấu hình chung của phần cứng và ứng dụng đã được cài đặt.
○ HKEY_USERS (viết tắt là HKU))
Thành phần này lưu trữ thông tin cấu hình đầy đủ của người dùng trên hệ thống, bao gồm các thiết lập ứng dụng và hình ảnh.
○ HKEY_CURRENT_CONFIG (viết tắt là HCU)
Các khóa Registry lưu giá trị được gọi là thời gian ghi cuối cùng
Thời gian LastWrite là thời điểm sửa đổi gần nhất của một khóa Registry, được lưu trữ trong cấu trúc thời gian FILETIME Thời gian này sẽ thay đổi khi khóa Registry được tạo, truy cập, chỉnh sửa hoặc xóa Thông tin về thời gian LastWrite có thể giúp các chuyên gia điều tra phân tích và suy luận về thời điểm hoặc ngày tháng gần đúng của một sự kiện.
● Autorun Locations (Vị trí Autoruns)
Các vị trí Autoruns trong Registry là những điểm quan trọng để khởi động các chương trình và ứng dụng trên hệ điều hành Nếu máy tính có dấu hiệu bị xâm nhập, người dùng cần kiểm tra lại các vị trí này Việc không thể truy cập vào chúng có thể chỉ ra rằng hệ thống đã bị tấn công Trong trường hợp này, các vị trí Autorun có thể xác nhận rằng hệ thống đã bị cài đặt mã độc hoặc backdoor, những phương thức mà tin tặc sử dụng để chiếm quyền kiểm soát hệ thống.
Một số vị trí autorun phổ biến được liệt kê theo danh sách dưới đây:
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
(ProfilePath)\Start Menu\Programs\Startup
● Lists MRU (Danh sách MRU)
MRU (Most Recently Used) là danh sách các tài nguyên mà người dùng đã sử dụng gần đây trong quá trình làm việc Danh sách MRU được lưu trữ trong nhiều khóa Registry khác nhau, giúp người dùng dễ dàng truy cập lại các tài nguyên này khi cần thiết trong tương lai.
Một ví dụ về danh sách MRU nằm trong Windows Registry là khóa
Khi người dùng nhập lệnh vào hộp "Run" từ menu Start, một bản ghi sẽ được lưu trữ tại khóa Registry tại đường dẫn HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Thứ tự thời gian của các lệnh được nhập sẽ được xác định qua cột dữ liệu của giá trị "MRUList", trong đó chữ cái "a" đại diện cho lệnh đầu tiên và chữ cái "g" thể hiện lệnh gần đây nhất.
Event Log trên Windows ghi lại nhật ký hoạt động của hệ thống và các ứng dụng, bao gồm thông báo lỗi, thông tin hoạt động và cảnh báo.
Công cụ này cho phép người dùng theo dõi và quản lý thời gian mở và tắt máy tính, cũng như xác định nguyên nhân gây ra sự cố Đây là một tính năng mặc định có sẵn trên hệ điều hành Windows.
Hình 2- 9: Giao diện của Event Log trên Windows
❖ Định dạng cấu trúc của event log:
Event Log của Windows được lưu trữ tại thư mục mặc định %SystemRoot%\System32\winevt\logs Người dùng có thể truy cập trực tiếp vào đường dẫn này hoặc sử dụng trình Event Viewer Để mở Event Viewer, người dùng chỉ cần nhấn RUN và gõ từ khóa "eventvwr".
Cấu trúc của log có các trường sau:
Bảng 2- 1: Các trường trong Event Log
Mặc định, lượng log trong event log thường hạn chế, dẫn đến việc có thể mất dữ liệu nếu người dùng tìm kiếm quá xa thời gian xảy ra sự cố Để khắc phục tình trạng này, người dùng nên sử dụng các công cụ như syslog hoặc winlogbeat để chuyển log về SIEM, từ đó giúp giám sát hiệu quả hơn.
Một số log thường gặp để xử lý sự cố dựa vào Event ID:
Tuỳ vào trường hợp người dùng lọc được nhanh hơn dựa vào Event ID như hình dưới
Hình 2- 10: Hướng dẫn filter dựa vào Event ID
Event Log có 3 phần chính
Windows Logs: Là phần quan trọng nhất, phục vụ chủ yếu cho điều tra
Ứng dụng ghi lại nhật ký các chương trình và phần mềm đã cài đặt trên máy tính Phần bảo mật lưu trữ nhật ký liên quan đến hoạt động đăng nhập, đăng xuất và trạng thái bật tắt máy Trong khi đó, phần hệ thống ghi lại nhật ký về các tác động đối với hệ thống file của máy.
Vai trò của hệ điều hành trong quá trình điều tra, thu thập thông tin tội phạm máy tính
Điều tra thông tin số hay an ninh mạng là quá trình xác định và thu thập bằng chứng số từ nhiều môi trường khác nhau, đồng thời bảo vệ tính toàn vẹn của chứng cứ cho quá trình kiểm tra và báo cáo Bằng chứng số được định nghĩa là sự kết hợp giữa các yếu tố pháp lý và khoa học máy tính, nhằm thu thập và phân tích dữ liệu từ hệ thống máy tính, mạng, truyền thông không dây và các thiết bị lưu trữ.
Hệ điều hành Windows hiện nay là hệ điều hành phổ biến nhất, được cài đặt trên hầu hết các máy tính Việc tìm hiểu các thông số, phân tích log và cấu hình thiết lập của hệ điều hành, dù là mặc định hay do người dùng cài đặt, là bước khởi đầu quan trọng để hiểu rõ về Windows Kiến thức này cũng rất hữu ích trong việc điều tra và thu thập chứng cứ trong các vụ án tội phạm máy tính.
Trong quá trình điều tra và thu thập chứng cứ, việc phân tích thông tin từ hệ điều hành máy tính như log, firewall, lịch sử trình duyệt và cấu hình hệ thống là rất quan trọng Những dữ liệu này giúp xác định các yếu tố then chốt trong điều tra, từ đó hỗ trợ quá trình thu thập chứng cứ hiệu quả hơn.
Kiến thức về phân tích hệ điều hành, đặc biệt là hệ điều hành Windows, là vô cùng quan trọng đối với các kỹ sư an ninh mạng.
THỰC NGHIỆM PHÂN TÍCH HĐH WINDOWS 30
Phân tích HĐH windows 7
Kiểm tra thông tin phiên bản HĐH
Hình 3- 1: Thông tin phiên bản hệ điều hành
Hệ điều hành: Windows 7 Ultimate
Version: 6.1 (Windows 7 là tên được đặt cho Windows phiên bản 6.1)
Bản cập nhật: Service Pack 1 (SP1)
Kiểm tra thông tin khác
Truy cập đường dẫn hệ thống Control Panel -> System and Security -> System
Hình 3- 2: Thông tin khác của phiên bản hệ điều hành
Mục System type: Windows phiên bản 64 bit
Windows is activated: Phiên bản đã active
Product ID: Mã kích hoạt phiên bản Windows
● Kiểm tra thông tin các tài khoản và nhóm trên hệ thống
○ Truy cập đường dẫn hệ thống Control Panel -> User Accounts and Family Safety -> Parental Controls
Hình 3- 3: Thông tin tài khoản và nhóm trên hệ thống o Truy cập đường dẫn hệ thống Control Panel -> User Accounts and Family Safety -> Parental Controls
Mở tab Groups hiển thị danh sách các nhóm người dùng của hệ thống
Hình 3- 4: Danh sách các nhóm người dùng trên hệ thống
Hai nhóm cần quan tâm là nhóm Administrators: Nhóm các tài khoản quản trị và nhóm Users: Nhóm các người dùng
Chọn 1 nhóm để xem chi tiết danh sách các user thuộc nhóm
Hình 3- 5: Danh sách các người dùng thuộc nhóm
Nhóm user hiện gồm 1 thành viên là minhtq
Kiểm tra cấu hình trong firewall của windows 7
Truy cập đường dẫn hệ thống Control Panel -> System and Security -> Windows Firewall -> Advanced Security để mở cửa sổ Firewall with Advanced Security
Hình 3- 6: Cửa sổ windows Firewall with Advanced Security
Tại đây có các luật (rule) được quy định để đảm bảo lọc các dữ liệu vào và ra windows thông qua các cổng, giao thức,…
Hình 3- 7: Danh sách các luật được cấu hình của tường lửa
Chọn tab Inbound Rules để kiểm tra các quy tắc lọc gói tin khi chúng đi vào hệ thống, và chọn tab Outbound Rules để xem các quy tắc lọc gói tin khi chúng rời khỏi hệ thống.
Hình 3- 8: File log của tường lửa
Để xem các log của Firewall, bạn cần chọn mục Monitoring và mở cài đặt logging để truy cập đường dẫn file log Firewall ghi lại nhiều thông tin quan trọng trong các log, bao gồm: ngày tháng năm, thời gian, hành động, giao thức, địa chỉ IP nguồn (máy tính), địa chỉ IP đích, cổng nguồn, cổng đích, và kích cỡ gói tin.
Kiểm tra cấu hình trong Registry
Registry là một cơ sở dữ liệu dùng để lưu trữ thông số kỹ thuật của
Windows Một vài thông tin cần quan tâm khi tiến hành phân tích, điều tra HĐH windows như:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Windows: Thời gian tắt Máy gần Nhất
Hình 3- 9: Xem thời gian tắt máy gần nhất
HKEY_LOCAL_MACHINE\SOFTWARE\RegisteredApplications: danh sách các ứng dụng
Hình 3- 10: Danh sách các ứng dụng được cài đặt trên hệ thống
Type: kiểu dữ liệu (REG_SZ: Kiểu chuỗi chuẩn)
Data: Đường dẫn dữ liệu của ứng dụng lưu trên registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersio n\NetworkList\Nla\Cache\Intranet\Home: Danh sách mạng nội bộ đã kết nối
Hình 3- 11: Danh sách mạng nội bộ đã kết nối
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR: Danh sách thiết bị USB đã kết nối
Hình 3- 12: Danh sách thiết bị USB đã kết nối
Mỗi thiết bị đã kết nối sẽ có 1 mã folder riêng Mở folder lên hiển thị thông tin chi tiết của thiết bị usb đó
HKEY_USERS\S-1-5-21-[User Identifier] \Software\Microsoft\Internet
Explorer\TypedURLs: Các từ khoá, đường dẫn được nhập vào thanh URL tìm kiếm của trình duyệt Internet Explorer theo User Identifier
Mỗi user sẽ có đường dẫn thư mục HKEY_USERS\S-1-5-21-[User
Hình 3- 13: Danh sách các từ khóa, đường dẫn được tìm kiếm
Type: kiểu dữ liệu (REG_SZ: Kiểu chuỗi chuẩn)
Date: Thông tin đường dẫn, từ khóa đã tìm kiếm
Kiểm tra nhật ký sự kiện (event log)
Mở hộp thoại gõ lệnh eventvwr để mở hộp thoại Event Viewer
Hình 3- 14: Danh sách các log mục Application
Mục Application: Nơi lưu nhật ký các chương trình, phần mềm cài trên máy Level: Mức độ của sự kiện
Date and Time: Thời gian
Source: là hệ thống/ứng dụng sinh ra log
Event ID: Mã sự kiện
Task Category: Danh mục được gán khi log sinh ra
Hình 3- 15: Chọn xem chi tiết 1 log
Chọn 1 log để xem các thông tin chi tiết bao gồm mô tả log, tên, source, user thực thi liên quan đến log
● Mục Security: Nơi lưu nhật ký liên quan đến bảo mật của máy tính Như đăng nhập đăng xuất, bật tắt máy
Hình 3- 16: Danh sách các log mục Security
Một vài Event ID thường gặp:
4616: Thay đổi trạng thái cấu hình của hệ thống
4634: Một tài khoản đã đăng xuất
4672: Đặc quyền được chỉ định cho lần đăng nhập mới
4624: Một tài khoản được đăng nhập thành công
● Mục System: Nơi lưu nhật ký các dịch vụ, thay đổi cấu hình của hệ thống
Hình 3- 17: Danh sách các log mục System
Phân tích HĐH windows server 2012
Trên nền tảng hệ điều hành Windows Server 2012, việc phân tích các thông tin như phiên bản, tường lửa, nhật ký sự kiện và registry tương tự như trên Windows 7 Ngoài ra, còn nhiều nội dung khác có thể được phân tích trên Windows Server 2012 để tối ưu hóa hiệu suất và bảo mật hệ thống.
Kiểm tra các service và trạng thái
Mở cửa sổ PowerShell -> chạy lệnh: Powershell -ExecutionPolicy Bypass - Command “& Get-Service | Select Name, DisplayName, Status, StartType”
Hình 3- 18: Kiểm tra các service đang có trên hệ thống
Display Name: tên hiển thị trên hệ thống
Status: Trạng thái của dịch vụ
Lấy danh sách các service đang chạy: Get-Service | Where {$_.Status -eq
‘Running’} | Select Name, DisplayName, StartType
Hình 3- 19: Kiểm tra các service đang có trên hệ thống
Name: Tên dịch vụ đang chạy
Display Name: tên hiển thị của dịch vụ trên hệ thống
Hình 3- 20: Lấy danh sách các log theo danh mục Application
Lấy danh sách các log theo các mục “Application, Security, Setup, System “ trong event log
Hình 3- 21: Lấy danh sách các tiến trình đang chạy
Hiển thị danh sách các tiến trình đang hoạt động
HANDLESS: tổng số lượng bộ mô tả tệp đầu vào-đầu ra (xử lý) mà quá trình này đã mở
NPM (K): Là bộ nhớ không phân trang Đây là kích thước của dữ liệu tiến trình (tính bằng KB) trên 1 trang
PM (K): kích thước của bộ nhớ tiến trình có thể được phân trang (Tổng bộ nhớ tiến trình)
WS (K): kích thước của bộ nhớ vật lý (tính bằng KB) được sử dụng bởi quá trình (Bộ làm việc)
CPU: thời gian CPU được sử dụng bởi quá trình (thời gian trên tất cả các CPU được tính);
ID: Mã định danh tiến trình
SI (Session ID): là ID phiên của quá trình (0 có nghĩa là chạy cho tất cả các phiên,
1- chạy cho người dùng đăng nhập đầu tiên, 2 - chạy cho người dùng đăng nhập thứ hai);
Kiểm tra các phân vùng ổ cứng
Truy cập Server Manager -> Tool -> Computer Management
Các thông tin phân vùng ổ cứng:
Hình 3- 22: Kiểm tra các phân vùng ổ cứng
Bài tập lớn: Phân tích HĐH windows của chúng em đã đạt được những kết quả sau:
Về lý thuyết: Bài tập lớn đã trình bày và hiểu được:
Khái niệm về Hệ Điều Hành nói chung và về Hệ Điều Hành windows nói riêng
Giới thiệu các thông tin cần lưu ý khi thực hiện phân tích Hệ điều hành windows (Cấu hình hệ thống, Các loại log, Cấu hình của registry, )
Vai trò của hệ điều hành trong quá trình điều tra, thu thập thông tin tội phạm máy tính
Trong quá trình thực hiện, tôi nhận thấy rằng năng lực của mình còn nhiều hạn chế, cùng với những yếu tố khách quan như cơ sở vật chất và khả năng dịch hiểu tiếng Anh trong các diễn đàn công nghệ, dẫn đến nhiều sai sót trong bài trình bày Tôi rất mong nhận được sự đóng góp ý kiến từ Thầy và các người dùng để nâng cao kiến thức và kinh nghiệm, từ đó hoàn thiện nội dung tốt hơn Xin chân thành cảm ơn!
