�ݺ�ߣ

© 2018 �ݺ�ߣfabric.com All rights reserved.
Kỹ thuật
viễn thông
Computer Forensics
VI
Ễ
N
THÔNG
Reporter: Mai Phạm Đăng Khoa Khánh Hòa, tháng 04 năm 2023

Bàibáocáobaogồm3chương:
Chương 1. Tìm hiêu và cài đặt công cụ WinAudit
Chương 2. Phân tích và xử lý dữ liệu trên WinAudit
Chương 3. Kiểm tra và phân tích hệ thống bằng winaudit
Reporter: Mai Phạm Đăng Khoa

© 2018 �ݺ�ߣfabric.com All rights reserved. 3
1. Tiến hành tải về và giải nén phần mềm
WinAudit trên hệ thống cần sử dụng phần
mềm
2. Khởi động và sử dụng WinAudit.
CHƯƠNG 1. Tìm hiểu và cài đặt công cụ WinAudit

CHƯƠNG 2. Phân tích và xử lý dữ liệu trên
WinAudit
ĐÁNH GIÁ CHÍNH SÁCH
Audit system event
Audit logon events
Audit object access
Audit process tracking
Audit policy change
Audit account management
Audit directory service access

Kiểm tra User Righ
Đây là một cấu hình riêng biệt cho người
dùng giao tiếp với hệ thống như: quyền đăng
nhập, quyền truy cập từ xa, quyển uỷ thác, quyền
quản lý...
CHƯƠNG 2

Kiểm tra Windows Firewall
CHƯƠNG 2
Kích hoạt và giữ firewall luôn chạy kết
hợp với phần mềm anti-virus và việc cập nhật
hệ thống thường xuyên sẽ làm cho hệ thống
được gia cố mạnh mẽ hơn.

Kiểm tra chính sách mật khẩu
Chính sách mật khẩu là một bộ quy
tắc được thiết kế để tăng cường bảo mật hệ
thống bằng cách khuyến khích người dùng
sử dụng mật khẩu mạnh và sử dụng chúng
đúng cách.
CHƯƠNG 2

Kiểm tra chính sách
lock out tài khoản
Chính sách lockout tài khoản
kiểm soát cách thức và thời điểm
các tài khoản bị khóa khỏi miền
hoặc hệ thống cục bộ.
CHƯƠNG 2

Kiểm tra cấu hình máy chủ
Cấu hình tự động cập nhật
thường xuyên giữ cho hệ thống luôn
được áp dụng các bản vá mới nhất,
tránh tồn đọng các lỗ hổng bảo mật đã
được phát hiện và bị lợi dụng.
CHƯƠNG 2

1. Mô tả tình huống
2. Thu thập thông tin.
3. Phân tích và xử lý thông tin
4. Các biện pháp để đảm bảo ngăn chặn lộ lọt thông tin từ máy tính cá
nhân và máy tính đơn vị.
Chương 3. Kiểm tra và phân tích hệ thống bằng winaudit

Investigation
Chương
3
Mô tả tình
huống
Cơ quan chuyên trách CNTT nhận được thông
báo từ Cơ quan phát hiện một máy tính kết nối
mạng LAN quân sự sử dụng USB không an toàn và
cài đặt ứng dụng không rõ nguồn gốc (nghi vấn có
mã độc). Cơ quan đã xác định được máy tính đồng
chí Nguyễn Văn A. Tôi sử dụng tiến hành điều tra,
phân tích máy tính của anh Nguyễn Văn A để xử lý
vấn đề.

Kịch bản
General Manager
Yêu cầu
Chief Excutive Officer
Chuẩn bị
Creative Director
Chương 3

THU THẬP THÔNG TIN
Chương
3 Tiến hành mở chương trình Winaudit để kiểm tra ứng dụng lạ đã
cài đặt trên máy tính:

Chương
3
Bước 1: Chọn Windows + R > Gõ Regedit.
Bước 2: Nhập đường dẫn dưới đây
Bước 3: Chọn USBSTOR bạn sẽ nhận được một danh sách
tất cả các thiết bị USB đã kết nối với máy tính.
Bước 4: Chọn thư mục muốn kiểm tra > FriendlyName
(Bước này sẽ giúp bạn xem được thông tin chi tiết là thiết bị
nào).
Ta thấy được thông tin chi tiết của USB được sử dụng trên
máy tính này
+) Tiếp tục sử dụng Process Explorer để tiến hành kiểm tra
chương trình lạ đang chạy
Đầu tiên chúng ta khởi động phần mềm chọn vào tab View
và bỏ tích ở mục Show processes From All Users
Tiếp theo chúng ta nhận định ứng dụng có nguy cơ gây hại
đang chạy và nghi ngờ có virut
Click vào ứng dụng KMSELDI.exe đang chạy để kiểm tra
thông tin
Tại đây ta thấy được thông tin cơ bản của ứng dụng
Tiếp tục chúng ta click vào nút Explore để tìm tập tin này trên
hệ thống

Phân tích và xử lý thông tin
Chương
3
Sau khi thực hiện quét các bước phân tích và thu thập dữ
liệu có liên quan, tôi tiến hành gỡ bỏ ứng dụng KSMpico và các
dấu vết liên quan, sau đó tiến hành quét virut tổng quát trên máy
tính bằng ,kết luận và tạo văn bản báo cáo.
Bước 1: Tắt hoàn toàn ứng dụng

Chương
3
Bước 2: Tiến hành gỡ cài đặt ứng dụng và xóa các file độc
hại có trên máy tính
Bước 3: Tiến hành khởi động Process Explorer để 1 lần nữa
quét các file và phần mềm độc hại có trên máy tính
Bước 4: Hoàn thiện và xác định máy đã đảm bảo an toàn để
tiếp tục sử dụng
Kết luận: Đồng chí A sử dụng USB không rõ nguồn gốc
và chưa được cài đặt an toàn, cài đặt ứng dụng lạ lên máy tính sử
dụng mạng LAN nội bộ mà chưa được cấp phép gây mất an toàn
và bảo mật.
Viết báo cáo chi tiết về các thông tin, chứng cứ vừa tìm
thấy.
Tài liệu hóa rõ ràng, chi tiết và báo cáo lại cho cấp trên xử
lý chứng cứ thu được từ cuộc điều tra.

Chương
3
CÁC BIỆN PHÁP ĐỂ ĐẢM BẢO NGĂN CHẶN LỘ LỌT THÔNG TIN
• Tăng cường kiểm tra, giám sát quản lý việc sử dụng máy tính cá nhân cũng như các thiết bị lưu trữ như USB, ở cứng di
động, …
• Hướng dẫn và cài đặt các phần mềm diệt virus, USB an toàn,..
• Không sử dụng mạng internet cắm vào mạng LAN đơn vị cũng như sử dụng mạng LAN cắm vào máy tính cá nhân đã
từng kết nối internet.
• Phân quyền truy cập cho các cá nhân được phép truy cập vào các loại tài liệu như thế nào, thực hiện giám sát quản lý chặt
chẽ các tài khoản thuộc quản lý.
• Nếu phát hiện ra sự cố lộ lọt thông tin, ngay lập tức báo cáo cấp trên, khoang vùng, phong tỏa, không cho phép các cá
nhân rời khỏi vị trí, tiến hành điều tra thu thập chứng cứ, mời các chuyên gia hoặc sử dụng các công cụ thu thập chứng cứ
dấu vết để tiến hành điều tra.
• Nâng cao ý thức trách nhiệm mỗi cá nhân trong đơn vị trong việc đảm an ninh an toàn thông tin, đề cao tinh thần cảnh
giác, không bị lợi dụng bởi các kẻ xấu cũng như khi tham gia mạng internet không truy cập vào các đường link lạ hay tải
các phần mềm độc hại không rõ nguồn gốc về máy tính.
• Cài đặt mật khẩu bảo mật cao cho các file tài liệu quan trọng, không chứa các tài liệu quan trọng trong máy tính cá nhân.

Thank
you!
Contact me if you have any questions?
Reporter:
• Mai Phạm Đăng Khoa
Phone Number:
• 0333046709
Gmail:
• Dangkhoak52a1@gmail.com

�ݺ�ߣ

Báo cáo Winaudit.pptx

Recommended

More Related Content

Similar to Báo cáo Winaudit.pptx (20)

Recently uploaded (18)

Báo cáo Winaudit.pptx