Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Lab: Khám phá hệ điều hành Windows

    Lab: Khám Phá Hệ Điều Hành Windows

    Mục tiêu


    Trong lab này, bạn sẽ khám phá các thành phần bên trong hệ điều hành Windows:
    • Tiến trình (Processes)
    • Luồng (Threads)
    • Dịch vụ (Services)
    • Registry
    • Người dùng & quyền truy cập
    • Giám sát hoạt động mạng

    Bạn sẽ sử dụng máy ảo Inside-Win và công cụ Sysinternals Suite để quan sát, phân tích và tương tác trực tiếp với hệ điều hành. Kỹ năng này rất quan trọng cho quản trị hệ thống, bảo mật và điều tra sự cố.
    Yêu cầu
    • Máy ảo Inside-Win với quyền admin (tài khoản admin đăng nhập tự động).
    • Ổ DVD chứa Sysinternals Suite và tệp lệnh (theo Job Aid).
    • Bố cục bàn phím US English.
    • Lab đã được Initialize trước khi bắt đầu.
    Phần 1. Chuẩn Bị Máy Ảo Inside-Win
    1. Đăng nhập desktop Inside-Win.
    2. Khởi chạy Mozilla Thunderbird, thu nhỏ cửa sổ (bỏ qua lỗi).
    3. Mở Command Prompt, nhập:
      ftp inside-srv
      • Username: anonymous
      • Password: nhập bất kỳ
        Thu nhỏ cửa sổ, giữ kết nối.
    4. Tìm và khởi chạy Google Chrome từ Start Menu, thu nhỏ cửa sổ.
    Phần 2. Khám Phá Tiến Trình (Processes)
    1. Mở Task Manager (Ctrl+Shift+Esc hoặc gõ taskmgr).
    2. Nhấn More details để xem toàn bộ tiến trình.
    3. Xác định các tiến trình:
      • Google Chrome
      • Thunderbird
      • Windows Command Processor
    4. Quan sát 3 nhóm tiến trình: Apps, Background processes, Windows processes.
    5. Tìm tiến trình File Transfer Program (ftp.exe) chạy trong nền.
    6. Nhấp cột CPU hoặc Memory để sắp xếp theo tài nguyên sử dụng.
    Phần 3. Khám Phá Luồng (Threads) với Process Explorer
    1. Mở D:\SysinternalsSuite, chạy procexp.exe.
    2. Thu gọn cây tiến trình dưới wininit.exe.
    3. Xác định quan hệ cha/con:
      • cmd.execonhost.exe, ftp.exe
    4. Thử dừng một tiến trình cha chrome.exe → quan sát tất cả tiến trình con cũng bị dừng.
    5. Kiểm tra luồng:
      • Chuột phải ftp.exeProperties → tab Threads.
    6. Tùy chọn: Kiểm tra hash VirusTotal (mô phỏng, không có internet).
    Phần 4. Khám Phá Registry
    1. Gõ regedit để mở Registry Editor.
    2. Quan sát 5 hives cấp cao.
    3. Điều hướng:
      HKEY_CURRENT_USER\SOFTWARE\Sysinternals\Process Explorer
      • Key: EulaAccepted
    4. Đổi giá trị thành 0, sau đó chạy lại procexp.exe → nhấn Agree.
    5. Làm mới registry, xác nhận giá trị quay về 1.
    6. Thêm menu ngữ cảnh "Open In Notepad":
      HKEY_CLASSES_ROOT\*\shell\Open In Notepad\command
      Giá trị (Default) =
      notepad.exe %1
      → Kiểm tra bằng cách mở một file bất kỳ trong Notepad.
    Phần 5. Khám Phá Handles
    1. Trong Process Explorer, chọn ftp.exe.
    2. Bật chế độ: View > Show Lower PaneHandles.
    3. Quan sát danh sách handles mà tiến trình đang sử dụng (file, registry, luồng).
    Phần 6. Khám Phá Dịch Vụ Windows (Services)
    1. Mở Services Console (services.msc).
    2. Kiểm tra DNS Client → tab Dependencies.
    3. Xem dịch vụ Wired AutoConfig (dot3svc).
    4. Vào Network Connections (ncpa.cpl) → mở EthernetProperties.
    5. Start dịch vụ Wired AutoConfig trong Services Console.
    6. Quay lại Ethernet Properties → thấy thêm tab Authentication (802.1X).
    7. Dùng Task ManagerProcess Explorer để xác định svchost.exe đang chạy dịch vụ này.
    Phần 7. Người Dùng, Nhóm, và Quyền
    1. Mở Local Users and Groups (lusrmgr.msc).
    2. Kiểm tra nhóm của user adminamy.
    3. Trong C:\Users, thử truy cập thư mục của amy → yêu cầu quyền admin.
    4. Mở file SecretStuff.txt → bị từ chối (Access Denied).
    5. Xem tab Security của file để hiểu quyền hạn.
    Phần 8. Hoạt Động Mạng từ CLI
    1. Giữ Thunderbird và FTP đang chạy.
    2. Dùng lệnh:
      netstat -a netstat -a | find "EST" netstat -ano | find "EST" tasklist tasklist | find "<PID>"
      (thay <PID> bằng ID tiến trình liên quan).
    Phần 9. Hoạt Động Mạng từ GUI
    1. Mở Tcpview.exe từ Sysinternals.
    2. Sắp xếp theo State hoặc Process.
    3. Khởi chạy Firefox → truy cập http://inside-srv.
    4. Quan sát kết nối động của firefox.exe trong TCPview.
    Kết thúc Lab


    Đóng tất cả ứng dụng.

    Kết quả đạt được:
    • Hiểu cách Windows quản lý tiến trình, luồng, dịch vụ, registry.
    • Thấy rõ cách phân quyền và bảo mật người dùng.
    • Giám sát kết nối mạng ở cả CLI và GUI.

    Kiến thức này giúp bạn phân tích sự cố hệ thống, hiểu cách malware lợi dụng tiến trình/registry, và tăng khả năng phát hiện tấn công.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X