Top 10 Công Cụ Digital Forensics Miễn Phí (2025) – Vũ Khí Không Thể Thiếu Cho DFIR

Top 10 Công Cụ Digital Forensics Miễn Phí (2025) – Vũ Khí Không Thể Thiếu Cho DFIR
Trong thời đại nơi các vụ tấn công mạng ngày càng phức tạp và tinh vi, lĩnh vực Digital Forensics & Incident Response (DFIR) đòi hỏi chuyên gia phải trang bị bộ công cụ toàn diện. May mắn thay, nhiều công cụ forensics hiện đại đang được cung cấp hoàn toàn miễn phí, cho phép chúng ta thu thập và phân tích chứng cứ kỹ thuật số mà không cần đầu tư nguồn lực tài chính khổng lồ.
Bài viết dưới đây sẽ giới thiệu 10 công cụ digital forensics miễn phí hàng đầu năm 2025, được phân loại theo vai trò trong quy trình điều tra hiện đại. Từ tạo ảnh (imaging) đĩa và phân tích bộ nhớ, đến săn lùng mối đe dọa trên quy mô doanh nghiệp và forensics thiết bị di động - bạn sẽ có trong tay bộ vũ khí mạnh mẽ để đối mặt với mọi thách thức trong điều tra số.
Nội dung chính:
- FTK Imager – Thu thập chứng cứ và tạo ảnh đĩa
- Autopsy – Nền tảng phân tích forensics đĩa
- Volatility – Framework phân tích bộ nhớ
- Plaso – Tự động tạo timeline (log2timeline)
- Timesketch – Phân tích dòng thời gian
- Wireshark – Bắt và phân tích gói tin mạng
- Zeek – Giám sát an ninh mạng và ghi log
- KAPE – Thu thập dữ liệu triage Windows
- Velociraptor – Giám sát endpoint và săn mối đe dọa
- Mobile Verification Toolkit (MVT) – Forensics thiết bị di động
1. FTK Imager – Thu thập chứng cứ và tạo ảnh đĩa
Mọi cuộc điều tra chỉ có thể thành công khi bắt đầu với việc thu thập chứng cứ đúng quy trình pháp lý. FTK Imager đóng vai trò then chốt trong việc tạo bản sao bit-by-bit chính xác của đĩa và các thiết bị lưu trữ mà không làm thay đổi nguồn gốc. Đây thường là công cụ đầu tiên mà chuyên gia ứng phó sự cố sử dụng để bảo tồn ổ cứng hoặc bộ nhớ trước khi tiến hành phân tích sâu.
Chức năng chính: FTK Imager cho phép nhà điều tra tạo ảnh đĩa đầy đủ (hoặc RAM) và xem trước nội dung ở chế độ chỉ đọc. Bằng cách tạo ảnh của đĩa, USB, CD/DVD, v.v., người ứng phó có thể làm việc trên bản sao dữ liệu, giữ nguyên tính toàn vẹn của chứng cứ gốc.
Tính năng nổi bật:
- Tạo ảnh pháp lý theo nhiều định dạng (E01/EnCase, raw/DD) với tùy chọn chia thành phân đoạn
- Khả năng phục hồi file đã xóa và duyệt nội dung hệ thống tệp trước khi sử dụng bộ công cụ forensics đầy đủ
- Tạo giá trị hash MD5/SHA của các bản thu để xác minh tính toàn vẹn
- Nhẹ và nhanh, hữu ích cho việc tạo ảnh nhanh trên hệ thống đang hoạt động (thậm chí có thể bắt bộ nhớ dễ bay hơi trên Windows)
Hệ điều hành hỗ trợ: Công cụ GUI chỉ chạy trên Windows. Tuy nhiên, nó có thể tạo ảnh đĩa từ bất kỳ hệ điều hành nào (Windows, Linux, macOS) bằng cách đọc ở cấp độ sector.
Bắt đầu mỗi cuộc điều tra forensics bằng việc thu thập chứng cứ đúng cách là yếu tố quyết định thành công. Đây chính là lý do FTK Imager trở thành công cụ không thể thiếu trong bộ kit của mọi chuyên gia DFIR.
2. Autopsy – Nền tảng phân tích forensics đĩa
Khi đã có ảnh đĩa, Autopsy là nền tảng mã nguồn mở hàng đầu để phân tích chúng. Autopsy là giao diện forensics thân thiện với người dùng được xây dựng trên The Sleuth Kit, có khả năng đào sâu vào ảnh đĩa để trích xuất tệp, artifacts và khám phá những gì đã xảy ra trên hệ thống. Nó đóng vai trò như một bộ công cụ điều tra end-to-end, thường được so sánh với các công cụ thương mại như EnCase hoặc FTK, nhưng hoàn toàn miễn phí.
Chức năng chính: Autopsy cung cấp giao diện tập trung để phân tích hệ thống tệp Windows, Linux và macOS, khôi phục tệp đã xóa, kiểm tra hoạt động người dùng (lịch sử web, email, registry, v.v.) và thậm chí phân tích dữ liệu thiết bị di động. Nhà điều tra có thể tạo case, thêm bằng chứng từ ảnh, và tận dụng các module của Autopsy để phân tích dữ liệu.
Tính năng nổi bật:
- Phân tích dòng thời gian: Tự động tạo dòng thời gian các sự kiện hệ thống tệp (tạo, sửa đổi tệp, v.v.) để giúp tái tạo sự cố
- Tìm kiếm từ khóa & lọc hash: Lập chỉ mục từ khóa để tìm kiếm (ví dụ: tìm tất cả các xuất hiện của "password") và lọc tệp đã biết tốt/xấu qua bộ hash
- Trích xuất web và artifacts ứng dụng: Các module tích hợp để phân tích lịch sử trình duyệt, cache, cookie, lưu trữ email, Windows Registry, v.v.
- Khôi phục và carving tệp: Khôi phục tệp đã xóa hoặc cắt ra các phân đoạn dữ liệu. Autopsy cũng có thể nhập kết quả từ các công cụ khác và hỗ trợ plugin bên thứ ba, giúp mở rộng chức năng.
Hệ điều hành hỗ trợ: Autopsy chạy trên Windows, và cũng hỗ trợ Linux và macOS (vì nó dựa trên Java). Nó có thể phân tích phương tiện từ tất cả các loại hệ điều hành chính (NTFS, FAT/exFAT, HFS+, EXT*, v.v.).
Hiểu sâu hệ thống tệp và khôi phục dữ liệu là kỹ năng cốt lõi của chuyên gia bảo mật. Tại CyberJutsu, chúng tôi luôn nhấn mạnh tầm quan trọng của việc này trong các khóa học Web Penetration Testing - nơi bạn học cách khai thác lỗ hổng Directory Traversal và hiểu cách hệ thống tệp hoạt động, từ đó áp dụng vào cả kỹ thuật tấn công lẫn kỹ năng phòng thủ.
3. Volatility – Framework phân tích bộ nhớ
Trong DFIR hiện đại, phân tích bộ nhớ là yếu tố quan trọng để phát hiện malware trong bộ nhớ, khóa mã hóa, tiến trình đang chạy và các artifact dễ bay hơi khác. Volatility Framework là công cụ mã nguồn mở mạnh mẽ để phân tích RAM dump từ hệ thống bị xâm phạm. Khi sự cố liên quan đến malware tiên tiến hoặc tấn công fileless, người ứng phó sẽ dùng Volatility để tiết lộ những gì đang hoạt động trong bộ nhớ.
Chức năng chính: Volatility cho phép nhà điều tra phân tích một ảnh bộ nhớ (RAM) đã bắt được và trích xuất thông tin như tiến trình đang chạy, DLL đã tải, kết nối mạng đang mở, registry hive trong bộ nhớ, bằng chứng về tiêm tiến trình, v.v. Nó hỗ trợ kiến trúc plugin: mỗi plugin thực hiện một phân tích cụ thể (liệt kê tiến trình, quét mẫu malware, dump các phần bộ nhớ, v.v.).
Tính năng nổi bật:
- Hỗ trợ đa hệ điều hành: Phân tích RAM dump từ Windows, Linux, macOS và thậm chí cả thiết bị Android trong một framework. Tính linh hoạt này giúp bạn điều tra bộ nhớ từ hầu hết các hệ thống.
- Plugin phong phú: Hàng trăm plugin để tự động hóa các tác vụ phân tích phổ biến (liệt kê tiến trình, trích xuất registry, tìm kiếm chuỗi trong bộ nhớ, phát hiện malware bằng cách phát hiện mẫu, v.v.). Ví dụ, các plugin có thể tìm hash thông tin đăng nhập trong bộ nhớ hoặc phát hiện rootkit ẩn bằng cách so sánh cấu trúc kernel dự kiến và thực tế.
- Cộng đồng phát triển và mở rộng: Là một dự án mở, Volatility thường xuyên cập nhật với nghiên cứu mới nhất. Nhà phân tích có thể viết các plugin tùy chỉnh (bằng Python) để xử lý malware mới hoặc phiên bản OS mới. Cộng đồng dự án năng động luôn đóng góp các plugin cho các artifact mới.
Hệ điều hành hỗ trợ: Volatility chạy trên Windows, Linux hoặc macOS (bất kỳ hệ thống nào hỗ trợ Python). Nó có thể xử lý ảnh bộ nhớ từ tất cả các phiên bản OS chính (Windows XP đến Windows 11, các bản phân phối Linux phổ biến, Mac OS X/macOS, v.v.) với hồ sơ hoặc tệp ký hiệu thích hợp.
4. Plaso – Tự động tạo dòng thời gian (log2timeline)
Các cuộc điều tra forensics hiệu quả thường đòi hỏi việc tái tạo dòng thời gian các sự kiện từ nhiều nguồn log khác nhau. Plaso (log2timeline) là công cụ mã nguồn mở tự động tạo "siêu dòng thời gian" bằng cách tổng hợp dấu thời gian từ nhiều artifact forensics vào một đầu ra theo thứ tự thời gian. Điều này giúp nhà phân tích thấy chuỗi sự kiện (sửa đổi tệp, mục nhập log, hoạt động người dùng, v.v.) trước và trong sự cố.
Chức năng chính: Plaso phân tích nhiều loại tệp log và artifact (lịch sử trình duyệt, log sự kiện OS, metadata hệ thống tệp, log ứng dụng, v.v.) từ ảnh đĩa hoặc dump dữ liệu, và tạo ra dòng thời gian tổng hợp các sự kiện ở định dạng CSV hoặc khác. Về cơ bản, đây là công cụ backend nhận bằng chứng và tạo ra danh sách sự kiện có dấu thời gian được sắp xếp.
Tính năng nổi bật:
- Tạo "siêu dòng thời gian": Theo mặc định, Plaso sẽ thu thập tất cả sự kiện có dấu thời gian từ các nguồn artifact được hỗ trợ, tạo ra dòng thời gian toàn diện. Điều này có thể bao gồm thời gian MAC tệp, sự kiện đăng nhập, thời điểm cắm USB, truy cập trình duyệt, tin nhắn trò chuyện, v.v. trong một chuỗi.
- Thư viện parser phong phú: Plaso đi kèm với nhiều parser cho các loại artifact khác nhau (ví dụ: Windows Prefetch, registry hive, cơ sở dữ liệu trình duyệt web, log dịch vụ đám mây). Nó liên tục được cập nhật để hỗ trợ các ứng dụng mới và nguồn dữ liệu liên quan đến DFIR.
- Dòng thời gian mục tiêu: Dù xuất sắc ở dòng thời gian rộng, Plaso cũng hỗ trợ nhắm mục tiêu dữ liệu cụ thể (bạn có thể lọc hoặc chỉ chọn một số artifact nhất định để đưa vào), rất hữu ích khi tập trung vào một khía cạnh cụ thể của vụ việc.
Hệ điều hành hỗ trợ: Plaso là công cụ dựa trên Python và có thể chạy trên Linux, Windows hoặc macOS. Các nhà phân tích thường chạy nó trên Linux (nó được bao gồm trong các bản phân phối forensics như SIFT). Nó có thể xử lý các artifact từ Windows, Linux, macOS, và đôi khi cả thiết bị di động (nếu trỏ đến dữ liệu đã trích xuất) - về cơ bản là bất kỳ nguồn nào mà parser tồn tại.
5. Timesketch – Phân tích dòng thời gian cộng tác
Việc phân loại dòng thời gian khổng lồ (thường là hàng triệu sự kiện) có thể gây choáng ngợp. Timesketch là công cụ mã nguồn mở cung cấp giao diện web cộng tác để phân tích và điều tra các dòng thời gian. Nó thường được sử dụng kết hợp với Plaso: Plaso tạo dữ liệu dòng thời gian, và Timesketch cho phép bạn truy vấn, gắn thẻ, lọc và trực quan hóa dữ liệu đó để tìm manh mối quan trọng.
Chức năng chính: Timesketch cho phép một hoặc nhiều nhà điều tra nhập các sự kiện dòng thời gian (từ Plaso hoặc log CSV thủ công) vào cơ sở dữ liệu có thể tìm kiếm, tương tác được gọi là "sketch." Trong sketch, bạn có thể lọc sự kiện theo từ khóa hoặc thuộc tính, thêm thẻ/bình luận và xây dựng các chế độ xem trực quan của dữ liệu (ví dụ: tập trung vào một địa chỉ IP hoặc tài khoản người dùng cụ thể theo thời gian).
Tính năng nổi bật:
- Cộng tác: Nhiều thành viên trong nhóm có thể làm việc trên cùng một dòng thời gian đồng thời, thêm ghi chú hoặc điều tra các manh mối khác nhau, điều này rất tuyệt vời cho các vụ việc lớn.
- Tìm kiếm và lọc mạnh mẽ: Cung cấp khả năng tìm kiếm giống Google cho các sự kiện dòng thời gian (với Elasticsearch ở backend). Nhà phân tích có thể nhanh chóng xác định các sự kiện liên quan (ví dụ: tất cả các sự kiện từ một giờ cụ thể hoặc tất cả các mục nhập log chứa "malware.exe").
- Trực quan hóa và kể chuyện: Cho phép nhóm các sự kiện và tạo biểu đồ hoặc đồ thị hoạt động theo thời gian. Điều này giúp phát hiện mẫu hoặc khoảng trống (ví dụ: một đợt hoạt động bất thường lúc 3 giờ sáng). Bạn cũng có thể xây dựng tường thuật bằng cách gắn thẻ các sự kiện chính và mô tả ý nghĩa của chúng.
Hệ điều hành hỗ trợ: Máy chủ Timesketch chạy trên Linux (thường được triển khai qua Docker). Giao diện người dùng web được truy cập thông qua trình duyệt, nên không phụ thuộc hệ điều hành đối với người dùng. Nó thường được lưu trữ trên VM phân tích hoặc máy chủ như một phần của bộ công cụ điều tra.
6. Wireshark – Bắt và phân tích gói tin mạng
Forensics mạng rất quan trọng trong ứng phó sự cố, đặc biệt là cho các trường hợp xâm nhập. Wireshark là công cụ miễn phí hàng đầu thế giới để bắt và phân tích lưu lượng mạng. Nó giống như có một kính hiển vi cho các gói tin mạng - cho phép các nhà phân tích DFIR kiểm tra mọi thứ từ các request HTTP đến các kết nối TCP đáng ngờ một cách chi tiết.
Chức năng chính: Wireshark có thể bắt lưu lượng mạng trực tiếp hoặc mở các tệp bắt gói tin đã lưu (PCAP). Sau đó, nó cung cấp giao diện đồ họa để lọc và kiểm tra các gói tin, giải mã giao thức và tái tạo các luồng (như khôi phục một tệp tải xuống hoặc phiên trò chuyện từ các gói tin). Trong kịch bản IR, Wireshark có thể được sử dụng để phân tích lưu lượng từ một máy chủ bị xâm phạm hoặc để xem lại dữ liệu bị rò rỉ trong một dump mạng.
Tính năng nổi bật:
- Bắt gói tin đa nền tảng: Chạy trên Windows, Linux, macOS và hỗ trợ bắt trên nhiều giao diện (Ethernet, Wi-Fi, v.v.) hoặc đọc các bản bắt từ nhiều nguồn.
- Phân tích giao thức sâu: Hiểu hàng trăm giao thức. Wireshark giải mã các trường gói tin cho bạn - cho dù đó là bắt tay TCP, truy vấn DNS, bắt tay TLS hay giao thức ứng dụng - giúp dễ dàng phát hiện bất thường hoặc nội dung độc hại.
- Lọc và tìm kiếm phong phú: Sử dụng ngôn ngữ lọc hiển thị mạnh mẽ để giúp các nhà phân tích đi sâu (ví dụ:
http.request.method == "POST"
để xem tất cả các yêu cầu HTTP POST). Bạn cũng có thể theo dõi các luồng (xem toàn bộ cuộc hội thoại TCP được tái tạo), hữu ích để đọc các thứ như giao dịch HTTP hoặc tin nhắn trò chuyện theo thứ tự. - Mã màu gói tin và tái tạo: Quy tắc màu làm nổi bật các gói tin đáng ngờ hoặc lỗi. Wireshark cũng có thể xuất các đối tượng từ các bản bắt (ví dụ: tái tạo các tệp được truyền qua HTTP hoặc FTP).
Hệ điều hành hỗ trợ: Windows, Linux, macOS (có sẵn cả phiên bản GUI và TTY).
7. Zeek – Giám sát an ninh mạng và ghi log
Trong khi Wireshark tuyệt vời cho việc kiểm tra gói tin sâu, đôi khi bạn cần giám sát hoạt động mạng ở quy mô lớn hơn hoặc trong thời gian dài hơn - đó là khi Zeek (trước đây là Bro) xuất hiện. Zeek là một trình phân tích lưu lượng mạng thụ động, mã nguồn mở và công cụ giám sát an ninh ghi lại tóm tắt cấp cao của các sự kiện mạng. Nó giống như có một DVR cho mạng của bạn, ghi lại những gì đã xảy ra với chi tiết phong phú nhưng không nhất thiết phải lưu trữ từng gói tin.
Chức năng chính: Được triển khai như một cảm biến mạng, Zeek quan sát lưu lượng mạng (từ cổng span, TAP hoặc tệp PCAP) và tạo ra log có cấu trúc về các hoạt động: kết nối, yêu cầu HTTP, truy vấn DNS, bắt tay TLS, truyền tệp, v.v. Trong DFIR, nếu môi trường có Zeek đang chạy, nhà điều tra có thể xem lại log của Zeek để nhanh chóng xác định các liên lạc đáng ngờ (ví dụ: kết nối đến các IP độc hại đã biết, truyền dữ liệu lớn, chuỗi user-agent lạ) mà không cần tìm kiếm trong các bản bắt gói tin đầy đủ.
Tính năng nổi bật:
- Log mạng toàn diện: Zeek ghi lại gần như mọi thứ nó thấy ở cấp độ metadata - mọi kết nối TCP/UDP (với dấu thời gian, cổng, byte, cờ), mọi phiên HTTP (phương thức, URL, mã phản hồi), tra cứu DNS, chứng chỉ SSL đã quan sát, tệp đã truyền (có hash), v.v. Những log này cung cấp nguồn dữ liệu phong phú cho forensics mạng và xây dựng dòng thời gian.
- Script phát hiện tích hợp: Đi kèm với các script chính sách để phát hiện các mối đe dọa phổ biến (ví dụ: các nỗ lực tấn công brute force SSH, chữ ký malware đã biết trong tệp, bất thường giao thức). Nó không phải là IDS chủ động, nhưng có thể đánh dấu các mẫu đáng ngờ trong log của nó.
- Mở rộng cao thông qua scripting: Zeek có ngôn ngữ kịch bản riêng, cho phép các nhà phân tích viết logic phát hiện hoặc phân tích tùy chỉnh. Bạn có thể mở rộng Zeek để phân tích các giao thức mới hoặc tạo cảnh báo trong các điều kiện cụ thể, khiến nó rất linh hoạt cho việc săn mối đe dọa và nghiên cứu.
Hệ điều hành hỗ trợ: Zeek chạy trên các hệ thống kiểu Unix (Linux, *BSD, macOS). Nó thường được triển khai trên các máy chủ Linux trong môi trường sản xuất. (Windows không được hỗ trợ làm cảm biến, mặc dù lưu lượng Windows có thể được phân tích bởi cảm biến Zeek chạy trên Linux.)
8. KAPE – Thu thập dữ liệu triage Windows
Trong ứng phó sự cố trên các endpoint Windows, thời gian là yếu tố quan trọng. KAPE (Kroll Artifact Parser and Extractor) là công cụ triage miễn phí nhanh chóng thu thập và xử lý các artifact forensics từ hệ thống Windows trực tiếp hoặc đã gắn kết. Nó thường là một trong những bước đầu tiên trong IR: chạy KAPE để thu thập các tệp quan trọng (log sự kiện, registry hive, dữ liệu trình duyệt, v.v.) và tùy chọn phân tích chúng, tất cả chỉ trong vài phút.
Chức năng chính: KAPE sử dụng "Targets" (chỉ định những gì cần thu thập - ví dụ: lấy tất cả log EVTX, tất cả tệp $MFT
, v.v.) và "Modules" (chỉ định cách xử lý các artifact đó, thường sử dụng các công cụ khác như RegRipper hoặc EvtxECmd). Bằng cách chọn các target và module thích hợp, nhà điều tra có thể tự động hóa việc lấy bằng chứng chính từ một hệ thống và thậm chí nhận kết quả phân tích sơ bộ (như báo cáo CSV) rất nhanh.
Tính năng nổi bật:
- Triage có thể cấu hình cao: Đi kèm với thư viện lớn các Target được định nghĩa sẵn bao gồm các vị trí forensics phổ biến của Windows (registry, log sự kiện, Prefetch, Shimcache, $Recycle.Bin, v.v.). Bạn có thể kết hợp hoặc tạo target tùy chỉnh để phù hợp với nhu cầu của mình.
- Thực thi nhanh: KAPE được tối ưu hóa để chạy nhanh, thường thu thập hàng trăm artifact chỉ trong vài phút. Tốc độ này rất quan trọng khi bạn có một cửa sổ giới hạn trên hệ thống trực tiếp hoặc cần triage nhiều máy.
- Module phân tích tích hợp: Nó có thể tự động chạy các module xử lý sau khi thu thập - ví dụ, phân tích tất cả registry hive đã thu thập với RegRipper, hoặc chuyển đổi log sự kiện thành bảng tính. Điều này tiết kiệm thời gian cho các nhà phân tích bằng cách tạo ra các đầu ra có thể đọc được ngay lập tức.
- Di động: Đây là một tệp thực thi đơn lẻ có thể chạy từ ổ USB. Điều này giúp dễ dàng triển khai tại hiện trường hoặc trên khắp môi trường.
Hệ điều hành hỗ trợ: KAPE là chương trình Windows (có thể chạy trên Windows 7/10/11 hoặc Windows Server). Nó nhắm vào các artifact Windows chủ yếu. (Bạn có thể chạy nó dưới Wine trên Linux để xử lý ảnh đĩa Windows đã gắn kết, nhưng thường thì nó được sử dụng trên Windows.)
9. Velociraptor – Giám sát endpoint và săn mối đe dọa
Đối với ứng phó sự cố và săn mối đe dọa quy mô lớn, Velociraptor đã nổi lên như một nền tảng mã nguồn mở hàng đầu. Velociraptor là công cụ DFIR tiên tiến cho phép truy vấn từ xa và thu thập bằng chứng forensics trên nhiều endpoint, sử dụng ngôn ngữ truy vấn riêng (VQL). Hãy nghĩ về nó như một sự kết hợp mạnh mẽ giữa khả năng săn tìm và agent ứng phó sự cố mà bạn kiểm soát.
Chức năng chính: Triển khai agent Velociraptor đến các endpoint (máy chủ hoặc máy trạm Windows, Linux, macOS), sau đó sử dụng máy chủ Velociraptor để truy vấn các hệ thống đó về artifact. Ví dụ, bạn có thể hỏi tất cả các endpoint "Cái nào có tiến trình đáng ngờ đang chạy?" hoặc "Thu thập lịch sử trình duyệt từ 10 máy này." Velociraptor do đó có thể nhanh chóng quét môi trường để tìm dấu hiệu xâm phạm hoặc thu thập dữ liệu sự cố, đáng kể tăng tốc độ điều tra.
Tính năng nổi bật:
- Tầm nhìn toàn doanh nghiệp: Được thiết kế để mở rộng đến hàng chục nghìn endpoint, cho phép các nhóm IR săn tìm và thu thập dữ liệu trên nhiều hệ thống song song. Điều này rất quan trọng trong môi trường hiện đại, nơi các cuộc tấn công thường trải rộng trên nhiều máy.
- Velociraptor Query Language (VQL): Ngôn ngữ truy vấn linh hoạt để chỉ định dữ liệu cần truy xuất. Velociraptor đi kèm với thư viện artifact được định nghĩa sẵn (truy vấn) cho các nhu cầu DFIR phổ biến (như lấy log sự kiện, dump bộ nhớ, một số registry key, v.v.), và bạn có thể viết truy vấn tùy chỉnh cho các mối đe dọa mới.
- Giám sát và săn tìm trực tiếp: Ngoài thu thập một lần, Velociraptor có thể được sử dụng để giám sát liên tục. Nó có thể được cấu hình để theo dõi một số sự kiện nhất định (thay đổi tệp, bắt đầu tiến trình) và tập trung dữ liệu đo đó để phân tích. Điều này bắc cầu sang săn mối đe dọa chủ động - không chỉ phản ứng với sự cố mà còn chủ động tìm kiếm bất thường.
- Hỗ trợ đa nền tảng: Có client cho Windows, Linux và macOS, khiến nó hữu ích trong các mạng doanh nghiệp đa dạng. Nó có thể thu thập một loạt lớn các artifact forensics từ mỗi hệ điều hành (từ log sự kiện Windows và registry, đến syslogs Linux và lịch sử bash, v.v.).
Hệ điều hành hỗ trợ: Thành phần máy chủ thường chạy trên Linux (mặc dù Windows cũng có thể); các agent endpoint cho Windows, Linux, macOS.
Trong thực tế điều tra sự cố, khả năng truy vấn và thu thập dữ liệu nhanh chóng từ nhiều máy là vô giá. Giống như cách chúng tôi dạy trong khóa học Web Pentest của CyberJutsu - hiểu cách diễn biến của một cuộc tấn công là chìa khóa để phòng thủ hiệu quả. Làm chủ công cụ như Velociraptor sẽ giúp bạn không chỉ phản ứng mà còn chủ động săn lùng các mối đe dọa.
10. Mobile Verification Toolkit (MVT) – Forensics thiết bị di động
Thiết bị di động thường là nguồn bằng chứng quan trọng, nhưng các công cụ forensics di động thương mại có thể đắt tiền. Mobile Verification Toolkit (MVT) là giải pháp mã nguồn mở miễn phí tập trung vào forensics thiết bị di động, đặc biệt nhằm phát hiện xâm phạm trên các thiết bị Android và iOS. Nó nổi bật khi giúp điều tra phần mềm gián điệp (như Pegasus của NSO Group) trên điện thoại, và nó vẫn vô giá cho những người ứng phó sự cố xử lý điều tra thiết bị di động.
Chức năng chính: MVT cung cấp các tiện ích để thu thập dữ liệu từ iOS hoặc Android (thông qua bản sao lưu hoặc dump hệ thống tệp đầy đủ) và sau đó quét dữ liệu đó để tìm dấu hiệu của malware hoặc xâm nhập. Nó tự động hóa việc kiểm tra thông tin thiết bị thu thập được với các chỉ báo xâm phạm (IOC) đã biết - ví dụ, tin nhắn SMS đáng ngờ, tiến trình độc hại hoặc dấu vết nhiễm phần mềm gián điệp.
Tính năng nổi bật:
- Hỗ trợ iOS và Android: MVT có thể phân tích bản sao lưu iTunes, dump hệ thống tệp iOS hoặc bản sao lưu Android để trích xuất các artifact liên quan (như log thiết bị, dữ liệu ứng dụng, lịch sử tin nhắn). Điều này khiến nó hữu ích trong các trường hợp bạn có quyền truy cập logic vào dữ liệu điện thoại.
- Phát hiện phần mềm gián điệp: Ngay từ đầu, nó bao gồm IOC cho các chiến dịch phần mềm gián điệp di động đã biết (như Pegasus) từ Amnesty International và những nguồn khác. Nó sẽ đánh dấu các domain, tiến trình hoặc tệp đáng ngờ trên thiết bị phù hợp với các chỉ báo tình báo mối đe dọa này.
- Thu thập dấu vết forensics: Ngay cả ngoài phần mềm gián điệp cụ thể, MVT thu thập các dấu vết forensics tổng quát (danh sách tiến trình, log sự cố, v.v.) có thể chỉ ra sự xâm phạm trên điện thoại. Đây là bộ công cụ dòng lệnh tạo ra các báo cáo có thể đọc được để nhà điều tra theo dõi.
Hệ điều hành hỗ trợ: MVT chạy trên Python 3 và hỗ trợ hầu hết các hệ điều hành (thường được sử dụng trên Linux hoặc macOS bởi các nhà điều tra). Nó hoạt động với dữ liệu từ thiết bị iOS (bản sao lưu đã mã hóa hoặc chưa mã hóa, dump đầy đủ) và thiết bị Android (thông qua bản sao lưu hoặc trích xuất ADB trực tiếp).
Kết luận: Vũ khí toàn diện cho DFIR hiện đại
Quy trình DFIR hiện đại đòi hỏi một bộ công cụ đa dạng - từ phân tích đĩa và bộ nhớ cấp thấp đến khả năng nhìn dòng thời gian và mạng cấp cao. 10 công cụ miễn phí trên đại diện cho công nghệ tiên tiến nhất tính đến năm 2025 trong các lĩnh vực tương ứng, và chúng thường bổ sung cho nhau trong các cuộc điều tra.
Một người ứng phó sự cố điển hình có thể sử dụng FTK Imager và KAPE để lấy dữ liệu, Autopsy, Volatility và Plaso/Timesketch để phân tích nó, Wireshark và Zeek để theo dõi bằng chứng mạng, Velociraptor để săn trên các endpoint, và thậm chí MVT cho manh mối di động - tất cả mà không tốn một xu nào cho phần mềm. Bằng cách thông thạo những công cụ này, nhà điều tra có thể tự tin đối phó với sự cố và săn tìm mối đe dọa với khả năng chuyên nghiệp, được hỗ trợ bởi sức mạnh của cộng đồng DFIR mã nguồn mở và miễn phí.
Tại CyberJutsu, chúng tôi tin rằng hiểu sâu về các công cụ và kỹ thuật là nền tảng không thể thiếu của một chuyên gia an ninh mạng xuất sắc. Đó là lý do chúng tôi xây dựng khóa học Web Penetration Testing với phương châm "học để hiểu, không chỉ để biết". Trong khóa học này, bạn không chỉ học cách sử dụng công cụ, mà còn hiểu rõ cốt lõi của các kỹ thuật tấn công và phòng thủ - kỹ năng cần thiết cho cả pentester lẫn các chuyên gia DFIR.
Tham khảo
- Trang web chính thức FTK Imager: Exterro FTK Imager
- Trang web Autopsy: The Sleuth Kit & Autopsy
- Volatility Foundation: The Volatility Framework
- GitHub repository Plaso: log2timeline/plaso
- Trang web Timesketch: Timesketch.org
- Trang web Wireshark: Wireshark.org
- Trang web Zeek: Zeek.org
- KAPE bởi Kroll: KAPE: Kroll Artifact Parser and Extractor
- Trang web Velociraptor: Velocidex.com
- Mobile Verification Toolkit (MVT): MVT Project
- CISA: Wireshark
- CISA: Timesketch