Hướng dẫn toàn diện về Công cụ Autopsy (Windows)


Autopsy là một nền tảng điều tra số (Digital Forensics) mã nguồn mở, được xây dựng dựa trên bộ công cụ dòng lệnh nổi tiếng The Sleuth Kit. Đây là công cụ được các cơ quan thực thi pháp luật, quân đội và các chuyên gia bảo mật doanh nghiệp sử dụng để điều tra tội phạm máy tính, khôi phục dữ liệu bị xóa và phân tích hành vi người dùng.

💡 Góc kiến thức: Autopsy không chỉ là "phần mềm khôi phục dữ liệu". Nó là một môi trường phân tích toàn diện, có khả năng kết nối các mảnh ghép rời rạc (lịch sử web, email, file đã xóa) để dựng lại hiện trường vụ việc.

BƯỚC 1: KHỞI TẠO VỤ VIỆC (NEW CASE)

Sau khi khởi động Autopsy, bạn chọn "New Case" (Tạo vụ việc mới). Đây là bước thiết lập hồ sơ để quản lý dữ liệu điều tra.

Tạo case mới trong Autopsy

Điền thông tin vụ việc:

  • Case Name: Tên vụ việc (Ví dụ: Vu_An_Ma_Doc_01).
  • Base Directory: Nơi lưu trữ toàn bộ dữ liệu phân tích (Lưu ý: Không nên lưu trên cùng ổ đĩa đang bị điều tra).
Nhập thông tin Case

Bạn có thể nhập thêm số hiệu vụ án (Case Number) và tên điều tra viên để phục vụ cho việc xuất báo cáo sau này.

Thông tin bổ sung

BƯỚC 2: THÊM NGUỒN DỮ LIỆU (DATA SOURCE)

Đây là bước quan trọng nhất. Autopsy hỗ trợ nhiều loại nguồn chứng cứ:

Chọn loại nguồn dữ liệu
  • Disk Image or VM File (Khuyên dùng): Phân tích tập tin ảnh đĩa (định dạng .E01, .DD, .ISO...) hoặc file máy ảo. Đây là cách chuẩn nhất trong điều tra để đảm bảo toàn vẹn dữ liệu gốc.
  • Local Disk: Phân tích trực tiếp ổ cứng, USB đang cắm vào máy (Cần cẩn trọng để không làm thay đổi dữ liệu).
  • Logical Files: Chỉ phân tích một vài thư mục hoặc tệp tin cụ thể.
  • Unallocated Space Image File: Phân tích các vùng nhớ "trống" (nơi chứa dữ liệu bị xóa nhưng chưa bị ghi đè).

Trong ví dụ này, chúng ta chọn file ảnh đĩa đã có sẵn.

Chọn file ảnh đĩa

BƯỚC 3: CẤU HÌNH INGEST MODULES (QUAN TRỌNG)

Ingest Modules là các "công nhân" sẽ tự động chạy ngầm để xử lý dữ liệu thô. Bạn càng chọn nhiều module, thời gian xử lý càng lâu nhưng kết quả càng chi tiết.

Cấu hình Ingest Modules

Các module quan trọng cần lưu ý:

  • Recent Activity: Trích xuất lịch sử duyệt web, cookie, tài liệu mở gần đây.
  • Hash Lookup: So sánh mã băm (MD5/SHA1) để phát hiện file hệ thống chuẩn (bỏ qua) hoặc file mã độc đã biết (cảnh báo).
  • File Type Identification: Nhận diện loại file thực sự dựa trên chữ ký (Signature) thay vì đuôi file (Extension).
  • Keyword Search: Tìm kiếm từ khóa (ví dụ: "pass", "secret", "tiền").

BƯỚC 4: PHÂN TÍCH DỮ LIỆU

Giao diện làm việc chính của Autopsy chia làm 3 phần: Cây thư mục (Trái), Danh sách file (Trên phải), và Nội dung chi tiết (Dưới phải).

Giao diện tổng quan

1. Phân loại theo kiểu File (File Views)

Autopsy tự động gom nhóm các file để bạn dễ tìm kiếm:

Cây thư mục File Types
💡 Mẹo chuyên nghiệp: Hãy ưu tiên xem mục "By MIME Type" thay vì "By Extension".
- Extension là đuôi file (ví dụ .jpg), hacker có thể đổi đuôi .exe thành .jpg để che giấu.
- MIME Type là bản chất thật của file. Nếu đuôi là .jpg nhưng MIME là application/x-executable, đó chắc chắn là file thực thi đáng ngờ!

2. Khôi phục hình ảnh & Đa phương tiện

Bạn có thể xem trước tất cả hình ảnh tìm thấy (kể cả ảnh đã xóa được khôi phục) ở chế độ Thumbnail (Hình thu nhỏ).

Chế độ xem Thumbnail

Khi chọn một ảnh, khung bên dưới sẽ hiển thị thông tin chi tiết (Metadata) và mã Hex của ảnh đó.

Chi tiết Metadata ảnh

3. Phân tích tài liệu (Documents)

Phần này liệt kê các file văn bản như HTML, PDF, Word, Text... giúp điều tra viên đọc nội dung thư từ, hợp đồng hoặc mã nguồn web.

Xem nội dung văn bản

4. Tập tin thực thi (Executables)

Đây là nơi bạn tìm kiếm mã độc. Autopsy lọc ra các file .exe, .dll, .bat... Hãy chú ý đến những file có tên lạ hoặc nằm sai thư mục.

Danh sách file thực thi

BƯỚC 5: KẾT QUẢ PHÂN TÍCH (RESULTS)

Mục "Extracted Content" là nơi giá trị nhất, chứa các thông tin đã được Autopsy "đào" ra:

Extracted Content
  • Web Downloads: Các file đã tải về (biết rõ nguồn tải, thời gian tải).
  • Web History/Cookies: Lịch sử lướt web.
  • Email Messages: Nội dung email (nếu có file lưu trữ mail như Outlook .PST).
  • Deleted Files: Các file đã bị xóa (nằm trong Recycle Bin hoặc được khôi phục từ không gian chưa phân bổ).

Timeline (Dòng thời gian)

Tính năng này giúp dựng lại kịch bản vụ việc: Vào thời điểm X, người dùng đã mở file gì, truy cập web nào? Dữ liệu được biểu diễn dưới dạng đồ thị trực quan.

Biểu đồ Timeline

BƯỚC 6: TẠO BÁO CÁO (REPORTING)

Sau khi hoàn tất điều tra, bạn cần xuất báo cáo để gửi cho cấp trên hoặc khách hàng. Chọn nút "Generate Report".

Nút tạo báo cáo

Autopsy hỗ trợ xuất ra nhiều định dạng như HTML, Excel, PDF. Định dạng HTML thường được ưa chuộng nhất vì dễ xem và có liên kết trực quan.

Chọn định dạng báo cáo

Và đây là kết quả cuối cùng: Một báo cáo chi tiết, chuyên nghiệp.

Báo cáo hoàn chỉnh