KHO VŨ KHÍ SỐ: TỔNG HỢP CÔNG CỤ ĐIỀU TRA & PHÂN TÍCH MẠNG
Cẩm nang không thể thiếu dành cho chuyên gia An ninh mạng, Quản trị hệ thống và Điều tra viên kỹ thuật số.
Trong thế giới số, mọi hành động đều để lại dấu vết. Từ một bức ảnh được chụp vội, một gói tin gửi qua mạng, cho đến những tệp tin đã bị xóa vĩnh viễn... tất cả đều là "nhân chứng câm" nếu chúng ta biết cách khai thác.
Bài viết này sẽ tổng hợp và hướng dẫn chi tiết về các công cụ (Tools) mạnh mẽ nhất hiện nay, được sử dụng rộng rãi trong lĩnh vực Digital Forensics (Điều tra số) và Network Security (An ninh mạng). Dù bạn là một cán bộ điều tra, một quản trị viên mạng hay đơn giản là người yêu thích công nghệ, đây là những công cụ bạn nhất định phải biết.
NHÓM 1: PHÂN TÍCH HÌNH ẢNH & METADATA
Hình ảnh không chỉ là những gì bạn nhìn thấy bằng mắt thường. Ẩn sâu bên trong mỗi bức ảnh là một kho tàng dữ liệu (Metadata) cho biết chính xác thời gian, địa điểm và thiết bị đã tạo ra nó.
1. Exif Pilot - Đọc vị "thẻ căn cước" của hình ảnh
Mỗi khi bạn chụp một bức ảnh, camera sẽ tự động ghi lại các thông số kỹ thuật vào một vùng dữ liệu gọi là EXIF (Exchangeable Image File Format). Exif Pilot là công cụ chuyên dụng để xem, chỉnh sửa và phân tích vùng dữ liệu này.
Hãy tưởng tượng bạn nhận được một bức ảnh nặc danh. Sử dụng Exif Pilot, bạn có thể tìm ra:
- Vị trí GPS: Tọa độ chính xác nơi bức ảnh được chụp (nếu người chụp quên tắt định vị). Bạn có thể đưa tọa độ này lên Google Maps để tìm ra hiện trường.
- Thiết bị chụp: Bức ảnh được chụp bằng iPhone 15 hay Samsung Galaxy? Điều này giúp khoanh vùng đối tượng.
- Thời gian thực: Ngày giờ gốc khi bức ảnh được tạo ra (khác với ngày giờ file được gửi đi).
Ngoài ra, Exif Pilot còn hỗ trợ các định dạng dữ liệu mở rộng như IPTC và XMP, đồng thời cho phép xuất báo cáo ra Excel hoặc CSV để phục vụ công tác lưu trữ hồ sơ.
Giao diện trực quan của Exif Pilot hiển thị đầy đủ thông số kỹ thuật
NHÓM 2: ĐIỀU TRA DỮ LIỆU & PHỤC HỒI CHỨNG CỨ
Đôi khi, chứng cứ không nằm ở dạng file văn bản hay hình ảnh thông thường, mà bị ẩn giấu dưới dạng mã nhị phân, bị xóa, hoặc bị làm hỏng có chủ đích.
2. HxD Hex Editor - Soi dữ liệu dưới kính hiển vi
HxD là trình biên tập mã Hex (thập lục phân) mạnh mẽ. Nó cho phép bạn nhìn thấy nội dung thô (raw content) của bất kỳ tập tin nào, bất kể định dạng. Đây là công cụ không thể thiếu khi phân tích mã độc (malware) hoặc tìm kiếm dữ liệu bị giấu.
- Chỉnh sửa RAM trực tiếp: Cho phép xem và sửa dữ liệu đang chạy trong bộ nhớ máy tính – điều mà các trình soạn thảo thường không làm được.
- Xử lý file khổng lồ: Mở được các file log hoặc file image đĩa cứng lên tới hàng chục GB ngay lập tức.
- Khôi phục file hỏng: Sửa lại phần Header (đầu file) bị lỗi để cứu dữ liệu.
3. Autopsy - "Phòng thí nghiệm" pháp y số
Nếu HxD là con dao phẫu thuật, thì Autopsy là cả một phòng mổ hiện đại. Đây là nền tảng điều tra số mã nguồn mở phổ biến nhất thế giới, được sử dụng bởi FBI và các lực lượng thực thi pháp luật.
Autopsy không chỉ xem file lẻ tẻ, nó phân tích toàn bộ ổ cứng hoặc file ảnh đĩa (disk image) để tái hiện lại hành vi của người dùng.
- Timeline Analysis: Vẽ lại biểu đồ thời gian: Người dùng đã làm gì, mở file nào vào lúc 8h tối qua?
- Keyword Search: Tìm kiếm một từ khóa (ví dụ: "ma túy", "tài khoản", "mật khẩu") trên toàn bộ ổ cứng, kể cả trong file bị xóa.
- Web Artifacts: Tự động trích xuất lịch sử duyệt web, cookies, bookmark từ mọi trình duyệt.
Autopsy cung cấp cái nhìn toàn cảnh về dữ liệu trong ổ cứng
NHÓM 3: PHÂN TÍCH & GIÁM SÁT MẠNG
Không gian mạng là chiến trường không khói súng. Để bảo vệ hệ thống hoặc truy vết tội phạm, chúng ta cần những công cụ có khả năng "nhìn thấy" luồng dữ liệu vô hình đang di chuyển.
4. Wireshark - Camera giám sát của thế giới mạng
Wireshark là tiêu chuẩn vàng trong phân tích giao thức mạng. Nó hoạt động như một máy ghi âm, nhưng thay vì ghi lại âm thanh, nó ghi lại toàn bộ các gói tin (packets) đi ra và đi vào card mạng máy tính.
Wireshark giúp trả lời các câu hỏi:
- Tại sao mạng bị chậm bất thường? (Do tấn công DDoS hay lỗi thiết bị?)
- Có dữ liệu nhạy cảm nào (user/pass) đang được gửi đi dưới dạng văn bản không mã hóa (HTTP) không?
- Máy tính này đang lén lút kết nối đến server lạ nào (Command & Control server của mã độc)?
5. Nmap - "Người vẽ bản đồ" mạng
Network Mapper (Nmap) là công cụ trinh sát mạng mạnh nhất thế giới. Nó gửi các gói tin đặc biệt đến máy chủ mục tiêu để xác định xem máy chủ đó đang "mở cửa" nào (Open Ports), chạy hệ điều hành gì và có lỗ hổng bảo mật nào không.
Nếu Wireshark là để xem những gì đang diễn ra, thì Nmap là để xem cấu trúc của hệ thống mạng đối phương.
- Open: Cổng đang mở, ứng dụng đang lắng nghe. Đây là lối vào tiềm năng cho cả quản trị viên và hacker.
- Filtered: Cổng bị chặn bởi tường lửa (Firewall). Nmap không biết nó đóng hay mở.
- Closed: Cổng đóng, không có ứng dụng chạy, nhưng máy chủ vẫn phản hồi.
6. Advanced IP Scanner - Quét mạng nhanh trong 1 nốt nhạc
Nếu Nmap quá phức tạp với dòng lệnh, thì Advanced IP Scanner là lựa chọn tuyệt vời cho người mới bắt đầu. Công cụ này quét toàn bộ mạng LAN chỉ trong vài giây, liệt kê tất cả thiết bị đang kết nối (IP, tên máy, địa chỉ MAC, nhà sản xuất).
Ngoài ra, nó tích hợp sẵn tính năng điều khiển từ xa qua RDP hoặc Radmin, rất tiện lợi cho quản trị viên hệ thống.
NHÓM 4: CÁC TIỆN ÍCH HỖ TRỢ ĐẮC LỰC KHÁC
7. NirLauncher - Chiếc túi thần kỳ của Doraemon
Bạn không muốn cài đặt hàng trăm phần mềm lặt vặt? NirLauncher là giải pháp. Đây là một bộ sưu tập (portable) chứa hơn 230 công cụ nhỏ gọn của NirSoft, có thể chạy trực tiếp từ USB mà không cần cài đặt.
Trong NirLauncher có đủ mọi thứ bạn cần:
- Password Recovery: Xem lại mật khẩu Wifi, Email, Trình duyệt đã lưu trên máy.
- System Monitor: Theo dõi file nào đang được mở, ứng dụng nào đang kết nối mạng.
- Browser Tools: Trích xuất lịch sử, cookie, cache của Chrome/Firefox.
8. DB Browser for SQLite - Chìa khóa giải mã lịch sử
Hầu hết các ứng dụng hiện đại (Zalo, Viber, Skype, Chrome, Android...) đều lưu trữ dữ liệu người dùng dưới dạng cơ sở dữ liệu SQLite. Để đọc được các file này (thường có đuôi .db hoặc .sqlite), bạn cần DB Browser.
Công cụ này giúp bạn mở và đọc nội dung tin nhắn, lịch sử cuộc gọi, danh bạ... một cách trực quan như bảng tính Excel, ngay cả khi ứng dụng không cho phép xem lại.
9. FTK Imager - Sao chụp chứng cứ an toàn
Trong điều tra số, nguyên tắc số 1 là: "Không bao giờ làm thay đổi dữ liệu gốc". FTK Imager là công cụ miễn phí giúp bạn tạo ra một bản sao chính xác từng bit (bit-by-bit image) của ổ cứng hoặc USB.
Bạn sẽ làm việc trên bản sao này, còn bản gốc được niêm phong để đảm bảo tính pháp lý trước tòa án.
"Công cụ chỉ là vật vô tri, tư duy của người sử dụng mới là vũ khí sắc bén nhất. Chúc các bạn làm chủ công nghệ và áp dụng hiệu quả vào công việc!"
![[BẢN ĐẦY ĐỦ] Xoá lịch sử hoạt động máy tính, lịch sử truy cập wifi, lịch sử sử dụng usb không cần cài lại windows](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJ3Qy8ZR3Rr4iT7nF4kuU0AF79NragiPwaYltSvjNU5qGFAX9CDjQPnZnWlGgAMSBCHxqcAMX-UFBkvzioyY-uEySQfn2z20MXbqLHB62O4OcoTe3kMBIxCP466jp4yddHoojlAln8bsrZWLjJl17nOk09xhdznjk1dgl0fSpRe-EJpdCnW4xgvRLqwew/w72-h72-p-k-no-nu/Xo%C3%A1%20l%E1%BB%8Bch%20s%E1%BB%AD%20ho%E1%BA%A1t%20%C4%91%E1%BB%99ng%20m%C3%A1y%20t%C3%ADnh.png)
![](https://www.pinterest.com/pin/create/button/?url=https://www.gocnhinanninhmang.vn/2024/09/tong-hop-nhung-phan-mem-giai-phau-so.html&media=https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhr9IH6k00CeMwek0bPwZJ0FcxuSSYqJTQwQyff8knj7WNTPtFRqx1ZO6qPcRnVMm4K-a7uV2PAOzXUZJbxOfZFUIzjvnSj0kPlC9GG8MrcGsOc6HiZVH-VlmSt4Zz47UZ_BJsDA7ntgbw409bnb_Mmm_nV0uIQNg2U1k0-M-_vvHRho_h0IhaQUmPkvlI/w640-h360/T%E1%BB%95ng%20h%E1%BB%A3p%20nh%E1%BB%AFng%20ph%E1%BA%A7n%20m%E1%BB%81m%20gi%E1%BA%A3i%20ph%E1%BA%ABu%20s%E1%BB%91%20-%20Ph%E1%BB%A5c%20v%E1%BB%A5%20%C4%91i%E1%BB%81u%20tra%20s%E1%BB%91.png&description=Tổng hợp những phần mềm "giải phẫu số" - Phục vụ điều tra số){kind=link}