Win Forensic : Bộ Công Cụ Tích Hợp Trên Máy Ảo Dễ Dùng

Nhằm hỗ trợ cho các điều tra viên trong qua trình phân tích và điều tra chứng cứ số tôi tổng hợp các công cụ digital forensic thông dụng trên một máy ảo là winforensic cùng với các hướng dẫn cơ bản.

Bộ công cụ này rất hữu ích cho những ai đang học và nghiên cứu về CHFI hay thường xuyên phải tiến hành điều tra số. Sau đây là những ứng dụng mà tôi đã tổng hợp và sẽ gởi đến những ai quan tâm cách sử dụng.

WinForensic chạy trên máy ảo Vmware sẽ giúp cho các bạn điều tra viên thuận tiện hơn trong quá trình điều tra và truy tìm chứng cứ số. Để chạy WinForensic các bạn hãy download và cài đặt ứng dụng Vmware Player bản mới nhất.

Tải máy ảo Win Forensic tại đây : https://bit.ly/2HrnYBw

Ngoài máy ảo Win Forensic các bạn còn có thể tải các tool chuyên dùng cho CHFI v9 của EC-Council tổng hợp và chia sẽ.

Các công cụ mạnh mẽ & thông dụng nhất được tích hợp trên máy ảo này bao gồm :

FTK Imager : Đây là công cụ số 1 về thu thập dữ liệu và phân tích dữ liệu thu thập. Có thể đọc được cả dữ liệu vmdk và mount thành ổ đĩa logic để điều tra viên tiến hành phục hồi dữ liệu, phân tích , dò tìm chứng cứ số
Autopsy : Ứng dụng miễn phí chuyên dùng cho việc phân tích và dò tìm hình ảnh , nó có thể moi ra các hình mà kẻ xấu dấu trong slack space, dấu trong các định dạng phi chuẩn và xóa. Rất tuyệt vời
Sysinternal Suite : Bộ các ứng dụng mạnh mẽ và miễn phí của Microsoft với các khả năng dò quét autorun, truy xuất tiến trình, xem công mở hay các session đang hoạt động …
Volatility & Redline: Ứng dụng miễn phí chuyên cho việc phân tích bộ nhớ động máy tính. Hiện nay, vẫn chưa có tool nào cho dù là thương mại có thể qua mặt được volatility trong lĩnh vực phân tích và dò tìm mã độc, truy tìm chứng cứ trong bộ nhớ. Kết hợp thêm với Redline để tìm malware thì rất là hiệu quả.
CrowdResponse : Là ứng dụng nằm trong Top 7 công cụ Forensic trên thế giới, với tên gọi cũng đủ nói lên khả năng đáp ứng cho nhiều tình huống xấu nhất.
WinUFO : Một chuyên gia đã từng làm việc tại IBM trong lĩnh vực điều tra số đã nhận thấy nhiều công cụ trị giá cả chục ngàn $ thật ra có thể sử dụng không tốn xu nào. Thật vậy, nếu chúng ta biết cách tích hợp và phối hợp những công cụ miễn phí với nhau. Vì thế ông ta đã nghĩ việc mở 1 công ty chuyên về điều tra số và xây dựng nên bộ WinUFO cho các bạn sử dụng. Hơn 120 công cụ mạnh.
HashCal : Ứng dụng tính toán giá trị băm miễn phí có khả năng tính hầu hết các thuật toán băm hiện nay.
DeepSound : Công cụ che dấu thông tin vào dữ liệu âm thanh mà trog phim Mr Robot được siêu hacker Elliot sử dụng, cùng với các ứng dụng QucikStego và Stega … là những chương trình cần phải có trong kho vũ khí Digital Forensic của mình.
Hex Workshop & WinHex : Một trong những cách che dấu thông tin rất nhanh chóng và hiệu quả là dịch chyển bit hay xoay bit, và chúng ta có thể thực hiện thông qua Hex Workshop rất dễ dàng, ngoài ra Hex Workshop còn nhiều khả năng mạnh mẽ tương tự như WinHex .
Wireshark : Ứng dụng số 1 trong 125 công cụ bảo mật Wireshark không thể thiếu trong bất kì danh sách nào, có nhiều điều các bạn chỉ thấy đươc khi nhìn qua lăng kính Wireshark.
Xarp / Netcut / Cain : Nếu có kẻ xấu trên mạng đang cố tình chôm dữ liệu bí mật của chúng ta, các bạn có thể phát hiện ra và “chơi” lại một cách hợp pháp với bộ 3 Xarp + Cain & Netcut …

Sẽ bổ sung thêm các ứng dụng hữu ích khác cho lĩnh vực điều tra số như OSForensic,Passmark, Network Miner, Bulk_Extractor … sau khi thử nghiệm tính tương thích và độ ổn định khi chạy trên Win Forensic.

Sau khi tải về hãy mở bằng máy ảo Vmware Player và đăng nhập với mật khẩu security365. Mật khẩu giải nén là security365.

Một số video giới thiệu về các công cụ liên quan trong Win Forensic