CEH CHFI CPENT LPT & Security + Pentest+ CySA+

Tài Liệu CHFI 2024 (EC Council) Module 02 Quy trình Điều tra Pháp lý Máy tính (p2) Xây dựng bộ công cụ điều tra pháp lý máy tính hay Pháp y Số

Điều tra viên nên có một bộ sưu tập các công cụ phần cứng và phần mềm để thu thập dữ liệu trong quá trình điều tra. Nếu điều tra viên quen thuộc với bộ công cụ điều tra, nó có thể cung cấp phản ứng nhanh trong quá trình điều tra sự cố. Một…

CertMaster Đông Dương

Điều tra viên nên có một bộ sưu tập các công cụ phần cứng và phần mềm để thu thập dữ liệu trong quá trình điều tra. Nếu điều tra viên quen thuộc với bộ công cụ điều tra, nó có thể cung cấp phản ứng nhanh trong quá trình điều tra sự cố. Một bộ công cụ điều tra tinh vi có thể giảm tác động của sự cố bằng cách ngăn chặn sự cố lan rộng qua các hệ thống. Điều này sẽ giảm thiểu thiệt hại cho tổ chức và hỗ trợ quá trình điều tra.

Phần 1 Tài Liệu CHFI 2024 (EC Council) Module 02 Quy trình Điều tra Pháp lý Máy tính (p1)

Một bộ công cụ điều tra máy tính bao gồm:

  • Một máy tính xách tay với các công cụ phần mềm liên quan
  • Hệ điều hành và bản vá
  • Phương tiện ứng dụng
  • Thiết bị sao lưu được bảo vệ ghi
  • Phương tiện trống
  • Thiết bị và cáp mạng cơ bản

Tạo bộ công cụ trước khi bắt đầu điều tra, vì nhóm điều tra cần làm quen với các công cụ này trước khi thực hiện điều tra.

Ví dụ thực tế về bộ công cụ điều tra pháp lý máy tính:

Công ty ABC Forensics đã chuẩn bị một bộ công cụ điều tra toàn diện cho các điều tra viên của họ. Bộ công cụ này bao gồm:

  1. Phần cứng:
    • Laptop Dell XPS 15 (i9, 32GB RAM, 1TB SSD)
    • Tableau TX1 Forensic Imager
    • Các WriteBlockers cho IDE, SATA, USB, và FireWire
    • Bộ adapter đa năng cho các loại ổ cứng khác nhau
    • Ổ cứng ngoài dung lượng cao (8TB) để lưu trữ bằng chứng
    • Bộ công cụ tháo lắp máy tính
    • Máy ảnh kỹ thuật số để chụp ảnh hiện trường
    • Đèn pin LED công suất cao
  2. Phần mềm:
    • EnCase Forensic (đã cài đặt và được cấp phép)
    • AccessData FTK (đã cài đặt và được cấp phép)
    • Magnet AXIOM (phiên bản di động)
    • Cellebrite UFED 4PC (cho pháp lý di động)
    • Volatility Framework (cho phân tích bộ nhớ)
    • Wireshark (cho phân tích mạng)
    • Các công cụ command-line Linux được tùy chỉnh
  3. Hệ điều hành:
    • Windows 10 Pro (đã cài đặt trên laptop)
    • Ubuntu Linux (trên ổ USB khởi động)
    • CAINE (trên ổ USB khởi động)
  4. Tài liệu và biểu mẫu:
    • Sổ tay quy trình điều tra
    • Biểu mẫu chuỗi hành trình
    • Biểu mẫu báo cáo hiện trường
    • Danh sách kiểm tra thu thập bằng chứng
  5. Vật tư khác:
    • Găng tay không bụi
    • Túi bằng chứng chống tĩnh điện
    • Nhãn bằng chứng và bút đánh dấu
    • Băng niêm phong bằng chứng
    • Bộ sạc và pin dự phòng
  6. Thiết bị bảo hộ cá nhân:
    • Kính bảo hộ
    • Khẩu trang N95
    • Áo khoác phòng thí nghiệm
  7. Thiết bị liên lạc:
    • Điện thoại di động được mã hóa
    • Bộ đàm tầm ngắn

Bộ công cụ này được đóng gói trong một vali chắc chắn, chống sốc và chống nước. Mỗi điều tra viên được đào tạo kỹ lưỡng về cách sử dụng tất cả các công cụ trong bộ công cụ và được yêu cầu kiểm tra và cập nhật bộ công cụ thường xuyên. Điều này đảm bảo rằng họ luôn sẵn sàng để phản ứng nhanh chóng và hiệu quả đối với bất kỳ tình huống điều tra nào.

Thiết bị phần cứng pháp lý

DeepSpar Disk Imager Nguồn: http://www.deepspar.com

DeepSpar Disk Imager là một hệ thống tạo ảnh đĩa được thiết kế đặc biệt để xử lý các ổ đĩa bị hỏng.

DeepSpar Recovery Environment là một ứng dụng miễn phí chạy trên nền Windows, mở rộng khả năng phục hồi hệ thống tập tin của DeepSpar Disk Imager.

DeepSpar Operations Server là một hệ thống giao tiếp với khách hàng giúp chuyên nghiệp hóa hoạt động kinh doanh và tương tác với khách hàng của bạn.

Forensics Add-on for DeepSpar Disk Imager cung cấp các khả năng điều tra số.

Ví dụ thực tế: Công ty Security365 nhận được một yêu cầu khẩn cấp từ một ngân hàng lớn. Ổ cứng chứa dữ liệu giao dịch quan trọng của họ đã bị hỏng nặng và không thể truy cập bằng các phương pháp thông thường. Sử dụng DeepSpar Disk Imager, đội ngũ kỹ thuật của Security365 đã có thể tạo một bản sao chính xác của ổ đĩa bị hỏng, bao gồm cả các khu vực bị lỗi. Sau đó, họ sử dụng DeepSpar Recovery Environment để phân tích và khôi phục các tệp tin quan trọng từ bản sao này. Cuối cùng, họ sử dụng Forensics Add-on để xác minh tính toàn vẹn của dữ liệu đã khôi phục. Nhờ đó, ngân hàng đã cứu được hàng triệu đô la dữ liệu giao dịch mà họ tưởng đã mất vĩnh viễn.

Digital Intelligence Forensic Hardware: FRED Nguồn: https://www.digitalintelligence.com

Hệ thống FRED được tối ưu hóa cho việc thu thập và phân tích trong phòng thí nghiệm cố định. Chỉ cần tháo ổ đĩa cứng từ hệ thống nghi vấn, cắm vào FRED, và thu thập bằng chứng số. FRED sẽ thu thập dữ liệu trực tiếp từ các ổ đĩa cứng và thiết bị lưu trữ IDE/EIDE/ATA/SATA/ATAPI/SAS/Firewire/USB và lưu các ảnh pháp lý vào Blu-Ray, DVD, CD, hoặc ổ đĩa cứng.

Tình huống thực tế: Trong một cuộc điều tra gian lận tài chính quy mô lớn, Security365 cần phân tích hàng chục máy tính và ổ cứng thu giữ từ nhiều văn phòng khác nhau. Họ sử dụng hệ thống FRED để nhanh chóng tạo bản sao pháp lý của tất cả các thiết bị này. FRED cho phép họ kết nối và sao chép dữ liệu từ nhiều loại ổ đĩa khác nhau mà không cần thay đổi cấu hình phức tạp. Điều này giúp tiết kiệm thời gian đáng kể và đảm bảo tính nhất quán trong quá trình thu thập bằng chứng. Sau đó, các chuyên gia của Security365 có thể phân tích các bản sao này trên cùng một hệ thống FRED, tận dụng sức mạnh xử lý của nó để tìm kiếm các dấu hiệu gian lận trong khối lượng dữ liệu khổng lồ.

UltraBay 3d Nguồn: https://www.digitalintelligence.com

UltraBay 3d là một cầu nối pháp lý tích hợp USB 3.0 bao gồm một màn hình cảm ứng và giao diện người dùng đồ họa để giám sát quá trình thu thập.

Ví dụ minh họa: Trong một vụ án liên quan đến việc đánh cắp dữ liệu công nghiệp, đội điều tra của Security365 cần thu thập dữ liệu từ nhiều ổ cứng có dung lượng lớn một cách nhanh chóng và chính xác. Họ sử dụng UltraBay 3d để kết nối các ổ đĩa này. Màn hình cảm ứng của UltraBay 3d cho phép họ dễ dàng theo dõi tiến trình sao chép, kiểm tra tốc độ truyền dữ liệu và phát hiện bất kỳ lỗi nào có thể xảy ra trong quá trình này. Giao diện đồ họa trực quan giúp các điều tra viên, ngay cả những người không có nhiều kinh nghiệm kỹ thuật, có thể thực hiện quá trình thu thập một cách chính xác và đáng tin cậy. Nhờ đó, họ có thể nhanh chóng thu thập hàng terabyte dữ liệu mà không bỏ sót bất kỳ thông tin quan trọng nào.

Paraben’s StrongHold Faraday Bags Nguồn: https://www.paraben.com

Túi StrongHold của Paraben chặn các tín hiệu không dây từ tháp di động, mạng không dây và các nguồn tín hiệu khác để bảo vệ bằng chứng.

Tình huống thực tế: Trong một cuộc điều tra về một mạng lưới tội phạm có tổ chức, Security365 cần thu giữ nhiều điện thoại di động và máy tính bảng mà không để chúng bị xóa từ xa hoặc bị thay đổi dữ liệu. Họ sử dụng túi StrongHold Faraday của Paraben để ngay lập tức cách ly các thiết bị này khỏi mọi tín hiệu bên ngoài. Ngay khi các thiết bị được đặt vào túi, chúng không thể nhận được bất kỳ lệnh xóa dữ liệu từ xa nào, cũng không thể gửi hoặc nhận dữ liệu mới. Điều này đảm bảo rằng bằng chứng trên các thiết bị được giữ nguyên trạng thái tại thời điểm thu giữ. Sau đó, các chuyên gia của Security365 có thể an toàn vận chuyển các thiết bị này về phòng thí nghiệm để phân tích mà không lo ngại về việc dữ liệu bị thay đổi trong quá trình di chuyển.

PC-3000 Data Extractor Nguồn: http://www.deepspar.com

PC-3000 Data Extractor là một phần mềm bổ sung cho PC-3000 giúp chẩn đoán và sửa chữa các vấn đề hệ thống tập tin, để có thể lấy được dữ liệu của khách hàng. Nó hoạt động cùng với phần cứng PC-3000 để khôi phục dữ liệu từ bất kỳ phương tiện nào (HDD IDE, HDD SCSI và đầu đọc bộ nhớ flash).

Ví dụ minh họa: Một công ty công nghệ cao cần sự hỗ trợ của Security365 để khôi phục dữ liệu quan trọng từ một ổ cứng bị hỏng nặng do sự cố điện. Ổ cứng này chứa mã nguồn của một sản phẩm sắp ra mắt và không có bản sao lưu. Sử dụng PC-3000 Data Extractor, các kỹ sư của Security365 đầu tiên chẩn đoán các vấn đề cụ thể của ổ đĩa, bao gồm cả những lỗi ở cấp độ hệ thống tập tin. Sau đó, họ sử dụng công cụ này để “sửa chữa” cấu trúc hệ thống tập tin bị hỏng, cho phép truy cập vào các khu vực dữ liệu mà trước đó không thể đọc được. Cuối cùng, họ trích xuất thành công toàn bộ mã nguồn và các tài liệu liên quan, cứu vãn dự án trị giá hàng triệu đô la của công ty khách hàng.

Paraben’s Chat Stick Nguồn: https://www.paraben.com

Paraben’s Chat Stick là một thiết bị dạng ổ USB có thể quét toàn bộ máy tính, tìm kiếm các bản ghi trò chuyện từ Yahoo, MSN 6.1, 6.2, 7.0, & 7.5, ICQ 1999-2003b, Trillian, Skype, Hello và Miranda và tạo ra một báo cáo dưới định dạng dễ đọc để có thể xem được những gì trẻ em hoặc nhân viên đang nói với người khác trực tuyến.

Tình huống thực tế: Một trường học thuê Security365 để điều tra về việc bắt nạt trực tuyến giữa học sinh. Các nhà quản lý trường học nghi ngờ rằng một số học sinh đang sử dụng các ứng dụng nhắn tin để quấy rối và đe dọa những học sinh khác, nhưng họ không có bằng chứng cụ thể. Sử dụng Paraben’s Chat Stick, đội điều tra của Security365 đã quét các máy tính trong phòng máy của trường. Chat Stick nhanh chóng thu thập và tổng hợp tất cả các cuộc trò chuyện từ nhiều ứng dụng nhắn tin khác nhau. Báo cáo được tạo ra cho thấy một nhóm học sinh đã sử dụng nhiều tài khoản ẩn danh trên các nền tảng khác nhau để gửi tin nhắn đe dọa. Những bằng chứng này không chỉ giúp nhà trường xác định và xử lý các học sinh có hành vi sai trái, mà còn cung cấp thông tin chi tiết để phát triển các chương trình giáo dục về an toàn trực tuyến và phòng chống bắt nạt hiệu quả hơn.

RAPID IMAGE 7020 X2 IT Nguồn: http://ics-iq.com

RAPID IMAGE 7020 X2 IT là thiết bị nhân bản ổ cứng được thiết kế để sao chép từ một ổ cứng “Chủ” sang tối đa 19 ổ cứng “Đích” với tốc độ SATA-III nhanh chóng. Nó cũng có thể được cấu hình để sao chép đồng thời nhiều ổ đĩa chủ. Thiết bị này cũng hỗ trợ nhân bản đồng thời lên đến 10 ổ đĩa chủ.

Tình huống thực tế: Trong một vụ điều tra gian lận tài chính quy mô lớn, Security365 cần sao chép nhanh chóng một lượng lớn ổ cứng từ nhiều chi nhánh ngân hàng khác nhau. Sử dụng RAPID IMAGE 7020 X2 IT, họ có thể thiết lập một quy trình sao chép hiệu quả. Tại mỗi chi nhánh, họ kết nối ổ cứng chính vào thiết bị và đồng thời tạo nhiều bản sao cho các mục đích khác nhau: một bản cho điều tra tức thời, một bản để lưu trữ dài hạn, và các bản khác cho các nhóm phân tích khác nhau. Quá trình này giúp tiết kiệm hàng giờ đồng hồ so với việc sao chép tuần tự, đồng thời đảm bảo tính nhất quán giữa tất cả các bản sao, giảm thiểu nguy cơ sai sót trong quá trình thu thập bằng chứng.

ROADMASSTER-3 X2 Nguồn: http://ics-iq.com

ROADMASSTER-3 X2 là một phòng thí nghiệm pháp lý di động được thiết kế như một trạm làm việc thu thập và phân tích dữ liệu pháp lý. ROADMASSTER-3 X2 có độ bền cao và được trang bị tất cả các công cụ cần thiết để thu giữ dữ liệu từ các ổ đĩa với các công nghệ giao diện ổ đĩa thông dụng.

Ví dụ minh họa: Security365 được gọi đến một địa điểm xa xôi để điều tra một vụ tấn công mạng tại một nhà máy sản xuất. Do tính chất nhạy cảm của dữ liệu và không thể di chuyển các thiết bị ra khỏi cơ sở, đội điều tra quyết định mang theo ROADMASSTER-3 X2. Tại hiện trường, họ có thể nhanh chóng kết nối và thu thập dữ liệu từ nhiều loại ổ đĩa và hệ thống khác nhau trong nhà máy. Nhờ có đầy đủ công cụ phân tích tích hợp, họ có thể thực hiện phân tích sơ bộ ngay tại chỗ, xác định nhanh chóng nguồn gốc của cuộc tấn công và đề xuất các biện pháp khắc phục tức thì. Điều này không chỉ giúp tiết kiệm thời gian quý báu mà còn đảm bảo rằng các bằng chứng quan trọng không bị mất đi do việc vận chuyển hoặc trì hoãn trong quá trình điều tra.

IMAGE MASSTER WIPEPRO Nguồn: http://ics-iq.com

IMAGE MASSTER WIPEPRO là một trạm xóa ổ cứng. Nó có khả năng xóa đồng thời tối đa 8 ổ cứng với tốc độ vượt quá 7 GB/phút.

Tình huống thực tế: Một công ty công nghệ lớn thuê Security365 để hỗ trợ quá trình thanh lý một số lượng lớn máy tính và thiết bị lưu trữ cũ. Công ty này lo ngại về việc dữ liệu nhạy cảm có thể bị rò rỉ nếu các thiết bị này không được xóa sạch đúng cách trước khi bán hoặc tái chế. Sử dụng IMAGE MASSTER WIPEPRO, đội ngũ của Security365 thiết lập một quy trình xóa dữ liệu hiệu quả. Họ có thể xóa đồng thời 8 ổ cứng cùng một lúc, với tốc độ xóa cực nhanh là 7 GB/phút cho mỗi ổ. Quá trình này không chỉ đảm bảo rằng tất cả dữ liệu đều bị xóa không thể khôi phục, mà còn giúp công ty tiết kiệm hàng trăm giờ làm việc so với các phương pháp xóa truyền thống. Kết quả là, công ty có thể an toàn thanh lý hàng nghìn thiết bị trong thời gian ngắn mà không phải lo lắng về rủi ro bảo mật dữ liệu.

PC-3000 Flash Nguồn: http://www.deepspar.com

PC-3000 Flash là một bộ phần cứng và phần mềm dùng để khôi phục dữ liệu từ các thiết bị lưu trữ dựa trên flash như thẻ SD và ổ USB.

Ví dụ minh họa: Một nhiếp ảnh gia chuyên nghiệp tìm đến Security365 sau khi vô tình xóa mất toàn bộ ảnh từ một buổi chụp đám cưới quan trọng trên thẻ SD của mình. Thẻ này đã bị hỏng một phần do được sử dụng trong điều kiện ẩm ướt. Sử dụng PC-3000 Flash, các chuyên gia của Security365 có thể truy cập trực tiếp vào chip bộ nhớ của thẻ SD, bỏ qua các khu vực bị hỏng. Họ không chỉ khôi phục được các tệp ảnh đã bị xóa mà còn phục hồi được nhiều ảnh từ các khu vực bị coi là “hỏng” trên thẻ nhớ. Kết quả là, nhiếp ảnh gia có thể cứu vãn được hầu hết các bức ảnh quan trọng, bao gồm cả những khoảnh khắc đặc biệt mà anh ta tưởng đã mất vĩnh viễn.

ZX-Tower Nguồn: http://www.logicube.com

Giải pháp ZX-Tower™ cung cấp khả năng xóa an toàn các ổ đĩa cứng và thực hiện việc xóa với tốc độ 24 GB/phút. ZX-T đa mục tiêu cho phép dễ dàng xóa đồng thời tối đa 8 ổ đĩa cứng đích và cũng cho phép người dùng xóa tối đa 4 hộp đựng USB 3.0.

Tình huống thực tế: Một ngân hàng lớn cần nâng cấp hệ thống CNTT của mình, bao gồm việc thay thế hàng trăm máy chủ và hàng nghìn máy trạm. Do tính chất nhạy cảm của dữ liệu tài chính, ngân hàng thuê Security365 để đảm bảo rằng tất cả dữ liệu trên các thiết bị cũ được xóa hoàn toàn trước khi chúng được bán hoặc tái chế. Sử dụng ZX-Tower, đội ngũ của Security365 thiết lập một quy trình xóa dữ liệu hiệu quả. Với khả năng xóa 8 ổ đĩa cùng lúc ở tốc độ 24 GB/phút, họ có thể xử lý hàng nghìn ổ đĩa trong thời gian ngắn. Đồng thời, tính năng xóa các hộp đựng USB 3.0 cho phép họ xử lý các thiết bị lưu trữ di động mà không cần tháo rời chúng. Quy trình này không chỉ đảm bảo tuân thủ các quy định nghiêm ngặt về bảo mật dữ liệu trong ngành tài chính, mà còn giúp ngân hàng tiết kiệm đáng kể thời gian và chi phí trong quá trình nâng cấp hệ thống.

WriteProtect-DESKTOP Nguồn: http://www.logicube.com

WriteProtect-DESKTOP cung cấp cho các chuyên gia pháp lý số khả năng chặn ghi an toàn, chỉ đọc đối với các ổ đĩa cứng nghi vấn. Đây là một thiết bị chặn ghi di động hỗ trợ 5 giao diện khác nhau trong một thiết bị.

Ví dụ minh họa: Trong một cuộc điều tra về gian lận nội bộ tại một công ty đa quốc gia, Security365 cần kiểm tra nhanh chóng nhiều ổ cứng từ các bộ phận và quốc gia khác nhau mà không làm thay đổi dữ liệu gốc. Sử dụng WriteProtect-DESKTOP, các điều tra viên có thể kết nối và truy cập an toàn vào các ổ đĩa có nhiều loại giao diện khác nhau (SATA, IDE, USB, v.v.) mà không lo ngại về việc vô tình thay đổi dữ liệu. Điều này cho phép họ xem xét nhanh chóng nội dung của các ổ đĩa, xác định những ổ đĩa cần phân tích sâu hơn, mà không cần tạo bản sao đầy đủ của mỗi ổ đĩa – một quá trình có thể mất nhiều thời gian với số lượng lớn ổ đĩa. Nhờ đó, họ có thể nhanh chóng thu hẹp phạm vi điều tra, tập trung vào các ổ đĩa có chứa bằng chứng quan trọng nhất, đồng thời vẫn đảm bảo tính toàn vẹn của tất cả dữ liệu gốc cho mục đích pháp lý.

Data Recovery Stick Nguồn: https://www.paraben.com

Data Recovery Stick có khả năng khôi phục các tệp tin đã bị xóa. Không cần phải tải xuống và cài đặt phần mềm, chỉ cần cắm Data Recovery Stick vào cổng USB, mở phần mềm và bắt đầu quá trình khôi phục. Ngay cả khi các tệp đã bị xóa khỏi thùng rác, chúng vẫn có thể được khôi phục miễn là chúng chưa bị ghi đè bởi dữ liệu mới.

Tình huống thực tế: Một doanh nghiệp nhỏ tìm đến Security365 sau khi một nhân viên vô tình xóa một thư mục quan trọng chứa các hợp đồng và báo cáo tài chính của cả năm. Dữ liệu đã bị xóa khỏi thùng rác và máy tính đã được sử dụng trong vài ngày sau đó. Các chuyên gia của Security365 sử dụng Data Recovery Stick để quét nhanh ổ cứng. Họ có thể khôi phục được phần lớn các tệp tin quan trọng, bao gồm cả những tệp không còn hiển thị trong hệ thống tệp. Quá trình này được thực hiện mà không cần cài đặt bất kỳ phần mềm nào trên máy tính của khách hàng, giảm thiểu nguy cơ ghi đè lên dữ liệu có thể khôi phục. Nhờ đó, doanh nghiệp đã cứu được nhiều tháng công việc và tránh được những hậu quả nghiêm trọng về mặt tài chính và pháp lý.

Tableau T8-R2 Forensic USB Bridge Nguồn: https://www2.guidancesoftware.com

Cầu nối USB Pháp lý T8-R2 mới của Tableau cung cấp khả năng chặn ghi dựa trên phần cứng an toàn cho các thiết bị lưu trữ USB.

Ví dụ minh họa: Trong một cuộc điều tra về rò rỉ thông tin mật, Security365 cần kiểm tra nhiều ổ USB được sử dụng bởi nhân viên của một công ty công nghệ cao. Lo ngại rằng việc kết nối trực tiếp các ổ USB này vào máy tính điều tra có thể vô tình thay đổi metadata quan trọng hoặc kích hoạt mã độc tiềm ẩn, họ sử dụng Tableau T8-R2 Forensic USB Bridge. Thiết bị này cho phép họ truy cập an toàn vào nội dung của các ổ USB mà không lo ngại về việc dữ liệu bị thay đổi. Đồng thời, nó cũng bảo vệ hệ thống điều tra khỏi bất kỳ mã độc nào có thể được cài đặt trên các ổ USB. Nhờ đó, đội điều tra có thể nhanh chóng xác định được ổ USB đã được sử dụng để chuyển thông tin mật ra ngoài công ty, đồng thời thu thập đủ bằng chứng để xác định người chịu trách nhiệm mà không làm ảnh hưởng đến tính toàn vẹn của dữ liệu.

Tableau TP3 Power Supply Nguồn: https://www2.guidancesoftware.com

TP3 được thiết kế để cung cấp nguồn điện cho bộ nhân bản Tableau TD1 và hai ổ đĩa cứng.

Tình huống thực tế: Security365 đang thực hiện một cuộc điều tra phức tạp liên quan đến việc sao chép và phân tích nhiều ổ cứng có dung lượng lớn. Họ sử dụng bộ nhân bản Tableau TD1 để tạo bản sao chính xác của các ổ đĩa này. Tuy nhiên, quá trình sao chép kéo dài nhiều giờ và tiêu tốn nhiều năng lượng, đặc biệt khi làm việc với hai ổ đĩa cùng lúc. Bằng cách sử dụng Tableau TP3 Power Supply, đội điều tra có thể đảm bảo nguồn điện ổn định và đủ mạnh cho cả bộ nhân bản TD1 và hai ổ đĩa cứng đang được sao chép. Điều này không chỉ tăng tốc quá trình sao chép mà còn giảm thiểu nguy cơ mất dữ liệu do sự cố nguồn điện. Kết quả là, họ có thể làm việc liên tục, thậm chí qua đêm, để hoàn thành việc sao chép và phân tích một lượng lớn dữ liệu trong thời gian ngắn nhất, đáp ứng được thời hạn gấp rút của cuộc điều tra.

FRED DX (Dual Xeon) Nguồn: https://www.digitalintelligence.com

FRED DX (Dual Xeon) là cấu hình Dual Xeon của FRED SR trong khung máy FRED tiêu chuẩn. Nó được sử dụng khi cần sức mạnh mà FRED SR cung cấp trong một khung máy dạng tháp đầy đủ.

Ví dụ minh họa: Security365 được giao nhiệm vụ phân tích một lượng lớn dữ liệu từ một vụ án liên quan đến gian lận tiền điện tử quy mô lớn. Dữ liệu bao gồm hàng trăm terabyte thông tin từ nhiều ổ cứng, máy chủ và thiết bị lưu trữ khác nhau. Để xử lý khối lượng dữ liệu khổng lồ này một cách hiệu quả, họ sử dụng FRED DX (Dual Xeon). Với sức mạnh xử lý của bộ vi xử lý kép Xeon, FRED DX có thể thực hiện đồng thời nhiều tác vụ phức tạp như phân tích blockchain, giải mã dữ liệu được mã hóa và tìm kiếm các mẫu giao dịch đáng ngờ trong hàng tỷ bản ghi. Mặc dù có hiệu suất cao, hệ thống vẫn duy trì được kích thước nhỏ gọn của khung máy FRED tiêu chuẩn, cho phép đội điều tra dễ dàng di chuyển thiết bị giữa các địa điểm khác nhau khi cần thiết. Nhờ đó, Security365 có thể hoàn thành cuộc điều tra phức tạp này trong thời gian ngắn hơn nhiều so với việc sử dụng các hệ thống thông thường, giúp cơ quan thực thi pháp luật nhanh chóng bắt giữ được những kẻ chủ mưu của vụ gian lận.

VOOM Hardcopy 3P Nguồn: http://www.voomtech.com

Đây là một thiết bị tạo ảnh, nhân bản và xóa ổ đĩa cứng SATA/IDE pháp lý với tính năng SHA256 được NIST phê duyệt được tích hợp trong phần cứng.

Tình huống thực tế: Security365 được một công ty luật lớn thuê để hỗ trợ trong một vụ kiện phức tạp liên quan đến vi phạm bản quyền phần mềm. Họ cần tạo bản sao chính xác của hàng chục ổ cứng từ nhiều máy tính khác nhau, đồng thời đảm bảo tính toàn vẹn của dữ liệu để sử dụng làm bằng chứng trước tòa. Sử dụng VOOM Hardcopy 3P, đội điều tra có thể nhanh chóng tạo ra các bản sao bit-for-bit của các ổ đĩa, bất kể chúng là SATA hay IDE. Tính năng SHA256 tích hợp trong phần cứng cho phép họ tạo ra các giá trị hash để xác minh tính toàn vẹn của mỗi bản sao ngay lập tức, mà không cần thêm bất kỳ phần mềm nào. Điều này không chỉ tiết kiệm thời gian mà còn cung cấp một lớp xác thực bổ sung được công nhận bởi tòa án. Ngoài ra, khả năng xóa an toàn của thiết bị cũng được sử dụng để xóa sạch dữ liệu trên các ổ đĩa sau khi hoàn thành điều tra, đảm bảo rằng không có thông tin nhạy cảm nào bị rò rỉ. Nhờ đó, Security365 có thể cung cấp cho công ty luật những bằng chứng số đáng tin cậy và được xác thực đầy đủ, góp phần quan trọng vào thành công của vụ kiện.

μFRED (MicroFRED) Nguồn: http://www.digitalintelligence.com

μFRED (MicroFRED) là một thiết bị khôi phục bằng chứng pháp lý kích thước micro. Hệ thống μFRED có phần lớn sức mạnh xử lý của một hệ thống FRED đầy đủ nhưng trong một kích thước chỉ bằng một phần nhỏ (9″ x 8″ x 13″).

Tình huống thực tế: Security365 được yêu cầu hỗ trợ một cuộc điều tra bí mật tại một công ty đa quốc gia nghi ngờ có hoạt động gian lận nội bộ. Yêu cầu là phải thực hiện phân tích tại chỗ mà không gây chú ý hoặc làm gián đoạn hoạt động kinh doanh bình thường. Sử dụng μFRED, đội điều tra có thể mang theo một hệ thống phân tích pháp lý mạnh mẽ trong một vali nhỏ, trông giống như một laptop thông thường. Tại văn phòng công ty, họ có thể nhanh chóng kết nối μFRED với các máy tính nghi vấn, tạo bản sao pháp lý và thực hiện phân tích sơ bộ mà không cần di chuyển thiết bị ra khỏi vị trí. Kích thước nhỏ gọn của μFRED cho phép họ làm việc trong không gian hạn chế như dưới bàn làm việc hoặc trong tủ hồ sơ, tránh gây sự chú ý không cần thiết. Nhờ đó, họ có thể thu thập đủ bằng chứng để xác định các hoạt động gian lận mà không làm lộ cuộc điều tra, cho phép công ty và cơ quan chức năng có thời gian chuẩn bị cho các hành động pháp lý tiếp theo.

FREDC Nguồn: http://www.digitalintelligence.com

FREDC là một hệ thống lưu trữ pháp lý dạng đám mây riêng được cấu hình đầy đủ. Nó cung cấp khả năng lưu trữ tập trung, quản lý tập trung, bảo mật tập trung và sao lưu tập trung.

Ví dụ minh họa: Security365 đang xử lý một vụ án phức tạp liên quan đến nhiều chi nhánh của một tập đoàn lớn trên toàn quốc. Họ cần một giải pháp để lưu trữ và quản lý một lượng lớn dữ liệu pháp lý từ nhiều nguồn khác nhau, đồng thời đảm bảo tính bảo mật và khả năng truy cập cho các thành viên trong đội điều tra ở các địa điểm khác nhau. Bằng cách triển khai FREDC, Security365 tạo ra một hệ thống lưu trữ đám mây riêng cho dự án này. Tất cả dữ liệu được thu thập từ các chi nhánh đều được tải lên FREDC, nơi nó được lưu trữ an toàn và được quản lý tập trung. Các điều tra viên từ các văn phòng khác nhau có thể truy cập và phân tích dữ liệu từ xa, với các quyền truy cập được kiểm soát chặt chẽ. Hệ thống cũng tự động sao lưu dữ liệu, đảm bảo không có thông tin nào bị mất. Nhờ FREDC, đội điều tra có thể làm việc hiệu quả trên cùng một bộ dữ liệu, chia sẻ phát hiện ngay lập tức và duy trì tính nhất quán trong suốt quá trình điều tra phức tạp này.

Drive eRazer Ultra Nguồn: https://www.cru-inc.com

CRU® WiebeTech® Drive eRazer™ Ultra là một thiết bị có thể xóa sạch hoàn toàn ổ cứng. Chỉ cần kết nối một ổ đĩa với Drive eRazer Ultra và nó sẽ xóa sạch ổ đĩa mà không cần sử dụng máy tính.

Tình huống thực tế: Một bệnh viện lớn cần hỗ trợ từ Security365 để xử lý một số lượng lớn ổ cứng chứa dữ liệu bệnh nhân nhạy cảm trước khi thải bỏ hoặc tái sử dụng. Do tính chất cực kỳ nhạy cảm của dữ liệu y tế và các quy định nghiêm ngặt như HIPAA, việc xóa dữ liệu phải được thực hiện một cách triệt để và có thể xác minh. Sử dụng Drive eRazer Ultra, đội ngũ của Security365 thiết lập một quy trình xóa dữ liệu hiệu quả và an toàn. Họ có thể xóa từng ổ đĩa mà không cần kết nối chúng với máy tính, giảm thiểu nguy cơ rò rỉ dữ liệu trong quá trình xóa. Thiết bị này cũng tạo ra báo cáo xác nhận việc xóa cho mỗi ổ đĩa, cung cấp bằng chứng tuân thủ cần thiết cho các cuộc kiểm toán trong tương lai. Quy trình này không chỉ đảm bảo rằng tất cả thông tin bệnh nhân được xóa an toàn mà còn giúp bệnh viện tránh được các hình phạt nặng nề liên quan đến vi phạm quyền riêng tư của bệnh nhân.

HotPlug Field Kit Nguồn: http://www.proxifier.com

Với CRU® WiebeTech® HotPlug™, bạn có thể di chuyển máy tính mà không cần tắt nguồn. HotPlug cho phép thu giữ và di chuyển máy tính từ hiện trường đến bất kỳ nơi nào khác.

Ví dụ minh họa: Security365 được cơ quan thực thi pháp luật yêu cầu hỗ trợ trong một cuộc đột kích vào một văn phòng nghi ngờ đang vận hành một mạng lưới tội phạm mạng. Mối quan tâm chính là việc thu giữ các máy tính đang hoạt động mà không làm mất dữ liệu quan trọng trong bộ nhớ RAM hoặc các phiên làm việc đang mở. Sử dụng HotPlug Field Kit, đội điều tra có thể nhanh chóng ngắt kết nối các máy tính khỏi nguồn điện chính mà vẫn giữ chúng hoạt động. Điều này cho phép họ di chuyển các máy tính đang chạy ra khỏi hiện trường một cách an toàn, bảo toàn tất cả dữ liệu volatile và các kết nối mạng đang hoạt động. Sau khi đưa về phòng thí nghiệm, các chuyên gia có thể phân tích trực tiếp bộ nhớ RAM, xem xét các phiên đăng nhập đang mở và các ứng dụng đang chạy, cung cấp thông tin quý giá về hoạt động của mạng lưới tội phạm mà có thể đã bị mất nếu máy tính bị tắt tại hiện trường.

Shadow 3 Nguồn: http://www.voomtech.com

Shadow 3 giúp xem các máy tính nghi vấn tại hiện trường điều tra trong thời gian thực mà không cần tạo ảnh ổ đĩa trước và không cần sử dụng phần mềm xem ảo phức tạp; tất cả được thực hiện mà không làm hỏng bằng chứng.

Tình huống thực tế: Security365 đang hỗ trợ một cuộc điều tra về một vụ tấn công mạng phức tạp nhắm vào một công ty tài chính. Họ cần phân tích nhanh chóng nội dung của nhiều máy tính trong mạng công ty mà không làm gián đoạn hoạt động kinh doanh hoặc cảnh báo kẻ tấn công tiềm năng. Sử dụng Shadow 3, các điều tra viên có thể kết nối thiết bị này với các máy tính mục tiêu và xem trực tiếp nội dung của chúng trên máy tính của điều tra viên mà không cần tạo bản sao đầy đủ của ổ đĩa – một quá trình có thể mất nhiều giờ đồng hồ cho mỗi máy. Điều này cho phép họ nhanh chóng quét qua nhiều máy tính, xác định những máy có dấu hiệu bị xâm nhập hoặc chứa dữ liệu đáng ngờ. Họ có thể thấy các tệp tin, ứng dụng đang chạy và thậm chí cả lịch sử trình duyệt mà không làm thay đổi bất kỳ dữ liệu nào trên máy tính gốc. Nhờ đó, đội điều tra có thể nhanh chóng xác định phạm vi của cuộc tấn công, tìm ra các máy tính bị nhiễm mã độc và thu thập bằng chứng quan trọng mà không làm ảnh hưởng đến hoạt động hàng ngày của công ty hoặc cảnh báo kẻ tấn công về cuộc điều tra đang diễn ra.

Phần mềm pháp lý

Công cụ bẻ khóa mật khẩu: Cain & Abel Nguồn: http://www.oxid.it

Cain & Abel là một công cụ khôi phục mật khẩu cho các hệ điều hành Microsoft. Nó cho phép khôi phục các loại mật khẩu khác nhau bằng cách đánh hơi mạng, bẻ khóa mật khẩu đã mã hóa sử dụng các cuộc tấn công từ điển, vét cạn và phân tích mã hóa, ghi lại cuộc hội thoại VoIP, giải mã các mật khẩu bị xáo trộn, khôi phục khóa mạng không dây, tiết lộ hộp mật khẩu, khám phá mật khẩu được lưu trong bộ nhớ cache, phân tích các giao thức định tuyến.

Tình huống thực tế: Security365 đang điều tra một vụ xâm nhập mạng nội bộ của một công ty công nghệ. Họ nghi ngờ rằng một nhân viên đã sử dụng các tài khoản của đồng nghiệp để truy cập thông tin mật. Sử dụng Cain & Abel, đội điều tra có thể:

  1. Đánh hơi mạng nội bộ để thu thập các gói tin chứa thông tin xác thực.
  2. Cố gắng bẻ khóa các mật khẩu đã mã hóa thu được từ các tệp hệ thống.
  3. Phân tích các cuộc gọi VoIP nội bộ để tìm kiếm bằng chứng về việc chia sẻ thông tin đăng nhập.
  4. Khôi phục các khóa Wi-Fi được sử dụng trong công ty để kiểm tra xem có truy cập trái phép từ bên ngoài không.

Nhờ đó, họ có thể xác định được nhân viên đã sử dụng một công cụ tương tự để lấy cắp thông tin đăng nhập của đồng nghiệp và truy cập vào các hệ thống không được phép. Bằng chứng này đã giúp công ty có cơ sở để thực hiện các biện pháp kỷ luật và cải thiện hệ thống bảo mật của họ.

Công cụ khôi phục dữ liệu: Recuva Nguồn: https://www.piriform.com

Recuva có thể khôi phục các tệp hình ảnh, âm nhạc, tài liệu, video, email hoặc bất kỳ loại tệp nào khác đã bị mất. Nó cũng có thể khôi phục dữ liệu từ bất kỳ phương tiện có thể ghi lại được như thẻ nhớ, ổ cứng ngoài, USB, v.v.

Ví dụ minh họa: Một công ty luật thuê Security365 để khôi phục các tài liệu quan trọng đã bị xóa nhầm từ máy tính của một luật sư cấp cao. Các tài liệu này liên quan đến một vụ kiện lớn sắp diễn ra và không có bản sao lưu. Sử dụng Recuva, đội ngũ của Security365 đã:

  1. Quét toàn bộ ổ cứng của máy tính, bao gồm cả các khu vực “trống” nơi dữ liệu đã bị xóa có thể vẫn tồn tại.
  2. Khôi phục được hầu hết các tệp Word, PDF và email đã bị xóa, bao gồm cả những tệp đã bị xóa khỏi Thùng rác.
  3. Phục hồi các tệp đính kèm email quan trọng từ ổ cứng cục bộ mà Outlook đã lưu trữ.
  4. Tìm và khôi phục các phiên bản cũ hơn của một số tài liệu, cung cấp thông tin bổ sung có giá trị cho vụ kiện.

Nhờ khả năng khôi phục dữ liệu hiệu quả của Recuva, công ty luật đã có thể cứu vãn được hầu hết các tài liệu quan trọng, tránh được một thảm họa tiềm tàng cho vụ kiện sắp tới và bảo vệ danh tiếng của họ trước khách hàng.

Công cụ phân tích lưu lượng mạng: Capsa Network Analyzer Nguồn: http://www.colasoft.com

Capsa Free là một trình phân tích mạng cho phép giám sát lưu lượng mạng, khắc phục sự cố mạng và phân tích gói tin. Tính năng bao gồm hỗ trợ hơn 300 giao thức mạng (bao gồm cả khả năng tạo và tùy chỉnh giao thức), bộ lọc MSN và Yahoo Messenger, giám sát và tự động lưu email, và các báo cáo và bảng điều khiển có thể tùy chỉnh.

Các tính năng:

  • Phân tích bảo mật mạng mở rộng
  • Thống kê lưu lượng và băng thông đa dạng
  • Phân tích giao thức mạng nâng cao
  • Giám sát nhiều hành vi mạng
  • Chẩn đoán mạng tự động bởi chuyên gia

Tình huống thực tế: Security365 được một công ty thương mại điện tử yêu cầu điều tra về sự sụt giảm hiệu suất mạng và các hoạt động đáng ngờ trên hệ thống của họ. Sử dụng Capsa Network Analyzer, đội điều tra đã:

  1. Thiết lập giám sát lưu lượng mạng 24/7 trên các máy chủ chính của công ty.
  2. Phân tích các gói tin để xác định các mẫu lưu lượng bất thường, bao gồm cả các nỗ lực tấn công DDoS tiềm ẩn.
  3. Sử dụng bộ lọc tùy chỉnh để theo dõi các giao thức cụ thể mà công ty sử dụng cho các giao dịch quan trọng.
  4. Tạo báo cáo chi tiết về việc sử dụng băng thông, xác định các ứng dụng và người dùng tiêu thụ nhiều tài nguyên nhất.
  5. Phát hiện và phân tích các kết nối mạng đáng ngờ, bao gồm cả những kết nối đến các địa chỉ IP được biết là độc hại.

Nhờ phân tích sâu rộng này, Security365 đã phát hiện ra một botnet nhỏ đang hoạt động trong mạng của công ty, gây ra cả vấn đề về hiệu suất và bảo mật. Họ cũng xác định được một số nhân viên đang sử dụng các ứng dụng chia sẻ tệp P2P, vi phạm chính sách công ty và tiêu tốn băng thông đáng kể. Dựa trên những phát hiện này, công ty đã có thể loại bỏ mối đe dọa bảo mật, tối ưu hóa việc sử dụng mạng và triển khai các chính sách bảo mật mạng chặt chẽ hơn.

Phần mềm xem tệp tin: File Viewer Nguồn: http://www.accessoryware.com

File Viewer là một tiện ích Đĩa/Tệp giúp định vị, xem, in, tổ chức và trao đổi tệp qua internet bằng các thành phần email. Nó có thể tìm kiếm nhiều loại tệp phổ biến, hoặc nhóm các loại tệp, hiển thị, in, tổ chức hoặc gửi tệp qua internet, tìm và hiển thị hình ảnh, video, âm thanh, nhạc, tệp văn bản, tài liệu, bảng tính, cơ sở dữ liệu và tệp hệ thống, cục bộ qua LAN hoặc trên internet. Các định dạng tệp hình ảnh được File Viewer hỗ trợ bao gồm JPG, JPG2000, GIF, TIF không nén, TIFF, BMP, ICO, CUR, PCX, DCX, PCD, FPX, WMF, EMF, FAX, RAW, XPB, XPM, IFF, PBM, CUT, PSD, PNG, TGA, EPS, RAS, WPG, PCT, PCX, CLP, XWD, FLC, ANI, SGI, XBM, v.v.

Ví dụ minh họa: Security365 đang điều tra một vụ vi phạm bản quyền phần mềm phức tạp. Họ cần phân tích nhanh chóng một lượng lớn tệp tin từ nhiều nguồn và định dạng khác nhau. Sử dụng File Viewer, đội điều tra có thể:

  1. Nhanh chóng quét qua hàng nghìn tệp tin mà không cần mở từng ứng dụng riêng biệt.
  2. Xem nội dung của các tệp tin đa phương tiện như hình ảnh và video để tìm bằng chứng về việc sử dụng trái phép tài sản trí tuệ.
  3. Kiểm tra metadata của các tệp tin để xác định nguồn gốc và lịch sử chỉnh sửa.
  4. Tìm kiếm và phân loại các tệp tin dựa trên nội dung, giúp nhanh chóng xác định các tài liệu liên quan đến vụ việc.
  5. Xuất báo cáo chi tiết về các tệp tin đáng ngờ để sử dụng trong quá trình điều tra tiếp theo.

Nhờ khả năng xem đa dạng các loại tệp tin của File Viewer, đội điều tra có thể nhanh chóng sàng lọc một lượng lớn dữ liệu, xác định được các phần mềm bị sao chép trái phép và thu thập bằng chứng về quy mô của hoạt động vi phạm bản quyền.

Công cụ tạo ảnh: R-Drive Image Nguồn: http://www.drive-image.com

R-Drive Image là một tiện ích mạnh mẽ cung cấp khả năng tạo tệp ảnh đĩa cho mục đích sao lưu hoặc nhân bản. R-Drive Image khôi phục các ảnh trên các đĩa gốc, trên bất kỳ phân vùng nào khác, hoặc thậm chí trên không gian trống của ổ cứng. Sử dụng R-Drive Image, người dùng có thể khôi phục hệ thống sau khi mất dữ liệu nặng do sự cố hệ điều hành, tấn công virus hoặc lỗi phần cứng.

Các tính năng:

  • Giao diện hướng dẫn đơn giản
  • Nén tệp ảnh
  • Hỗ trợ phương tiện có thể tháo rời
  • Chia nhỏ tệp ảnh
  • Bảo vệ ảnh

Tình huống thực tế: Security365 được yêu cầu hỗ trợ một công ty công nghệ trong việc điều tra một sự cố bảo mật nghiêm trọng. Họ cần tạo bản sao chính xác của nhiều ổ cứng máy chủ mà không làm gián đoạn hoạt động của hệ thống đang chạy. Sử dụng R-Drive Image, đội điều tra đã:

  1. Tạo ảnh bit-by-bit của các ổ đĩa hệ thống đang hoạt động mà không cần tắt máy chủ, nhờ tính năng tạo ảnh “nóng”.
  2. Sử dụng tính năng nén để giảm kích thước của các tệp ảnh, tiết kiệm không gian lưu trữ đáng kể.
  3. Chia nhỏ các tệp ảnh lớn thành nhiều phần nhỏ hơn để dễ dàng lưu trữ và truyền qua mạng.
  4. Áp dụng mật khẩu và mã hóa cho các tệp ảnh để bảo vệ dữ liệu nhạy cảm trong quá trình lưu trữ và vận chuyển.
  5. Sử dụng tính năng khôi phục có chọn lọc để trích xuất các tệp và thư mục cụ thể từ ảnh mà không cần khôi phục toàn bộ ổ đĩa.

Nhờ sử dụng R-Drive Image, Security365 có thể thu thập bằng chứng số một cách toàn diện mà không làm gián đoạn hoạt động kinh doanh của công ty. Các ảnh được tạo ra cung cấp một bản sao chính xác của hệ thống tại thời điểm xảy ra sự cố, cho phép phân tích chi tiết để xác định nguồn gốc và phạm vi của cuộc tấn công bảo mật.

Phần mềm chuyển đổi định dạng tệp: FileMerlin Nguồn: http://www.file-convert.com

FileMerlin chuyển đổi các tệp xử lý văn bản, bảng tính, trình bày và cơ sở dữ liệu giữa nhiều định dạng tệp khác nhau. Được coi là sản phẩm chuyển đổi tài liệu hàng đầu, nó phù hợp cho cả tài liệu đơn giản và phức tạp, và là giải pháp chính xác, hoàn chỉnh và linh hoạt nhất mà chúng tôi biết đến.

Ví dụ minh họa: Security365 đang làm việc trên một vụ án liên quan đến gian lận tài chính phức tạp. Họ cần phân tích một lượng lớn tài liệu từ nhiều nguồn khác nhau, bao gồm các tệp từ các phiên bản phần mềm cũ và các định dạng độc quyền. Sử dụng FileMerlin, đội điều tra đã:

  1. Chuyển đổi hàng trăm tệp bảng tính cũ từ Lotus 1-2-3 sang định dạng Excel hiện đại để phân tích dễ dàng hơn.
  2. Chuyển đổi các tài liệu Word Perfect và các định dạng xử lý văn bản cũ khác sang PDF để dễ dàng chia sẻ và lưu trữ.
  3. Trích xuất dữ liệu từ các tệp cơ sở dữ liệu độc quyền cũ và chuyển đổi chúng sang định dạng CSV để import vào các công cụ phân tích hiện đại.
  4. Chuyển đổi các bài thuyết trình PowerPoint cũ thành các định dạng web hiện đại để dễ dàng xem xét và chia sẻ trong nhóm.
  5. Hợp nhất nhiều tệp văn bản từ các định dạng khác nhau thành một tài liệu duy nhất để phân tích tổng thể.

Nhờ khả năng chuyển đổi linh hoạt của FileMerlin, đội điều tra có thể vượt qua rào cản tương thích và làm việc hiệu quả với tất cả các loại tài liệu, bất kể nguồn gốc hoặc định dạng ban đầu của chúng. Điều này cho phép họ tìm ra các mối liên hệ và mẫu hình trong dữ liệu mà có thể bị bỏ sót nếu không thể truy cập tất cả các tệp một cách nhất quán.

AccessData’s FTK Nguồn: http://accessdata.com

FTK là một nền tảng điều tra kỹ thuật số được tòa án công nhận. Nó cung cấp khả năng xử lý và lập chỉ mục từ đầu, vì vậy việc lọc và tìm kiếm diễn ra nhanh chóng. FTK có thể được thiết lập cho xử lý phân tán và tích hợp quản lý vụ án dựa trên web cũng như phân tích cộng tác.

Ví dụ minh họa: Security365 được giao nhiệm vụ điều tra một vụ án gian lận doanh nghiệp phức tạp liên quan đến nhiều máy tính và thiết bị di động. Sử dụng AccessData’s FTK, đội điều tra đã:

  1. Thu thập dữ liệu từ hơn 50 máy tính và 100 điện thoại thông minh, tự động lập chỉ mục và phân loại tất cả dữ liệu.
  2. Sử dụng tính năng xử lý phân tán để phân tích nhanh chóng hàng terabyte dữ liệu trên nhiều máy chủ.
  3. Thiết lập một không gian làm việc cộng tác cho phép nhiều điều tra viên làm việc đồng thời trên cùng một bộ bằng chứng.
  4. Sử dụng các tính năng tìm kiếm nâng cao để nhanh chóng xác định các tài liệu liên quan đến gian lận, bao gồm cả những tài liệu đã bị xóa hoặc ẩn.
  5. Tạo báo cáo chi tiết và có thể được tòa án chấp nhận, tóm tắt các phát hiện chính và dòng thời gian của các sự kiện đáng ngờ.

Nhờ sức mạnh và tính linh hoạt của FTK, Security365 có thể xử lý một lượng lớn dữ liệu trong thời gian ngắn, cho phép họ nhanh chóng xác định các hoạt động gian lận và cung cấp bằng chứng vững chắc cho các thủ tục tố tụng pháp lý tiếp theo.

Guidance Software’s EnCase Nguồn: https://www.guidancesoftware.com

  • Nhanh chóng thu thập dữ liệu từ nhiều loại thiết bị đa dạng
  • Khám phá bằng chứng tiềm năng với phân tích pháp lý cấp độ đĩa
  • Tạo báo cáo toàn diện về các phát hiện của bạn
  • Duy trì tính toàn vẹn của bằng chứng của bạn trong một định dạng mà tòa án tin tưởng

Tình huống thực tế: Security365 được yêu cầu điều tra một vụ rò rỉ thông tin mật của công ty trong một tập đoàn đa quốc gia. Sử dụng EnCase, đội điều tra đã:

  1. Thu thập dữ liệu từ nhiều loại thiết bị khác nhau, bao gồm máy tính để bàn, laptop, máy chủ và thiết bị di động, đảm bảo không bỏ sót bất kỳ nguồn bằng chứng tiềm năng nào.
  2. Thực hiện phân tích sâu ở cấp độ đĩa, cho phép họ khôi phục các tệp đã xóa, kiểm tra không gian trống trên đĩa và phân tích các khu vực hệ thống ẩn.
  3. Sử dụng các công cụ tìm kiếm nâng cao để xác định các tài liệu mật đã bị rò rỉ và theo dõi sự di chuyển của chúng trong hệ thống.
  4. Tạo dòng thời gian chi tiết về các sự kiện liên quan đến vụ rò rỉ, bao gồm thời điểm truy cập, sao chép và truyền tải các tệp mật.
  5. Tạo báo cáo pháp lý toàn diện, tóm tắt tất cả các phát hiện và bằng chứng thu thập được, đảm bảo tính chấp nhận trong tòa án.

Nhờ khả năng mạnh mẽ của EnCase trong việc thu thập và phân tích dữ liệu, Security365 đã có thể nhanh chóng xác định nguồn gốc của vụ rò rỉ, theo dõi cách thức dữ liệu được truyền ra ngoài công ty, và cung cấp bằng chứng vững chắc để hỗ trợ các hành động pháp lý tiếp theo. Tính toàn vẹn của bằng chứng được đảm bảo trong suốt quá trình điều tra, tăng cường độ tin cậy của các phát hiện trước tòa.

Nuix Corporate Investigation Suite Nguồn: http://www.nuix.com

Bộ Điều tra Doanh nghiệp Nuix được sử dụng để thu thập, xử lý, phân tích, xem xét và báo cáo về bằng chứng điện tử.

Ví dụ minh họa: Security365 được một công ty đa quốc gia thuê để điều tra về một vụ nghi ngờ gian lận nội bộ quy mô lớn. Vụ việc liên quan đến hàng triệu email, tài liệu và các tệp dữ liệu khác từ nhiều nguồn khác nhau. Sử dụng Nuix Corporate Investigation Suite, đội điều tra đã:

  1. Thu thập dữ liệu từ nhiều nguồn, bao gồm máy chủ email, hệ thống lưu trữ tài liệu và các thiết bị cá nhân của nhân viên nghi vấn.
  2. Xử lý nhanh chóng một lượng lớn dữ liệu, tự động trích xuất metadata và nội dung có thể tìm kiếm từ hàng triệu tệp.
  3. Sử dụng các công cụ phân tích nâng cao để xác định các mẫu giao tiếp đáng ngờ và các giao dịch bất thường.
  4. Tạo một cơ sở dữ liệu có thể tìm kiếm chứa tất cả các bằng chứng, cho phép nhiều điều tra viên làm việc đồng thời trên các khía cạnh khác nhau của vụ án.
  5. Tạo báo cáo chi tiết và trực quan hóa dữ liệu để trình bày các phát hiện cho ban lãnh đạo công ty và các cơ quan pháp luật.

Nhờ khả năng xử lý và phân tích dữ liệu mạnh mẽ của Nuix, Security365 đã có thể nhanh chóng sàng lọc qua hàng terabyte dữ liệu, xác định các mối liên kết giữa các nhân viên liên quan đến gian lận, và tái tạo dòng tiền bất hợp pháp. Kết quả điều tra đã cung cấp bằng chứng quyết định để công ty có thể thực hiện các biện pháp kỷ luật và cải thiện các quy trình kiểm soát nội bộ của họ.

PALADIN Forensic Suite Nguồn: https://www.sumuri.com

PALADIN là một bản phân phối Linux “live” được sửa đổi dựa trên Ubuntu được sử dụng để thực hiện các nhiệm vụ pháp lý khác nhau một cách an toàn thông qua PALADIN Toolbox. PALADIN có sẵn ở các phiên bản 64-bit và 32-bit.

Tình huống thực tế: Security365 được yêu cầu hỗ trợ trong một cuộc điều tra tại hiện trường liên quan đến một vụ xâm nhập mạng tại một công ty tài chính nhỏ. Họ cần phân tích nhanh chóng các máy tính tại chỗ mà không làm thay đổi dữ liệu gốc. Sử dụng PALADIN Forensic Suite, đội điều tra đã:

  1. Khởi động các máy tính nghi ngờ từ ổ USB chứa PALADIN, cho phép họ truy cập và phân tích hệ thống mà không cần khởi động hệ điều hành gốc.
  2. Sử dụng các công cụ pháp lý tích hợp trong PALADIN Toolbox để nhanh chóng quét và phân tích các ổ đĩa, tìm kiếm các dấu hiệu của phần mềm độc hại và hoạt động đáng ngờ.
  3. Tạo bản sao pháp lý của các ổ đĩa quan trọng mà không làm thay đổi dữ liệu gốc, đảm bảo tính toàn vẹn của bằng chứng.
  4. Thực hiện phân tích bộ nhớ trực tiếp trên các máy tính đang chạy để thu thập thông tin về các quy trình đang hoạt động và các kết nối mạng.
  5. Sử dụng các công cụ khôi phục dữ liệu tích hợp để tìm và phục hồi các tệp đã bị xóa có thể liên quan đến vụ xâm nhập.

Nhờ tính linh hoạt và toàn diện của PALADIN, Security365 đã có thể nhanh chóng đánh giá phạm vi của vụ xâm nhập, xác định các máy tính bị ảnh hưởng, và thu thập bằng chứng quan trọng mà không làm gián đoạn hoạt động kinh doanh của công ty. Bộ công cụ đa dạng của PALADIN cho phép họ thực hiện một cuộc điều tra toàn diện ngay tại hiện trường, tiết kiệm thời gian quý báu trong việc ứng phó với sự cố.

mailXaminer Nguồn: https://www.mailxaminer.com

Được sử dụng để tìm kiếm và khám phá thông tin liên quan bằng cách tiến hành, phối hợp và giám sát theo thời gian thực một vụ án với một đội điều tra để có được bằng chứng đầy đủ và rõ ràng trong một định dạng tệp có thể chấp nhận được trước tòa.

Ví dụ minh họa: Security365 đang điều tra một vụ quấy rối qua email và lạm dụng chính sách công ty trong một tổ chức lớn. Họ cần phân tích hàng trăm nghìn email từ nhiều tài khoản khác nhau. Sử dụng mailXaminer, đội điều tra đã:

  1. Nhập và lập chỉ mục hàng triệu email từ nhiều định dạng khác nhau, bao gồm PST, OST, EML và MBOX.
  2. Sử dụng tính năng tìm kiếm nâng cao để xác định các email chứa nội dung quấy rối hoặc vi phạm chính sách công ty.
  3. Phân tích các mẫu giao tiếp giữa các nhân viên, xác định các mối quan hệ và tương tác đáng ngờ.
  4. Khôi phục các email đã xóa và tệp đính kèm, tiết lộ những thông tin quan trọng mà kẻ phạm tội đã cố gắng che giấu.
  5. Tạo báo cáo chi tiết về các email vi phạm, bao gồm metadata đầy đủ và dòng thời gian của các sự kiện.
  6. Xuất các email được chọn và bằng chứng liên quan theo định dạng có thể chấp nhận được trước tòa.

Nhờ khả năng phân tích email mạnh mẽ của mailXaminer, Security365 đã có thể nhanh chóng sàng lọc qua một lượng lớn dữ liệu email, xác định các trường hợp quấy rối và vi phạm chính sách cụ thể. Họ có thể tái tạo dòng thời gian chính xác của các sự kiện, liên kết các bên liên quan, và cung cấp bằng chứng rõ ràng cho ban quản lý nhân sự và bộ phận pháp lý của công ty. Kết quả là, tổ chức có thể thực hiện các biện pháp kỷ luật thích hợp và tăng cường các chính sách truyền thông nội bộ của họ.

OSForensics Nguồn: http://www.osforensics.com

Trích xuất dữ liệu pháp lý từ máy tính và khám phá dữ liệu ẩn bên trong PC.

Tình huống thực tế: Security365 được thuê để điều tra một vụ nghi ngờ trộm cắp tài sản trí tuệ tại một công ty phần mềm. Họ cần phân tích sâu các máy tính của nhân viên để tìm bằng chứng về việc sao chép và truyền tải trái phép mã nguồn. Sử dụng OSForensics, đội điều tra đã:

  1. Thực hiện tìm kiếm toàn diện trên các ổ đĩa, bao gồm cả không gian chưa phân bổ và các tệp hệ thống ẩn, để tìm các đoạn mã nguồn.
  2. Sử dụng tính năng phân tích Registry để kiểm tra lịch sử sử dụng USB và các ứng dụng đã cài đặt gần đây.
  3. Phân tích các tệp prefetch và các artifacts hệ thống khác để xác định các ứng dụng đã được sử dụng để truyền tải dữ liệu.
  4. Khôi phục các tệp đã xóa và phân mảnh, tiết lộ các phiên bản cũ của mã nguồn đã bị xóa.
  5. Tạo báo cáo pháp lý chi tiết, bao gồm dòng thời gian của các hoạt động đáng ngờ và danh sách các tệp liên quan.

Nhờ các công cụ phân tích sâu của OSForensics, Security365 đã có thể phát hiện bằng chứng về việc một nhân viên đã sao chép mã nguồn quan trọng vào thiết bị USB và sau đó cố gắng xóa dấu vết. Họ cũng tìm thấy bằng chứng về việc sử dụng các ứng dụng chia sẻ tệp để gửi dữ liệu ra ngoài công ty. Những phát hiện này cung cấp bằng chứng quyết định cho công ty để thực hiện các biện pháp pháp lý chống lại nhân viên vi phạm và tăng cường các biện pháp bảo vệ tài sản trí tuệ của họ.

Hex Editor Neo Nguồn: http://www.hhdsoftware.com

Hex Editor Neo miễn phí cho phép xem, sửa đổi, phân tích dữ liệu thập lục phân và tệp nhị phân, chỉnh sửa, trao đổi dữ liệu với các ứng dụng khác thông qua clipboard, chèn dữ liệu mới và xóa dữ liệu hiện có, cũng như thực hiện các hành động chỉnh sửa khác.

Ví dụ minh họa: Security365 đang điều tra một trường hợp phần mềm độc hại tinh vi đang gây hại cho hệ thống của một ngân hàng. Họ cần phân tích sâu vào cấu trúc của malware để hiểu cách hoạt động của nó. Sử dụng Hex Editor Neo, đội điều tra đã:

  1. Mở các tệp thực thi của malware trong chế độ xem hex, cho phép họ kiểm tra cấu trúc dữ liệu cấp thấp.
  2. Phân tích header của tệp để xác định loại tệp chính xác và các đặc điểm cụ thể của malware.
  3. Tìm kiếm các chuỗi văn bản ẩn trong mã nhị phân, tiết lộ các địa chỉ IP, tên miền hoặc các thông tin quan trọng khác mà malware sử dụng.
  4. So sánh các phiên bản khác nhau của malware để xác định các thay đổi và cập nhật.
  5. Chỉnh sửa một số byte cụ thể để vô hiệu hóa các chức năng độc hại của malware trong môi trường thử nghiệm an toàn.
  6. Xuất dữ liệu đã phân tích để sử dụng trong các công cụ phân tích malware khác.

Nhờ khả năng xem và chỉnh sửa dữ liệu cấp thấp của Hex Editor Neo, Security365 đã có thể hiểu rõ cơ chế hoạt động của malware, xác định các máy chủ điều khiển và các chức năng chính của nó. Thông tin này giúp họ phát triển các biện pháp đối phó hiệu quả và tăng cường bảo mật cho hệ thống ngân hàng.

Bulk extractor Nguồn: http://www.forensicswiki.org

Bulk extractor là một công cụ pháp lý máy tính quét một ảnh đĩa, một tệp hoặc một thư mục các tệp và trích xuất thông tin hữu ích mà không phân tích hệ thống tệp hoặc cấu trúc hệ thống tệp.

Tình huống thực tế: Security365 đang làm việc trên một vụ án liên quan đến tội phạm mạng xuyên quốc gia. Họ cần nhanh chóng phân tích một lượng lớn ổ cứng thu giữ được để tìm các thông tin liên lạc và dữ liệu tài chính. Sử dụng Bulk extractor, đội điều tra đã:

  1. Quét nhanh chóng hàng terabyte dữ liệu từ nhiều ổ cứng mà không cần quan tâm đến cấu trúc hệ thống tệp.
  2. Trích xuất tự động tất cả địa chỉ email, số điện thoại, số thẻ tín dụng và các định dạng dữ liệu cụ thể khác từ toàn bộ ổ đĩa.
  3. Phát hiện và phân tích các tệp zip ẩn và các dữ liệu nén khác mà không cần giải nén thủ công.
  4. Tạo báo cáo thống kê về các loại dữ liệu được tìm thấy, giúp ưu tiên các lĩnh vực điều tra.
  5. Sử dụng tính năng phân tích từ khóa để tìm kiếm các thuật ngữ cụ thể liên quan đến hoạt động tội phạm trong toàn bộ bộ dữ liệu.
  6. Xuất kết quả vào các định dạng dễ phân tích để tiếp tục điều tra.

Nhờ khả năng xử lý nhanh và trích xuất thông tin có cấu trúc của Bulk extractor, Security365 đã có thể nhanh chóng xác định các mối liên kết giữa các nghi phạm, khám phá các giao dịch tài chính đáng ngờ, và tìm ra các kênh liên lạc bí mật. Điều này đã cung cấp cho cơ quan thực thi pháp luật những manh mối quan trọng để mở rộng cuộc điều tra và cuối cùng là phá vỡ mạng lưới tội phạm.

Xplico Nguồn: http://www.xplico.org

Mục tiêu của Xplico là trích xuất dữ liệu ứng dụng có trong lưu lượng internet bị bắt. Ví dụ, từ một tệp pcap, Xplico trích xuất từng email (các giao thức POP, IMAP, và SMTP), tất cả nội dung HTTP, mỗi cuộc gọi VoIP (SIP), FTP, TFTP, và nhiều hơn nữa. Xplico là một Công cụ Phân tích Pháp lý Mạng (NFAT) mã nguồn mở.

Ví dụ minh họa: Security365 được yêu cầu điều tra về một vụ rò rỉ thông tin mật trong một công ty công nghệ cao. Họ nghi ngờ rằng thông tin đang được truyền ra ngoài thông qua các kênh truyền thông internet bình thường. Sử dụng Xplico, đội điều tra đã:

  1. Bắt và phân tích lưu lượng mạng từ các điểm truy cập internet chính của công ty trong một khoảng thời gian dài.
  2. Trích xuất và phân loại tự động tất cả các email, cuộc trò chuyện tức thời, tệp được chuyển qua FTP và nội dung web từ dữ liệu bắt được.
  3. Phân tích các cuộc gọi VoIP để tìm kiếm các cuộc trò chuyện đáng ngờ.
  4. Tái tạo các trang web đã truy cập và các tệp đã tải xuống để xác định các hoạt động không phù hợp.
  5. Tìm kiếm các mẫu truyền thông bất thường hoặc các kết nối đến các địa chỉ IP không xác định.
  6. Tạo báo cáo chi tiết về tất cả các hoạt động mạng, cho phép phân tích sâu hơn.

Nhờ khả năng phân tích sâu và toàn diện của Xplico đối với lưu lượng mạng, Security365 đã phát hiện ra rằng một nhân viên đang sử dụng một dịch vụ lưu trữ đám mây ít được biết đến để tải lên các tài liệu mật. Họ cũng phát hiện ra các cuộc trò chuyện mã hóa đáng ngờ qua một ứng dụng nhắn tin ít được biết đến. Những phát hiện này cho phép công ty nhanh chóng ngăn chặn vụ rò rỉ và tăng cường các biện pháp kiểm soát bảo mật mạng của họ.

The Sleuth Kit Nguồn: http://www.sleuthkit.org

The Sleuth Kit® là một bộ công cụ dòng lệnh và thư viện C cho phép bạn phân tích ảnh đĩa và khôi phục tệp từ chúng.

Ví dụ minh họa: Security365 đang điều tra một vụ án phức tạp liên quan đến việc xóa dữ liệu có chủ ý trên một hệ thống máy chủ quan trọng. Họ cần phân tích sâu vào cấu trúc hệ thống tệp để khôi phục dữ liệu đã bị xóa. Sử dụng The Sleuth Kit, đội điều tra đã:

  1. Tạo ảnh pháp lý của các ổ đĩa cứng liên quan và làm việc trực tiếp trên các ảnh này.
  2. Sử dụng các công cụ dòng lệnh để phân tích cấu trúc hệ thống tệp ở mức thấp, bao gồm cả các khu vực không được phân bổ.
  3. Khôi phục các tệp đã bị xóa bằng cách quét các i-node và các cấu trúc hệ thống tệp khác.
  4. Phân tích dòng thời gian của các hoạt động tệp để xác định chính xác khi nào dữ liệu bị xóa.
  5. Trích xuất metadata từ các tệp còn lại và đã xóa để tìm kiếm các mẫu hoặc mối liên hệ.
  6. Sử dụng các script tùy chỉnh kết hợp với The Sleuth Kit để tự động hóa quá trình phân tích trên nhiều ổ đĩa.

Nhờ khả năng phân tích sâu và linh hoạt của The Sleuth Kit, Security365 đã có thể khôi phục một lượng lớn dữ liệu đã bị xóa, bao gồm các tệp nhật ký quan trọng và tài liệu giao dịch. Họ cũng phát hiện ra rằng một script tự động đã được sử dụng để xóa dữ liệu, chỉ ra rằng việc xóa là có chủ ý và được lập trình trước. Những phát hiện này đã cung cấp bằng chứng quyết định cho cuộc điều tra, dẫn đến việc xác định và truy tố thành công kẻ phạm tội.

Autopsy Nguồn: http://www.sleuthkit.org

Autopsy® là một nền tảng pháp lý kỹ thuật số và giao diện đồ họa cho The Sleuth Kit® và các công cụ pháp lý kỹ thuật số khác. Nó được sử dụng bởi các cơ quan thực thi pháp luật, quân đội và các điều tra viên doanh nghiệp để điều tra những gì đã xảy ra trên máy tính. Nó thậm chí có thể được sử dụng để khôi phục ảnh từ thẻ nhớ của máy ảnh.

Tình huống thực tế: Security365 được yêu cầu hỗ trợ trong một cuộc điều tra về lạm dụng trẻ em trên mạng. Họ cần phân tích một số lượng lớn các thiết bị điện tử bị tịch thu, bao gồm máy tính, điện thoại thông minh và máy ảnh kỹ thuật số. Sử dụng Autopsy, đội điều tra đã:

  1. Tạo các vụ án riêng biệt cho từng thiết bị, cho phép quản lý và phân tích dữ liệu một cách có tổ chức.
  2. Sử dụng tính năng phân tích tự động của Autopsy để nhanh chóng quét qua hàng terabyte dữ liệu, tìm kiếm các loại tệp cụ thể và các mẫu dữ liệu đáng ngờ.
  3. Khôi phục và phân loại hàng nghìn hình ảnh và video từ các thiết bị, bao gồm cả những tệp đã bị xóa.
  4. Sử dụng các công cụ phân tích dòng thời gian để tái tạo lịch sử hoạt động trên các thiết bị.
  5. Trích xuất và phân tích lịch sử trình duyệt web, email và tin nhắn tức thời để xác định các liên hệ và hoạt động đáng ngờ.
  6. Sử dụng các plugin tùy chỉnh trong Autopsy để tìm kiếm các dấu hiệu cụ thể liên quan đến vụ án.
  7. Tạo báo cáo toàn diện về các phát hiện, bao gồm dòng thời gian của các sự kiện và danh sách chi tiết các bằng chứng thu thập được.

Nhờ giao diện thân thiện với người dùng và khả năng phân tích mạnh mẽ của Autopsy, Security365 đã có thể nhanh chóng sàng lọc qua một lượng lớn dữ liệu và xác định các bằng chứng quan trọng. Họ khôi phục được nhiều hình ảnh và video bị xóa, phát hiện các mẫu liên lạc đáng ngờ, và tái tạo dòng thời gian chi tiết của các hoạt động tội phạm. Những phát hiện này đã cung cấp bằng chứng quyết định cho các cơ quan thực thi pháp luật, dẫn đến việc bắt giữ và truy tố thành công các đối tượng liên quan đến vụ án nghiêm trọng này.

Oxygen Forensic® Kit Nguồn: http://www.oxygen-forensic.com

Oxygen Forensic® Kit là một giải pháp pháp lý di động sẵn sàng sử dụng và có thể tùy chỉnh cho việc sử dụng tại hiện trường và trong phòng thí nghiệm. Nó không chỉ cho phép trích xuất dữ liệu từ thiết bị mà còn tạo báo cáo và phân tích dữ liệu tại hiện trường.

Ví dụ minh họa: Security365 được giao nhiệm vụ điều tra một vụ án gián điệp công nghiệp phức tạp liên quan đến việc sử dụng nhiều thiết bị di động. Họ cần nhanh chóng thu thập và phân tích dữ liệu từ nhiều smartphone và máy tính bảng tại hiện trường. Sử dụng Oxygen Forensic® Kit, đội điều tra đã:

  1. Trích xuất dữ liệu toàn diện từ các thiết bị iOS, Android và Windows Phone bị tịch thu, bao gồm cả những thiết bị đã khóa.
  2. Phân tích dữ liệu từ các ứng dụng nhắn tin phổ biến và ít được biết đến, khôi phục cả tin nhắn đã xóa.
  3. Trích xuất và phân tích dữ liệu vị trí GPS để tái tạo các chuyến đi và địa điểm quan trọng.
  4. Khôi phục các tài liệu, hình ảnh và video đã xóa từ bộ nhớ thiết bị.
  5. Phân tích dữ liệu đám mây liên kết với các thiết bị, bao gồm cả các bản sao lưu và tài liệu được đồng bộ hóa.
  6. Tạo báo cáo chi tiết và trực quan tại hiện trường, cho phép các điều tra viên đưa ra quyết định nhanh chóng.
  7. Sử dụng các công cụ phân tích nâng cao để tìm kiếm các mối liên hệ giữa các thiết bị và người dùng khác nhau.

Nhờ tính linh hoạt và khả năng phân tích mạnh mẽ của Oxygen Forensic® Kit, Security365 đã có thể nhanh chóng thu thập và phân tích một lượng lớn dữ liệu từ nhiều thiết bị di động ngay tại hiện trường. Họ phát hiện ra một mạng lưới phức tạp của các nhân viên đang chia sẻ thông tin mật với đối thủ cạnh tranh thông qua các ứng dụng nhắn tin mã hóa. Dữ liệu vị trí GPS cũng tiết lộ các cuộc gặp gỡ bí mật tại các địa điểm không thường xuyên. Khả năng tạo báo cáo nhanh chóng tại hiện trường đã cho phép đội điều tra cung cấp thông tin kịp thời cho ban lãnh đạo công ty và cơ quan thực thi pháp luật, dẫn đến việc nhanh chóng ngăn chặn vụ rò rỉ thông tin và bắt giữ các đối tượng liên quan.

Paraben’s DP2C Nguồn: https://www.paraben.com

DP2C là một công cụ thu thập dữ liệu mục tiêu cho pháp y triage. DP2C là phần mềm đặc biệt chạy từ ổ USB và cho phép thu thập các loại dữ liệu cụ thể từ các hệ thống dựa trên Windows vào ổ đĩa chứng cứ.

Tình huống thực tế: Security365 được yêu cầu thực hiện một cuộc điều tra nhanh về việc rò rỉ thông tin nội bộ tại một công ty tài chính lớn. Họ cần thu thập dữ liệu từ nhiều máy tính trong văn phòng mà không gây gián đoạn hoạt động kinh doanh. Sử dụng Paraben’s DP2C, đội điều tra đã:

  1. Chuẩn bị nhiều ổ USB chứa DP2C, mỗi ổ được cấu hình để thu thập các loại dữ liệu cụ thể (ví dụ: email, lịch sử trình duyệt, tài liệu gần đây).
  2. Nhanh chóng kết nối các ổ USB vào các máy tính mục tiêu và thu thập dữ liệu mà không cần tắt máy hoặc làm gián đoạn công việc của nhân viên.
  3. Thu thập có chọn lọc các loại tệp cụ thể liên quan đến dự án bị nghi ngờ rò rỉ, tiết kiệm thời gian và không gian lưu trữ.
  4. Tự động trích xuất thông tin về người dùng và hệ thống từ mỗi máy tính, giúp xây dựng bức tranh tổng thể về môi trường IT.
  5. Thu thập dữ liệu từ các ứng dụng truyền thông nội bộ và các nền tảng chia sẻ tệp được công ty sử dụng.
  6. Tạo báo cáo tóm tắt về dữ liệu thu thập được từ mỗi máy tính, cho phép nhanh chóng xác định các máy tính cần điều tra sâu hơn.

Nhờ tính linh hoạt và hiệu quả của DP2C, Security365 đã có thể thu thập dữ liệu quan trọng từ hàng chục máy tính trong vòng vài giờ, mà không làm gián đoạn hoạt động của công ty. Phân tích nhanh dữ liệu thu thập được đã cho phép họ xác định một nhóm nhỏ nhân viên đang sử dụng một ứng dụng chia sẻ tệp không được phép để gửi tài liệu ra ngoài công ty. Khả năng thu thập có mục tiêu của DP2C đã giúp tập trung cuộc điều tra, tiết kiệm thời gian và nguồn lực quý giá, đồng thời giảm thiểu tác động đến hoạt động hàng ngày của công ty.

MiniTool Power Data Recovery Enterprise Nguồn: http://www.minitool.com

MiniTool Power Data Recovery Enterprise Edition có thể khôi phục dữ liệu bao gồm hình ảnh, văn bản, video, âm nhạc và email. Nó hỗ trợ các tình huống mất dữ liệu khác nhau như dữ liệu quan trọng bị mất do xóa nhầm, định dạng, hư hỏng logic, v.v.

Ví dụ minh họa: Security365 được một công ty sản xuất thuê để khôi phục dữ liệu quan trọng từ một máy chủ bị hỏng. Máy chủ này chứa các công thức sản phẩm độc quyền và dữ liệu nghiên cứu không có bản sao lưu gần đây. Sử dụng MiniTool Power Data Recovery Enterprise, đội điều tra đã:

  1. Tạo một ảnh pháp lý của ổ cứng bị hỏng để làm việc mà không ảnh hưởng đến dữ liệu gốc.
  2. Quét toàn bộ ảnh đĩa để tìm kiếm các tệp bị xóa, bị mất do định dạng lại hoặc bị hỏng do lỗi hệ thống tệp.
  3. Khôi phục hàng nghìn tài liệu văn bản, bảng tính và tệp cơ sở dữ liệu chứa thông tin công thức và nghiên cứu.
  4. Phục hồi các tệp hình ảnh và video từ các thử nghiệm sản phẩm gần đây đã bị xóa nhầm.
  5. Khôi phục hộp thư email của các nhà nghiên cứu chính, chứa thông tin liên lạc quan trọng với các đối tác và nhà cung cấp.
  6. Sử dụng tính năng xem trước để nhanh chóng xác định và ưu tiên khôi phục các tệp quan trọng nhất.
  7. Tạo báo cáo chi tiết về quá trình khôi phục, bao gồm danh sách các tệp đã khôi phục và trạng thái của chúng.

Nhờ khả năng khôi phục dữ liệu toàn diện của MiniTool Power Data Recovery Enterprise, Security365 đã có thể cứu vãn phần lớn dữ liệu quan trọng từ máy chủ bị hỏng. Họ khôi phục được hơn 95% công thức sản phẩm và dữ liệu nghiên cứu, bao gồm cả những tệp đã bị xóa nhiều tháng trước đó. Điều này đã giúp công ty tránh được một thảm họa tiềm tàng về mất thông tin độc quyền và tiết kiệm hàng triệu đô la chi phí nghiên cứu và phát triển. Ngoài ra, khả năng xem trước tệp trước khi khôi phục đã cho phép đội điều tra ưu tiên các dữ liệu quan trọng nhất, đảm bảo rằng thông tin thiết yếu được phục hồi trước tiên.

L0phtCrack Nguồn: http://www.l0phtcrack.com

L0phtCrack là một phần mềm kiểm tra và khôi phục mật khẩu. Nó được trang bị nhiều tính năng như lập lịch, trích xuất hash từ phiên bản Windows 64 bit, thuật toán đa xử lý, giám sát và giải mã mạng.

Tình huống thực tế: Security365 được một tổ chức tài chính lớn yêu cầu đánh giá độ mạnh của mật khẩu trong toàn bộ hệ thống của họ sau một vụ xâm nhập bảo mật. Họ cần kiểm tra hàng nghìn tài khoản người dùng trên nhiều máy chủ Windows khác nhau. Sử dụng L0phtCrack, đội điều tra đã:

  1. Trích xuất hash mật khẩu từ tất cả các máy chủ Windows trong mạng, bao gồm cả các hệ thống 64-bit mới nhất.
  2. Thiết lập một quy trình kiểm tra mật khẩu tự động, sử dụng tính năng lập lịch để chạy các phiên kiểm tra vào thời điểm ít tải.
  3. Sử dụng thuật toán đa xử lý để tăng tốc quá trình bẻ khóa mật khẩu, tận dụng toàn bộ sức mạnh của phần cứng hiện có.
  4. Thực hiện các cuộc tấn công từ điển, vét cạn và dựa trên quy tắc để xác định mật khẩu yếu hoặc dễ đoán.
  5. Sử dụng tính năng giám sát mạng để phát hiện và ghi lại các thông tin xác thực được truyền qua mạng không an toàn.
  6. Tạo báo cáo chi tiết về độ mạnh của mật khẩu, xác định các tài khoản có mật khẩu yếu và các mẫu mật khẩu phổ biến trong tổ chức.
  7. Đề xuất các chính sách mật khẩu mới dựa trên kết quả phân tích để tăng cường bảo mật tổng thể.

Nhờ khả năng mạnh mẽ và toàn diện của L0phtCrack, Security365 đã phát hiện ra rằng gần 30% tài khoản người dùng trong tổ chức đang sử dụng mật khẩu yếu hoặc dễ đoán. Họ cũng phát hiện một số tài khoản quản trị viên đang sử dụng mật khẩu đơn giản, tạo ra lỗ hổng bảo mật nghiêm trọng. Báo cáo chi tiết từ L0phtCrack đã cung cấp cho ban lãnh đạo IT bằng chứng cụ thể về nhu cầu cải thiện chính sách mật khẩu. Kết quả là, tổ chức đã triển khai chính sách mật khẩu mới nghiêm ngặt hơn, bắt buộc sử dụng xác thực hai yếu tố cho các tài khoản quan trọng, và thiết lập một quy trình kiểm tra mật khẩu định kỳ sử dụng L0phtCrack để duy trì mức độ bảo mật cao.

Ophcrack Nguồn: http://ophcrack.sourceforge.net

Ophcrack là một công cụ bẻ khóa mật khẩu Windows miễn phí dựa trên rainbow tables. Nó đi kèm với Giao diện người dùng đồ họa và chạy trên nhiều nền tảng.

Tình huống thực tế: Security365 được yêu cầu hỗ trợ trong một cuộc điều tra về việc truy cập trái phép vào hệ thống máy tính của một cơ quan chính phủ. Họ cần nhanh chóng truy cập vào một số máy tính Windows bị khóa mà không làm thay đổi dữ liệu trên các máy này. Sử dụng Ophcrack, đội điều tra đã:

  1. Tạo một bootable USB chứa Ophcrack Live CD để có thể khởi động các máy tính mục tiêu mà không cần truy cập vào hệ điều hành gốc.
  2. Sử dụng Ophcrack để tự động trích xuất hash mật khẩu từ các máy tính Windows mà không cần biết mật khẩu đăng nhập.
  3. Áp dụng các rainbow tables có sẵn trong Ophcrack để nhanh chóng bẻ khóa các hash mật khẩu đơn giản.
  4. Sử dụng các rainbow tables tùy chỉnh để xử lý các mật khẩu phức tạp hơn, dựa trên thông tin về chính sách mật khẩu của cơ quan.
  5. Phân tích các mật khẩu đã được bẻ khóa để tìm ra các mẫu hoặc quy tắc chung trong việc tạo mật khẩu của nhân viên.
  6. Tạo báo cáo về độ mạnh của mật khẩu và thời gian cần thiết để bẻ khóa từng mật khẩu.

Nhờ sử dụng Ophcrack, Security365 đã có thể truy cập vào hầu hết các máy tính bị khóa trong vòng vài giờ mà không làm thay đổi dữ liệu trên các máy này. Họ phát hiện ra rằng nhiều nhân viên đang sử dụng mật khẩu dễ đoán hoặc quá đơn giản, tạo ra lỗ hổng bảo mật nghiêm trọng. Đặc biệt, họ tìm thấy một số tài khoản quản trị viên với mật khẩu yếu, có thể là điểm khởi đầu cho cuộc xâm nhập.

Kết quả của cuộc điều tra này đã dẫn đến việc cơ quan triển khai chính sách mật khẩu mạnh mẽ hơn, bao gồm việc sử dụng xác thực hai yếu tố và đào tạo nhân viên về cách tạo và quản lý mật khẩu an toàn. Ngoài ra, việc sử dụng Ophcrack cũng giúp đội điều tra xác định được tài khoản đã bị xâm phạm, từ đó truy tìm được nguồn gốc của cuộc tấn công.

Paraben’s P2C (P2 Commander) Nguồn: https://www.paraben.com

P2C là một công cụ điều tra kỹ thuật số được sử dụng bởi các chuyên gia pháp y. Nó có cơ sở dữ liệu tích hợp với đa luồng. P2C được xây dựng trên các công cụ kiểm tra email đáng tin cậy của Paraben để phân tích email mạng và lưu trữ email cá nhân không có đối thủ.

Ví dụ minh họa: Security365 được giao nhiệm vụ điều tra một vụ án gian lận nội bộ phức tạp tại một công ty đa quốc gia. Nghi ngờ chính tập trung vào việc sử dụng email để trao đổi thông tin mật và phối hợp các hoạt động gian lận. Sử dụng Paraben’s P2C, đội điều tra đã:

  1. Nhập và lập chỉ mục hàng triệu email từ máy chủ Exchange của công ty và các tệp PST cá nhân của các nhân viên nghi vấn.
  2. Sử dụng tính năng đa luồng để nhanh chóng phân tích một lượng lớn dữ liệu email.
  3. Tìm kiếm các từ khóa và cụm từ cụ thể liên quan đến hoạt động gian lận trong toàn bộ cơ sở dữ liệu email.
  4. Phân tích các mẫu giao tiếp giữa các nhân viên nghi vấn, xác định các mối quan hệ và tương tác đáng ngờ.
  5. Khôi phục và phân tích các email đã xóa, tiết lộ thông tin quan trọng mà các đối tượng đã cố gắng che giấu.
  6. Sử dụng các công cụ phân tích mạng lưới xã hội tích hợp để trực quan hóa các mối quan hệ và luồng thông tin giữa các bên liên quan.
  7. Trích xuất và phân tích các tệp đính kèm email, bao gồm cả những tệp đã bị xóa hoặc ẩn.
  8. Tạo báo cáo chi tiết về các phát hiện, bao gồm dòng thời gian của các sự kiện đáng ngờ và bằng chứng hỗ trợ.

Nhờ khả năng phân tích email mạnh mẽ của P2C, Security365 đã phát hiện ra một mạng lưới phức tạp của các nhân viên đang thao túng báo cáo tài chính và chia sẻ thông tin nội bộ với đối thủ cạnh tranh. Họ tìm thấy các email đã xóa chứa bằng chứng về việc trao đổi thông tin mật và hướng dẫn chi tiết về cách thực hiện gian lận. Phân tích mạng lưới xã hội giúp xác định các “người chơi” chính trong vụ án và mối quan hệ giữa họ.

Kết quả của cuộc điều tra này đã cung cấp bằng chứng quyết định cho ban lãnh đạo công ty và cơ quan thực thi pháp luật. Nó dẫn đến việc sa thải nhiều nhân viên, khởi tố hình sự đối với một số cá nhân, và triển khai các biện pháp kiểm soát nội bộ mạnh mẽ hơn để ngăn chặn các vụ gian lận trong tương lai. Khả năng của P2C trong việc xử lý và phân tích một lượng lớn dữ liệu email đã là yếu tố quyết định trong việc nhanh chóng giải quyết vụ án phức tạp này.

IrfanView Nguồn: http://www.irfanview.com

IrfanView là một trình xem đồ họa MIỄN PHÍ nhỏ gọn (cho mục đích phi thương mại) dành cho Windows 9x, ME, NT, 2000, XP, 2003, 2008, Vista, Windows 7, Windows 8, Windows 10.

Tình huống thực tế: Security365 đang điều tra một vụ án liên quan đến việc phân phối nội dung bất hợp pháp thông qua việc ẩn thông tin trong các tệp hình ảnh (steganography). Họ cần xem xét và phân tích một số lượng lớn các tệp hình ảnh từ nhiều nguồn và định dạng khác nhau. Sử dụng IrfanView, đội điều tra đã:

  1. Nhanh chóng xem qua hàng nghìn hình ảnh từ nhiều định dạng khác nhau (JPEG, PNG, GIF, BMP, etc.) mà không cần mở nhiều ứng dụng khác nhau.
  2. Sử dụng chế độ xem thu nhỏ để nhanh chóng quét qua các bộ sưu tập hình ảnh lớn.
  3. Kiểm tra metadata của hình ảnh để tìm thông tin về nguồn gốc, ngày tạo và chỉnh sửa của các tệp.
  4. Sử dụng các tính năng chỉnh sửa cơ bản để điều chỉnh độ sáng, độ tương phản và các thuộc tính khác của hình ảnh để tìm kiếm các chi tiết ẩn.
  5. Chuyển đổi hàng loạt các tệp hình ảnh sang các định dạng khác để phân tích thêm bằng các công cụ chuyên dụng.
  6. Sử dụng các plugin của IrfanView để thực hiện các phân tích chuyên sâu hơn, bao gồm cả việc tìm kiếm các dấu hiệu của steganography.
  7. Tạo báo cáo bằng cách sử dụng tính năng tạo danh sách tệp của IrfanView, liệt kê tất cả các hình ảnh đã được kiểm tra cùng với các thuộc tính quan trọng của chúng.

Nhờ tính linh hoạt và hiệu suất cao của IrfanView, Security365 đã có thể nhanh chóng sàng lọc qua hàng chục nghìn hình ảnh trong thời gian ngắn. Họ phát hiện ra một số hình ảnh có kích thước tệp bất thường và metadata đáng ngờ, cho thấy có khả năng chứa thông tin ẩn. Việc sử dụng IrfanView cũng giúp họ xác định các mẫu hình ảnh được sử dụng thường xuyên để ẩn thông tin, dẫn đến việc phát hiện một mạng lưới phân phối nội dung bất hợp pháp phức tạp.

Kết quả của cuộc điều tra này đã cung cấp manh mối quan trọng cho cơ quan thực thi pháp luật, dẫn đến việc xác định và bắt giữ nhiều đối tượng liên quan. Khả năng của IrfanView trong việc xử lý nhanh chóng và hiệu quả một lượng lớn dữ liệu hình ảnh đã đóng vai trò quan trọng trong việc nhanh chóng giải quyết vụ án phức tạp này.

SnowBatch Nguồn: http://www.snowbound.com

SnowBatch® là một ứng dụng chuyển đổi hình ảnh và tệp tin dựa trên Windows, chuyển đổi các lô lớn tệp hình ảnh hoặc tài liệu từ định dạng này sang định dạng khác.

Ví dụ minh họa: Security365 đang hỗ trợ một tổ chức tài chính lớn trong việc điều tra một vụ gian lận tài liệu phức tạp. Họ cần phân tích hàng trăm nghìn tài liệu từ nhiều nguồn và định dạng khác nhau, bao gồm cả các định dạng cũ và độc quyền. Sử dụng SnowBatch, đội điều tra đã:

  1. Chuyển đổi hàng loạt các tài liệu từ nhiều định dạng khác nhau (như TIFF, PDF, JPEG) sang một định dạng chuẩn (ví dụ: PDF) để dễ dàng phân tích.
  2. Tự động trích xuất văn bản từ các tài liệu đã quét, chuyển đổi chúng thành các tệp có thể tìm kiếm được.
  3. Chuẩn hóa độ phân giải và chất lượng của tất cả các tài liệu hình ảnh để cải thiện khả năng đọc và phân tích.
  4. Tách các tài liệu nhiều trang thành các tệp riêng lẻ để dễ dàng phân loại và phân tích.
  5. Áp dụng watermark kỹ thuật số cho tất cả các tài liệu đã xử lý để đảm bảo tính toàn vẹn và theo dõi nguồn gốc.
  6. Tạo báo cáo chi tiết về quá trình chuyển đổi, bao gồm thống kê về số lượng tệp đã xử lý, các lỗi gặp phải và thời gian xử lý.

Nhờ khả năng xử lý hàng loạt mạnh mẽ của SnowBatch, Security365 đã có thể nhanh chóng chuẩn hóa và chuẩn bị một lượng lớn tài liệu để phân tích sâu hơn. Quá trình này đã tiết lộ nhiều tài liệu đáng ngờ, bao gồm các hóa đơn giả mạo và báo cáo tài chính bị sửa đổi, mà trước đây khó phát hiện do sự khác biệt về định dạng và chất lượng.

Việc chuyển đổi tất cả tài liệu sang một định dạng chuẩn cũng cho phép đội điều tra sử dụng các công cụ phân tích văn bản nâng cao để tìm kiếm các mẫu và bất thường trong toàn bộ bộ dữ liệu. Kết quả là, họ đã phát hiện ra một kế hoạch gian lận phức tạp liên quan đến việc thao túng có hệ thống các tài liệu tài chính qua nhiều năm.

Báo cáo chi tiết được tạo ra bởi SnowBatch cũng cung cấp một dấu vết kiểm toán quan trọng, đảm bảo tính minh bạch và toàn vẹn của quá trình điều tra. Điều này đặc biệt quan trọng khi trình bày bằng chứng trước tòa, vì nó cho phép các điều tra viên giải thích chính xác cách họ xử lý và chuẩn bị các tài liệu điện tử.

Zamzar Nguồn: http://www.zamzar.com

Zamzar hỗ trợ hơn 1200 kiểu chuyển đổi khác nhau như Chuyển đổi Video, Chuyển đổi Âm thanh, Chuyển đổi Nhạc, Chuyển đổi eBook, Chuyển đổi Hình ảnh và Chuyển đổi CAD.

Tình huống thực tế: Security365 đang điều tra một vụ án liên quan đến việc chia sẻ thông tin mật của công ty thông qua các kênh truyền thông xã hội và các nền tảng chia sẻ tệp trực tuyến. Họ cần phân tích một lượng lớn dữ liệu đa phương tiện từ nhiều nguồn và định dạng khác nhau. Sử dụng Zamzar, đội điều tra đã:

  1. Chuyển đổi các tệp video từ nhiều định dạng khác nhau (như MKV, AVI, MOV) sang một định dạng chuẩn (MP4) để dễ dàng xem và phân tích.
  2. Trích xuất âm thanh từ các tệp video để phân tích riêng, chuyển đổi chúng thành định dạng WAV để sử dụng với phần mềm nhận dạng giọng nói.
  3. Chuyển đổi các tệp eBook và tài liệu từ các định dạng độc quyền sang PDF, cho phép tìm kiếm và trích xuất văn bản.
  4. Chuẩn hóa tất cả các tệp hình ảnh sang định dạng JPEG để dễ dàng xem và phân tích metadata.
  5. Chuyển đổi các tệp CAD thành các định dạng hình ảnh 2D để xem nhanh nội dung mà không cần phần mềm CAD chuyên dụng.
  6. Sử dụng API của Zamzar để tự động hóa quá trình chuyển đổi cho hàng nghìn tệp, tiết kiệm thời gian và công sức.

Nhờ tính linh hoạt và đa dạng của Zamzar trong việc chuyển đổi các định dạng tệp, Security365 đã có thể nhanh chóng chuẩn hóa và chuẩn bị một lượng lớn dữ liệu đa phương tiện để phân tích sâu hơn. Quá trình này đã tiết lộ nhiều thông tin quan trọng:

  • Họ phát hiện ra các đoạn âm thanh trong các tệp video chứa thông tin mật về dự án của công ty.
  • Phân tích các tệp eBook đã chuyển đổi tiết lộ rằng một số tài liệu kỹ thuật của công ty đã bị rò rỉ dưới dạng sách điện tử trên các trang web chia sẻ tệp.
  • Kiểm tra metadata của các tệp hình ảnh đã chuyển đổi cho thấy một số hình ảnh chứa thông tin địa lý nhạy cảm về các cơ sở của công ty.
  • Các bản vẽ CAD đã chuyển đổi tiết lộ rằng thông tin thiết kế sản phẩm đã bị chia sẻ với các bên không được ủy quyền.

Khả năng của Zamzar trong việc xử lý nhiều loại tệp khác nhau đã cho phép Security365 phân tích toàn diện tất cả các dữ liệu có sẵn, dẫn đến việc phát hiện phạm vi đầy đủ của vụ rò rỉ thông tin. Kết quả của cuộc điều tra này đã giúp công ty xác định được các kênh rò rỉ thông tin, các cá nhân liên quan, và triển khai các biện pháp bảo mật mạnh mẽ hơn để ngăn chặn các sự cố tương tự trong tương lai.

Bình luận về bài viết này

Thịnh hành