OSForensics: Nhận Diện và Phân Tích Các Mối Đe Dọa Hệ Thống

OSForensics cung cấp cho người dùng khả năng xác định các tập tin độc hại và các hoạt động gây hại tiềm ẩn cho hệ thống. Điều này được thực hiện thông qua việc so sánh các giá trị hash (kết quả của quá trình hash, thường là một giá trị ngắn gọn hơn so với dữ liệu gốc).

Công cụ này còn hỗ trợ tìm kiếm và liên kết các driver, phân tích dữ liệu binary từ email, cũng như kiểm tra bộ nhớ hệ thống.

OSForensics có thể trích xuất các bằng chứng quan trọng từ máy tính một cách nhanh chóng. Đồng thời, tính năng tìm kiếm và lập chỉ mục tập tin nâng cao giúp người dùng quản lý dữ liệu một cách hiệu quả hơn.

Khả năng quản lý dữ liệu hiệu quả của OSForensics giúp đơn giản hóa quy trình điều tra và phân tích.

Việc so sánh giá trị hash là một phương pháp quan trọng để xác định xem một tập tin đã bị thay đổi hay chưa.

Tính năng:

Tìm kiếm tập tin nhanh hơn

OSForensics cung cấp một phương thức xác định các tập tin trên máy tính Windows với tốc độ và hiệu quả vượt trội. Khả năng tìm kiếm của công cụ này cho phép người dùng lọc theo nhiều tiêu chí khác nhau, bao gồm tên tập tin, kích thước, và thời điểm tạo hoặc thay đổi.

Kết quả tìm kiếm được trình bày đa dạng, trong đó Timeline View nổi bật với khả năng sắp xếp các kết quả theo dòng thời gian, giúp làm sáng tỏ mô hình hoạt động của người dùng.

So với công cụ tìm kiếm tích hợp sẵn trong Windows, OSForensics có tốc độ vượt trội và độ chính xác cao hơn. Bạn có thể hoàn toàn yên tâm rằng OSForensics sẽ tìm thấy mọi tập tin trên ổ đĩa của mình, khắc phục tình trạng bỏ sót thường gặp ở Windows.

Tìm kiếm nội dung tập tin

OSForensics không chỉ tìm kiếm theo tên mà còn có thể tìm kiếm trực tiếp bên trong nội dung của các tập tin và hiển thị kết quả ngay lập tức sau khi lập chỉ mục. Zoom Search Engine mạnh mẽ hỗ trợ tìm kiếm trong hầu hết các định dạng tập tin phổ biến.

Timeline Viewer

Timeline Viewer tích hợp trong OSForensics trực quan hóa hoạt động hệ thống và tập tin theo thời gian, hỗ trợ bạn xác định khoảng thời gian diễn ra các hoạt động quan trọng hoặc xây dựng mô hình hành vi trong nhiều năm, tháng, hoặc ngày.

Công cụ này hiển thị hoạt động hệ thống dưới dạng biểu đồ thanh tương tác, bao gồm ngày tháng tạo tập tin, lịch sử trình duyệt web, cookies, hồ sơ USB và MRU,…

Bạn có thể dễ dàng điều chỉnh khoảng thời gian hiển thị trên Timeline Viewer từ năm xuống tháng, hoặc thậm chí đến ngày bằng cách nhấp vào thanh tương ứng. Khi di chuột qua dòng thời gian, số lượng sự kiện trong khoảng thời gian đó sẽ được hiển thị.

Thumbnail View

Thumbnail View đặc biệt hữu ích khi tìm kiếm các tập tin đa phương tiện, cho phép bạn duyệt nhanh qua hình ảnh thu nhỏ và điều chỉnh kích thước hiển thị bằng thanh biên.

Tìm kiếm trong tập tin

OSForensics tích hợp Wrensoft Zoom Search Engine, một công cụ mạnh mẽ và nhanh chóng để tìm kiếm bên trong nội dung của tất cả các tập tin trên ổ đĩa cứng.

Với khả năng tìm kiếm văn bản đã được lập chỉ mục từ hàng trăm định dạng tập tin, OSForensics cung cấp:

Kết quả tìm kiếm được sắp xếp theo mức độ liên quan.
Phân loại và tìm kiếm theo phạm vi ngày tháng.
Tìm kiếm ký tự.
Ghép cụm chính xác.
Kết quả ngữ cảnh tương tự như Google.
Điểm nổi bật.
Tìm kiếm loại trừ.

Định dạng tập tin

OSForensics có thể lập chỉ mục nội dung của nhiều định dạng tập tin khác nhau, bao gồm DOC, PDF, PPT, XLS, RTF, WPD, SWF, DJVU, JPG, GIF, PNG, TIFF, MP3, DWF, DOCX, PPTX, XLSX, MHT, ZIP,…

Ngoài ra, chương trình còn có khả năng phân tích tập tin để xác định định dạng của chúng ngay cả khi thiếu phần mở rộng tập tin.

Tìm kiếm email

OSForensics cho phép bạn tìm kiếm văn bản bên trong các lưu trữ email được sử dụng bởi các chương trình email phổ biến như Microsoft Outlook, Mozilla Thunderbird , Outlook Express,…

Lập chỉ mục

Để có thể tìm kiếm email, bước đầu tiên là tạo chỉ mục cho các lưu trữ. Quá trình này có thể mất thời gian, nhưng sẽ giúp tăng tốc độ tìm kiếm trong tương lai. Một máy tính có cấu hình trung bình có thể lập chỉ mục khoảng 10.000 email kích thước vừa phải trong vòng 2 phút.

Các định dạng tập tin email được hỗ trợ

.pst (Outlook);
.mbox (Thunderbird, Eudora, Unix mail, and more);
.msg (Outlook);
.eml (Outlook Express);
.dbx (Outlook Express).

OSForensics có thể lập chỉ mục các định dạng này mà không cần cài đặt chương trình email tương ứng. Hơn nữa, quá trình lập chỉ mục không chỉ giới hạn ở email mà còn mở rộng sang các tập tin khác như tài liệu Word và PDF để hỗ trợ tìm kiếm nội dung bên trong.

Tiêu chí tìm kiếm nâng cao

Sau khi chỉ mục được tạo, bạn có thể bắt đầu tìm kiếm. Thông thường, chương trình sẽ tìm kiếm các từ khóa cụ thể trong email. Tuy nhiên, bạn cũng có thể tìm kiếm email dựa trên trường ngày tháng, người gửi (To), người nhận (From) hoặc CC.

Hiệu suất hoạt động

Quá trình tìm kiếm chỉ mục có thể được thực hiện cực kỳ nhanh chóng, với khoảng 20.000 email chỉ trong vòng 1 giây. Bạn có thể thực hiện tìm kiếm lại với cùng một chỉ mục mà không cần tạo lại.

Xem kết quả

Khi tìm thấy email phù hợp, bạn có thể mở và xem trực tiếp bên trong OSForensics thông qua trình xem mail tích hợp, mà không cần phải khởi động chương trình email tương ứng.

Khôi phục tập tin đã xóa

OSForensics cho phép bạn khôi phục và tìm kiếm các tập tin đã xóa, ngay cả sau khi chúng đã bị xóa khỏi Recycle Bin. Điều này giúp bạn xem lại những tập tin mà người dùng có thể đã cố gắng xóa bỏ.

Mỗi tập tin đã xóa tìm thấy sẽ được hiển thị với chỉ số chất lượng từ 0 đến 100. Giá trị 100 cho thấy tập tin đã xóa gần như còn nguyên vẹn, chỉ thiếu một vài cụm dữ liệu.

Xem cụm tập tin đã xóa

OSForensics cung cấp trình xem đồ họa về sự phân bố của các cụm tập tin đã xóa trên ổ đĩa vật lý. Bảng này hiển thị thông tin phân đoạn của tập tin đã xóa. Đối với các tập tin có kích thước nhỏ, chúng có thể nằm trong MFT (chỉ áp dụng cho NTFS).

Bản đồ hiển thị vị trí của các phân đoạn trên ổ đĩa vật lý một cách trực quan.

Khám phá hoạt động gần đây

OSForensics quét hệ thống của bạn để tìm bằng chứng về các hoạt động gần đây, chẳng hạn như các trang web đã truy cập, ổ USB, mạng không dây, tải xuống, đăng nhập trang web và mật khẩu trang web. Điều này đặc biệt hữu ích để xác định xu hướng và mô hình hoạt động của người dùng, cũng như các tài liệu hoặc tài khoản đã được truy cập gần đây.

Hoạt động trình duyệt web

OSForensics giúp bạn khám phá hoạt động trình duyệt web của người dùng, bao gồm lịch sử duyệt tìm, cookies và tên người dùng đã lưu trữ từ các trình duyệt web. Chương trình hiển thị những mục có thể được truy xuất từ các trình duyệt web phổ biến thông qua module Recent Activity.

Thiết bị USB được kết nối

OSForensics có thể hiển thị chi tiết của các thiết bị USB đã kết nối với máy tính gần đây, cung cấp thông tin về ngày tháng kết nối cuối cùng và thông tin thiết bị như Manufacturer Name, Product ID và Serial Number. Các thiết bị được hỗ trợ bao gồm USB Flash Drives (UFDs), Portable Hard Disk Drives và các thiết bị kết nối USB ngoài như ổ DVD-ROM.

Thu thập thông tin hệ thống

Module System Information hiển thị thông tin chi tiết về các thành phần trung tâm của hệ thống, bao gồm:

CPU, bảng mạch chính và bộ nhớ.
BIOS.
Card video/thiết bị hiển thị.
Bộ điều khiển và thiết bị USB.
Cổng (nối tiếp/song song).
Bộ điều hợp mạng.
Ổ quang và ổ vật lý.

Giải mã và khôi phục mật khẩu

Username và mật khẩu trình duyệt web

Với OSForensics, bạn có thể khôi phục mật khẩu trình duyệt từ Internet Explorer , Firefox và Chrome . Việc này có thể được thực hiện trên máy tính đang chạy hoặc từ bản sao ổ đĩa cứng. Dữ liệu khôi phục bao gồm URL của trang web (thường là HTTPS), username đăng nhập, mật khẩu của trang, trình duyệt sử dụng để truy cập trang và username của Windows. Các URL đã bị chặn cũng được báo cáo, cho biết người dùng đã truy cập trang web nhưng không lưu trữ mật khẩu trong trình duyệt.

Giải mã và khôi phục mật khẩu cho tài liệu văn phòng

OSForensics hỗ trợ 2 phương thức để truy cập vào tài liệu văn phòng đã mã hóa:

Phương pháp đầu tiên dành cho các tài liệu cũ hơn sử dụng mã hóa 40 bit (tập tin XLS, DOC và PDF cũ). Đối với những tài liệu này, chương trình sẽ thử tất cả các khóa có thể để giải mã chúng và xuất ra tập tin không mã hóa.
Phương pháp thứ hai hiện đang được nghiên cứu và phát triển để cung cấp khả năng giải mã nâng cao hơn.

Chữ ký ổ đĩa

Tạo chữ ký

Việc tạo chữ ký là tạo ra ảnh chụp màn hình của cấu trúc thư mục của ổ đĩa tại một thời điểm nhất định. Thông tin này bao gồm dữ liệu về đường dẫn thư mục, kích thước và thuộc tính tập tin. OSForensics có thể được cấu hình để bao gồm hoặc loại trừ các thư mục và ổ đĩa khác nhau khi tạo chữ ký ổ, hoặc thậm chí tính toán SHA1 hash cho từng tập tin trên hệ thống.

Phân tích chữ ký

OSForensics có thể so sánh các chữ ký mới với các chữ ký đã tạo trước đó, cho phép bạn xác định nhanh chóng các thay đổi đối với tập tin hoặc cấu trúc thư mục. Việc so sánh hai chữ ký sẽ tạo ra bản tóm tắt tất cả các khác biệt về tập tin, có thể được phân loại theo tên tập tin, loại khác biệt, thuộc tính tập tin, SHA1 hash,… Trình xem tóm tắt cũng có thể được lọc để chỉ hiển thị các tập tin đã thay đổi, mới hoặc bị xóa. Toàn bộ kết quả so sánh có thể được dễ dàng xuất ra ổ cục bộ của bạn để sử dụng sau.

Quản lý case (quản lý các trường hợp truy cập trái phép)

Case cho phép bạn tổng hợp và sắp xếp các kết quả và mục case từ các chức năng khám phá và xác minh khác của OSForensics, chẳng hạn như File Search, File Mismatch Search, Recent Activity, Deleted Files,… Khi một case đã được tạo hoặc mở, các thư mục case như danh sách và tập tin có thể được mở hoặc xóa trực tiếp bởi người kiểm tra để truy cập nhanh chóng.

Trình xem thuộc tính thư mục case cho phép bạn chỉnh sửa tiêu đề và ghi chú mà bạn đã tạo trước đó cho từng thư mục.

Tạo báo cáo case

Báo cáo case cung cấp bản tóm tắt của tất cả các kết quả và thư mục bạn đã làm việc trong định dạng HTML có thể truy cập. Các thư mục case được sắp xếp trong danh sách và tập tin có thể được phân loại trong trình duyệt web theo tiêu đề (ví dụ: Item Title, Originating OSForensics Module, Export Filename và Investigator Notes). Bạn có thể tìm kiếm chi tiết thêm trên mỗi thư mục case bằng cách nhấp vào từng tiêu đề.

Mặc dù OSForensics được thiết kế với 5 template báo cáo có sẵn, bạn vẫn có thể tùy chỉnh template sao cho phù hợp với nhu cầu cá nhân.

Xây dựng lại RAID

OSForensics có thể xây dựng lại hình ảnh RAID từ tập hợp các hình ảnh ổ đĩa vật lý thuộc về một dãy RAID. Các cấp độ RAID được hỗ trợ bao gồm: RAID 0, RAID 1, RAID 3, RAID 4, RAID 5, RAID 0+1, RAID 1+0.

Khi bạn biết các thông số RAID, bạn có thể sử dụng chúng để xây dựng lại hình ảnh logic RAID.

Yêu cầu về cấu hình hệ thống:

Để đảm bảo phần mềm hoạt động ổn định và hiệu quả, hệ thống cần đáp ứng một số yêu cầu tối thiểu về phần cứng.

RAM: Dung lượng RAM tối thiểu là 1 GB. Tuy nhiên, để có trải nghiệm tốt nhất, đặc biệt khi xử lý các tác vụ phức tạp, khuyến nghị sử dụng từ 4 GB RAM trở lên.
Ổ đĩa cứng: Dung lượng trống cần thiết trên ổ đĩa cứng là 30 MB. Ngoài ra, phần mềm cũng có thể được cài đặt và chạy trực tiếp từ thiết bị lưu trữ USB.

Việc đáp ứng các yêu cầu này sẽ giúp đảm bảo hiệu suất và độ ổn định của phần mềm trong quá trình sử dụng.

Cấu hình hệ thống phù hợp là yếu tố quan trọng để khai thác tối đa các tính năng của phần mềm.