SANS SIFT, ProDiscover Basic, Mandiant RedLine, Encase là những công cụ quan trọng thường được sử dụng trong việc điều tra thông tin, điều tra an ninh mạng. Bài viết này chúng ta sẽ cùng điểm qua các công cụ này.
1. Công cụ SANS SIFT
SIFT Workstation được cung cấp dưới dạng VMware appliance, công cụ này được cấu hình sẵn để thực hiện các cuộc khảo sát điều tra an ninh mạng chi tiết cho các thiết lập khác nhau. Nó tương thích với định dạng E01 (Expert Witness Format), định dạng AFF (Advanced Forensic Format) và định dạng bằng chứng thô (dd). Công cụ này có chứa nhiều công cụ hữu ích khác như log2timeline để tạo ra một timeline từ các nhật ký hệ thống, Scalpel cho việc khôi phục dữ liệu và Rifiuti kiểm tra thùng rác (Recycle Bin).
2. Công cụ ProDiscover Basic
ProDiscover Basic là một công cụ khám phá điều tra an ninh mạng đơn giản bao gồm các tiện ích cho việc xử lý hình ảnh, phân tích và báo cáo bằng chứng tìm thấy được trên thiết bị.
3. Công cụ The Sleuth Kit
Bộ Sleuth Kit là một bộ công cụ điều tra số, điều tra an ninh mạng mã nguồn mở, có thể được sử dụng để phân tích chuyên sâu cho các hệ thống tệp tin khác nhau. Autospy là giao diện đồ họa người dùng cho Sleuth Kit, đi kèm với nó là các tính năng như Timeline Analysic, Hash Filtering, File System Analysis và Keyword Searching, với khả năng thêm các module khác cho các chức năng mở rộng.
4. Công cụ FTK Imager
FTK Imager là công cụ xem trước dữ liệu và hình ảnh rất hiệu quả cho việc kiểm tra các tệp tin và thư mục trong ổ cứng, ổ đĩa mạng, đĩa CD/DVD và đánh giá nội dung cho các hình ảnh điều tra số và kết xuất bộ nhớ. FTK Imager cũng chứa các công cụ cho việc tạo ra mã băm SHA1 hoặc MD5, xuất ra các tệp tin và thư mục từ các hình ảnh điều tra từ việc kiểm tra ổ đĩa và khôi phục các tệp tin đã bị xóa từ thùng rác (Recycle Bin) và gắn các hình ảnh điều tra để xem nội dung của nó trong Windows Explorer.
5. Công cụ Mandiant RedLine
Công cụ Mandiant RedLine cung cấp khả năng phân tích tệp tin và bộ nhớ của các máy cụ thể. Công cụ này giúp thu thập thông tin về các tiến trình, trình điều khiển đang chạy từ bộ nhớ và thu thập các tệp tin siêu dữ liệu của hệ thống, dữ liệu registry, thông tin mạng, dịch vụ, nhiệm vụ và lịch sử duyệt web để giúp xây dựng hồ đánh giá đe dọa tổng thể giúp ích cho quá trình điều tra an ninh mạng.
Công cụ chính trong điều tra an ninh mạng
EnCase: Encase là một bộ sản phẩm điều tra số của Guidance Software. Phần mềm này còn bao gồm một số dạng khác nhau được thiết kế riêng cho việc điều tra, an ninh mạng, khám phá điện tử. FTK: Bộ công cụ Forensic Toolkit hay còn được gọi với tên ngắn gọn là FTK là chương trình điều tra máy tính của AccessData. FTK là một nền tảng điều tra kỹ thuật số được chấp nhận để xây dựng đảm bảo tốc độ, sự ổn định và dễ sử dụng. Đây là bộ công cụ cung cấp xử lý toàn diện và đánh chỉ mục tốt, do đó cung cấp khả năng lọc và tìm kiếm nhanh hơn.