# Anti-Forensic Techniques

## 1. Bootable Media and Portable Application Usage

**Bootable OS (hệ điều hành có thể khởi động)** là một hệ điều hành có thể boot từ một thiết bị lưu trữ bên ngoài (USB, CD/DVD) trước khi được cài đặt trên ổ cứng của máy tính.

Các hệ điều hành có thể khởi động chạy độc lập với hệ điều hành chính của máy tính và có thể sử dụng cho nhiều mục đích khác nhau. Ví dụ, bootable OSs ưa chuộng để bảo trì, sửa chữa, khôi phục dữ liệu, security audits, và forensics. Vì các hệ thống này chạy mà không chạm hoặc ảnh hưởng đến HĐH bình thường của máy tính, chúng cho phép các hoạt động được thực hiện mà không để lại dấu vết trên hệ thống.

**Portable Application** là một loại phần mềm chạy trên bất kỳ máy tính nào mà không cần cài đặt. Các ứng dụng này thường được lưu trữ trên và chạy trực tiếp từ các phương tiện di động như ổ USB.

Các ứng dụng di động lưu trữ cài đặt  và dữ liệu người dùng trên thiết bị lưu trữ mà ứng dụng đang chạy. Điều này cho phép người dùng sử dụng cùng một ứng dụng trên các máy tính khác nhau với cài đặt và dữ liệu của riêng họ. Các ứng dụng di động lý tưởng cho những người dùng muốn có cài đặt và dữ liệu cá nhân của họ mọi lúc, đặc biệt là trên các máy tính không có đặc quyền cài đặt phần mềm.

**Bootable OS** quan trọng đối với bảo mật và bảo trì hệ thống trong khi **Portable Applicatiton** đáp ứng nhu cầu về tính di động và linh hoạt.

Bootable OS hoạt động mà không chạm vào ổ cứng của máy tính. Điều này gây khó khăn cho các chuyên gia forensic trong việc phát hiện các hoạt động này.&#x20;

### 1.1. Using Bootable OS to Hide Evidence (ẩn bằng chứng)

Bootable OS có thể được sử dụng mà không can thiệp vào hệ điều hành hiện tại của máy tính, nhờ khả năng chạy từ phương tiện bên ngoài thay vì ổ cứng của máy tính.

#### Các tính năng chính của Bootable OS

* **Tính độc lập**: có thể sử dụng mà không can thiệp vào hệ điều hành chính của máy tính.
* **Tính di động:** có thể dễ dàng được sử dụng trên các máy tính khác nhau vì chúng không bị ràng buộc với một hệ điều hành cố định.
* **tính linh hoạt:** có thể được sử dụng để khôi phục hệ thống, khôi phục dữ liệu, security testing, và nhiều mục đích khác.

#### Vai trò của Bootable OS trong Anti-Forensic Techniques

* **Thao tác System log:** có thể truy cập các tệp log hệ điều hành và sử đổi hoặc xóa chúng. Bằng cách này, bản ghi hoạt động trên hệ thống có thể bị ẩn.
* **Ẩn tệp:** có thể truy cập hệ thống tệp của hệ điều hành và ẩn hoặc xóa các tệp cụ thể. Điều này có thể ngăn các tệp này được truy cập bởi hệ điều hành bình thường của máy tính và gây ra sự cố.
* **Phân vùng đĩa:** có thể thay đổi phân vùng của ổ cứng hằng Bootable OS. Ví dụ ẩn hoặc thay đổi kích thước phân vùng.

### 1.2. Portable Applications in Anti-Forensics

Nó để lại ít hoặc không có dấu vết trong nhật ký và bản ghi hệ thống vì chúng không yêu cầu cài đặt hoặc lưu trữ dữ liệu vĩnh viễn trên ổ cứng của máy tính.

#### Các tính năng chính của Portable Applications

* **No installation required:** nó chạy mà không cần được cài đặt trên hệ thống của bản, không để lại dấu vết trên ổ cứng của bạn.
* **Tính di động:** có thể được lưu trữ trên thiết bị lưu trữ di động như ổ USB. Chúng có thể sử dụng trên bất kỳ máy tính nào.
* **Tùy chỉnh:** Cài đặt ứng dụng và dữ liệu người dùng được lưu trữ trên thiết bị di động nơi ứng dụng cư trú. Do đó, người dùng có thể có trải nghiệm cá nhân hóa giống nhau trên các máy tính khác nhau.

#### Vai trò của Portable Applications trong Anti-Forensics

* **Không thể truy vết:** vì nó hoạt động mà không để lại bất kỳ dấu vết vĩnh viễn nào trên ổ cứng máy tính, chúng gây khó khăn cho các chuyên gia forensic trong việc thu thập và phân tích dữ liệu.
* **Quyền riêng tư và ấn danh:** Portable applications, đặc biệt là các ứng dụng duyệt web riêng tư, mã hóa và liên lạc an toàn, giúp người dùng giữ kín các hoạt động trực tuyến của mình.
* **Sử dụng nhanh chóng và linh hoạt:** người dùng có thể nhanh chóng chạy phần mềm họ cần khi họ cần. Người dùng có thể nhanh chóng chạy phần mềm họ cần trên bất kỳ hệ điều hành nào và sự linh hoạt này cho phép một số thông tin nhất định bị ẩn trong các cuộc điều tra forensic.
* **Bảo mật tổ chức:** Các tổ chức có thể sử dụng chiến lược các ứng dụng di động để bảo vệ dữ liệu nhạy cảm và giảm nguy cơ rò rỉ dữ liệu.

### 1.3. How to Detect the Use of Bootable OS or Portable Applications

#### 1.3.1. Detecting the Use of Bootable OS

Một số phương pháp và manh mối có thể được sử dụng để phát hiện một hệ thống đang khởi động bằng Bootable OS:

* **BIOS/UEFI logs:** BIOS or UEFI của nhiều máy tính hiện đại ghi lại tất cả các thiết bị bên ngoài được kết nối với máy và bất kỳ thay đổi nào được thực hiện trong quá trình khởi động. Nếu có bản record về việc sử dụng ổ USB hoặc ở cứng ngoài trong quá trình khởi động, điều đó có thể cho thấy a bootable OS.
* **System logs:** HĐH cũng ghi lại các event xảy ra trong quá trình khởi động. Nếu một số sự kiện hoặc lỗi đi lệch khỏi trình khởi động bình thường, điều nafycos thể cho thấy việc sử dụng Bootable OS.
* **Bằng chứng vật lý:** Việc nhìn bằng mắt thường ổ USB hoặc các thiết bị bên ngoài khác được kết nối với máy tính có thể cho thấy rằng a bootable OS đang được sử dụng. Ổ USB hoặc đĩa có Bootable OS trong workspace cũng có thể cung cấp manh mối.
* **Network monitoring:** Một số Bootable OS kết nối với các dịnh vụ cụ thể qua mạng. Giám sát lưu lượng mạng có thể phát hiện các kết nối bất thường như vậy.
* **Tài khoản và hoạt động người dùng:** Các tài khoản người dùng không mong muốn trên hệ thống hoặc hoạt động bên ngoài mức sử dụng bình thường có thể cho thấy việc sử dụng bootable OS.

Tất cả các phương pháp này đều có mực độ hiệu quả khác nhau, và chúng nên được kết hợp để có kết quả tốt nhất. Tuy nhiên, việc phát hiện việc sử dụng Bootable OS có thể khó khăn và không phải lúc nào cũng cung cấp bằng chứng rõ ràng.

#### 1.3.2. Detecting the Use of Portable Application

* **Sử dụng ổ USB và thiết bị bên ngoài:** Kiểm tra nhập ký của các thiết bị này được kết nối với máy tính có thể là một dấu hiệu của việc sử dụng Portable Application.
* **System and application logs:** Một số portable application có thể để lại dấu vết trong nhật ký hệ thống hoặc tệp nhật ký ứng dụng khi chúng chạy. Việc kiểm tra nhật ký này có thể cung cấp manh mối về hoạt động của nó.
* **Tệp và thư mục tạm thời:** Nó có thể tạo các tệp hoặc thư mục tạm thời khi chúng chạy. Kiểm tra các tệp và thư mục tạm thời trên hệ thống có thể biết sự hiện diện của nó.
* **Phân tích lưu lượng mạng:** Một số Portable Application, đặc biệt là những ứng dụng được kết nối với internet, có thể tạo ra lưu lượng mạng đáng kể. Việc giám sát lưu lượng mạng có thể tiết lộ việc sử dụng chúng.
* **EDR systems:** Có thể sử dụng giải pháp EDR để phát hiện các ứng dụng di động trên hệ thống. Xem nhật  ký EDR có thể hữu ích trong quá trình này.
* **Thay đổi Registry:** trên các hệ thống Windows, một số ứng dụng di động có thể thực hiện các thay đổi tạm thời đối với registry. Tìm kiếm các thay đổi bất ngờ hoặc tạm thời đối với registry có thể xác định việc sử dụng các ứng dụng di động.
* **Tài khoản và hoạt động người dùng:** Các hoạt động của người dùng hoặc việc khởi chạy ứng dụng bất ngờ trên hệ thống có thể cho thấy các ứng dụng di động đang được sử dụng.
* **Forensic tools:** Các công cụ pháp lý nâng cao có thể khôi phục các tệp đã xóa và phát hiện các thay đổi được thực hiện đối với hệ thống. Các công cụ này có thể được sử dụng để tìm dấu vết do nó để lại.

Việc phát hiện các ứng dụng di động có thể gặp nhiều khó khăn, đặc biệt là vì chúng để lại ít dấu vết trên hệ thống.

## 2. Data Hiding Techniques (Các kỹ thuật ẩn dữ liệu)

Các kỹ thuật ẩn dữ liệu về cơ bản là các pp làm cho thông tin kỹ thuật số trở nên vô hình hoặc không thể phát hiện được. Các kỹ thuật này ngăn chặn truy cập trái phép vào dữ liệu liên quan bằng cách làm cho nó bí mật, được mã hóa hoặc không thể theo dõi được. Một số kỹ thuật ẩn dữ liệu được sử dụng rộng rãi nhất là steganography và cryptography.

Tội phạm mạng có thể sử dụng để các kỹ thuật ẩn dữ liệu để cản trở hoặc đánh lừa các chuyên gia pháp y trong nỗ lực thu thập bằng chứng của họ. Do đó khả năng các chuyên gia xác định, phát hiện và vô hiệu hóa các kỹ thuật này là rất quan trọng đối với sự thành công của quá trình điều tra.

Các kỹ thuật ẩn dữ liệu cơ bản:

* Steganography (kỹ thuật giấu tin)
* Cryptography (mật mã học)
* Data obfuscation (làm rối dữ liệu)

### 2.1. Steganography

Steganography là một kỹ thuật để ẩn một tin nhắn, hình ảnh hoặc thông tin khác. Kỹ thuật này thường ẩn thông tin trong một tệp, tin nhắn, hình ảnh hoặc video khác. Nó thường bị nhầm lẫn với mật mã học, nhưng sự khác biệt chính là mật mã học ẩn nội dung của tin nhắn, trong khi steganography ẩn sự tồn tại của tin nhắn.

#### Steganography hoạt động như thế nào?

* **Capacity (dung lượng):** kích thước của dữ liệu cẩn ẩn bị giới hạn bởi dung lượng của phương tiện lưu trữ. Ví dụ không thể che giấu một tệp rất lớn trong một tệp hình ảnh nhỏ.
* **Carrier Media (phương tiện mang):** Hình ảnh, tệp âm thanh, tệp video, tệp văn bản hoặc bất kỳ phương tiện kỹ thuật số nào khác đều có thể được sử dụng làm phương tiện mang cho steganography. Hình ảnh và tệp âm thanh là các loại phương tiện mang phổ biến nhất.
* T**echniques (kỹ thuật):** các kỹ thuật được sử dụng trong steganography rất nhiều và đa dạng. Thông tin ẩn có thể được chèn vào các tệp hình ảnh bằng cách thay đổi các Bit ít quan trọng nhất (LSB - Least Significant Bits). Các tệp âm thanh có thể sử dụng sóng âm tần số thấp mà tai nghe người không thể phát hiện được.
* **Detection and Durability (Phát hiện và độ bền):** Steganography được triển khai tốt gây khó khăn cho việc phát hiện sự hiện diện của một tin nhắn ẩn. Tuy nhiên, một số kỹ thuật phân tích steganography có thể tiết lộ sự hiện diện của dữ liệu ẩn thông qua việc phát hiện các mẫu bất thường hoặc độ lệch thống kê.
* **Các lĩnh vực ứng dụng:** Steganography đã được sử dụng trong quân đội và các cơ quan tình báo để liên lạc bí mật. Nó cũng có thể được sử dụng để bảo vệ bản quyền, truyền tải thông tin bí mật hoặc bảo mật dữ liệu cá nhân.
* **Thách thức và hạn chế:** Steganography phải duy trì tính toàn vẹn và chất lượng dữ liệu đồng thời cung cấp đủ dung lượng dữ liệu lưu trữ dữ liệu. Ngoài ra, nó phải được triển khai cẩn thận để dữ liệu bí mật không bị hỏng hoặc bị lộ do những thay đổi trong phương tiện mang.

Steganography có thể được sử dụng để cung cấp tính bảo mật, nhưng nó cũng có thể bị lạm dụng để phân phối phần mềm độc hại hoặc truyền tải nội dung bất hợp pháp. Do đó việc sử dụng nên được xem xét trong khuôn khổ đạo đức và pháp lý.

### 2.2. Cryptography (mật mã học)

Mật mã học là một công nghệ được sử dụng để bảo vệ dữ liệu và đảm bảo liên lạc an toàn. Về cơ bản, nó mã hóa thông tin thành một dạng mà chỉ những cá nhân được ủy quyền mới có thể đọc được. Mật mã học được sử dụng để bảo vệ tính bảo mật, tính toàn vẹn và tính xác thực của dữ liệu và là một phần cơ bản của các kỹ thuật anti-forensics và ẩn dữ liệu.

**Các tính năng và thành phần chính của mật mã học như sau:**

* **Encryption and Decryption:** mật mã học liên quan đến việc mã hóa và giải mã dữ liệu. Mã hóa chuyển đổi dữ liệu có thể đọc được (văn bản thuần túy) thành dạng mã hóa. Giải mã đảo ngược quá trình này và chuyển đổi văn bản mã trở lại dạng có thể đọc được.
* **Keys:** các hoạt động mật mã thường được thực hiện bằng một hoặc nhiều khóa. Các khóa này được sử dụng trong mã hóa và giải mã đảm bảo tính bảo mật dữ liệu.
* **Symmetric Encryption (mã hóa đối xứng):** cùng một khóa được sử dụng để mã hóa và giải mã. Thách thức lớn nhất là khóa phải được chia sẻ một cách an toàn.
* **Asymmetric encryption (mã hóa bất đối xứng):** Loại mã hóa này sử dụng 2 khóa khác nhau. Một khóa được sử dụng để mã hóa (thường đưuọc gọi là khóa công khai) và khóa còn lại để giải mã (thường là khóa riêng tư). Phương pháp này không yêu cầu khóa phải được chia sẻ an toàn và thường được sử dụng trong các lĩnh vực như chữ ký số và liên lạc internet an toàn.
* **Hash Functions:** Các hàm băm chuyển đổi dữ liệu có bất kỳ kích thước nào thành giá trị bằm có kích thước cố định. Giá trị băm này được sử dụng để xác minh tính toàn vẹn của dữ liệu và không thể khôi phục dữ liệu gốc từ giá trị băm. Nói cách khác, các hàm băm là các hàm một chiều.
* **Digital Signatures (Chữ ký số):** một tài liệu hoặc tin nhắn được ký số bởi một người dùng xác thực danh tính của người dùng đó và đảm bảo rằng tin nhắn không bị thay đổi.
* **Certificates and PKI (Public Key Infrastructure):** Chứng chỉ số và PKI được sử dụng để phân phối và quản lý các khóa mật mã bất đối xứng một cách an toàn.
* **Cryptanalysis (Phân tích mật mã):** phân tích mật mã là một tập hợp các phương pháp được sử dụng để tìm ra điểm yếu trong các phương pháp mã hóa và giải mã chúng.

Hiệu quả của nó phụ thuộc vào độ mạnh của thuật toán được sử dụng và việc quản lý khóa. &#x20;

### 2.3. Data Obfuscation (làm rối dữ liệu)

Làm rối dữ liệu là một kỹ thuật anti-forensic nhằm mục đích làm cho dữ liệu khó hiểu hoặc khó phân tích hơn. Kỹ thuật này ngăn chặn các cá nhân trái phép lấy hoặc sử dụng dữ liệu bằng cách che giấu hoặc làm rối cấu trúc, ý nghĩa hoặc nội dung thực của nó.

**Các tính năng và phương pháp cơ bản được sử dụng để làm rối dữ liệu như sau:**

* **Code Obfuscation (Làm rối code):** một kỹ thuật được sử dụng trong phát triển phần mềm, làm cho mã nguồn hoặc mã máy không thể đọc được. Kỹ thuật này gây khó khăn cho việc hiểu hoặc đảo ngược mã mà không làm thay đổi chức năng của phần mềm.
* **Data Masking (Che giấu dữ liệu):** Quá trình thay thế các giá trị thực tế của dữ liệu nhạy cảm bằng các giá trị vô nghĩa hoặc ngẫu nhiên. Ví dụ, thay thế thông tin cá nhân trong cơ sở dữ liệu bằng dữ liệu được tạo ngẫu nhiên.
* **Encryption-based Obfuscation (Làm rối dựa trên mã hóa):** Ẩn dữ liệu bằng cách mã hóa nó, nhưng thay vì mã hóa hoàn toàn, nó được thực hiện bằng cách chỉ mã hóa một số phần nhất định của dữ liệu hoặc bằng cách thay đổi cấu trúc dữ liệu.
* **Algorithmic Obfuscation (Làm rối thuật toán):** một kỹ thuật làm rối dựa trên việc làm cho bộ dữ liệu thực tế khó hiểu bằng cách thực hiện các phép tính hoặc biến đổi phức tạp trên dữ liệu. Phương pháp này thường được sử dụng cho các bộ dữ liệu lớn.
* **Semantic Obfuscation (làm rối ngữ nghĩa):** Một kỹ thuật làm rối dựa trên việc tổ chức dữ liệu theo cách thay đổi ý nghĩa của nó. ví dụ, thay đổi vị trí của các từ trong một văn bản hoặc sắp xếp chúng theo cách làm sai lệch ý nghĩa của chúng.
* **Data scrambling (xáo trộn dữ liệu):** Chuyển đổi dữ liệu thành một định dạng ngẫu nhiên hoặc không thường xuyên, khiến dữ liệu gốc không thể nhận ra được.
* **Data compression (nén dữ liệu):** Nén dữ liệu, ẩn cấu trúc và nội dung tệp gốc. Điều này gây khó khăn cho việc nhận biết trực tiếp dạng gốc của dữ liệu.

&#x20;Hiệu quả của việc làm rối dữ liệu phụ thuộc vào độ phức tạp của phương pháp được sử dụng và bản chất của dữ liệu bị xáo trộn.

### 2.4. Các phương pháp phát hiện và chiến lược đối phó

#### 2.4.1. Chống lại Steganography

<mark style="color:red;">**Steganalysis**</mark> bao gồm các công cụ và phương pháp chuyên dụng để phát hiện dữ liệu bị ẩn bằng steganography. Steganalysis được thực hiện bằng cách phân tích các bất thường và bất thường thống kê trong hình ảnh, âm thanh hoặc video.

<mark style="color:red;">**Visual and audio analysis**</mark> đề cập đến các kỹ thuật phát hiện các mẫu bất thường trong tệp hình ảnh và âm thanh hoặc các dấu hiệu của tin nhắn ẩn.

#### 2.4.2. **Chống lại Cryptography**

"<mark style="color:red;">**Cryptanalysis**</mark>" đề cập đến các kỹ thuật toán học và phân tích được sử dụng để giải mã dữ liệu được mã hóa. Nó tìm kiếm các điểm yếu trong thuật toán mã hóa hoặc các lỗi quản lý khóa.

"<mark style="color:red;">**Brute force attacks**</mark>" cố gắng giải mã dữ liệu được mã hóa bằng cách thử tất cả các kết hợp khóa có thể. Tuy nhiên, các phương pháp mã hóa mạnh có khả năng chống lại các cuộc tấn công này.

#### 2.4.3. Chống lại Data Obfuscation

"<mark style="color:red;">**Algorithmic analysis**</mark>" cố gắng giải mã cấu trúc hoặc ý nghĩa dữ liệu gốc bằng cách phân tích dữ liệu đã được mã hóa.

"<mark style="color:red;">**Pattern Analysis**</mark>" là phân tích các mẫu thường xuyên hoặc cấu trúc đã biết trong bộ dữ liệu.

Các phương pháp phát hiện và chiến lược đối phó không ngừng phát triển, đưa ra các cách tiếp cận mới đối với các kỹ thuật chống pháp lý và các phương pháp được phát triển để khắc phục chúng. Các chuyên gia CNTT Digital Forensics phải liên tục cập nhật các kỹ năng và công cụ của họ để theo kịp các kỹ thuật này.

## 3. Encryption

### 3.1. Các nguyên tắc cơ bản của mã hóa

Mã hóa là quá trình chuyển đổi dữ liệu có thể đọc được (plaintext) thành một dạng không thể hiểu được (ciphertext). Mục đích là đảm bảo rằng dữ liệu chỉ có thể được truy cập và đọc bởi những người được ủy quyền truy cập nó. Có hai loại mã hóa: đối xứng và bất đối xứng.

### 3.2. Các phương pháp mã hóa

#### 3.2.1. Full Disk Encryption (Mã hóa toàn bộ ổ đĩa)

* **When to use (khi nào sử dụng):** mã hóa toàn bộ ổ cứng để bảo vệ dữ liệu nếu máy tính bị đánh cắp hoặc mất.
* **Why it's necessary (tại sao cần thiết):** Để bảo vệ dữ liệu nhạy cảm trong trường hợp an ninh vật lý của thiết bị bị xâm phạm.
* **How attackers use it (cách kẻ tấn công sử dụng nó):** kẻ tấn công có thể mã hóa dữ liệu trên các hệ thống bị xâm nhập và đòi tiền chuộc để lấy lại dữ liệu (ransomware).

#### 3.2.2. File-Based Encryption

* **When to use (khi nào sử dụng):** để mã hóa các tệp và thư mục cụ thể, đặc biệt khi có dữ liệu nhạy cảm.
* **Why it's necessary (tại sao cần thiết):**  Để bảo vệ dữ liệu cụ thể khỏi truy cập trái phép.
* **How attackers use it (cách kẻ tấn công sử dụng nó):** Bằng cách mã hóa các tệp hoặc cơ sở dữ liệu quan trọng, kẻ tấn công có thể đòi tiền chuộc từ nạn nhân.

#### 3.2.3. Encrypted Communications

* **When to use (khi nào sử dụng):** khi cần liên lạc dữ liệu an toàn qua internet
* **Why it's necessary (tại sao cần thiết):** Để giúp bảo vệ tính bảo mật và tính toàn vẹn của dữ liệu được truyền đi.
* **How attackers use it (cách kẻ tấn công sử dụng nó):** Kẻ tấn công có thể mã hóa luồng dữ liệu bị chặn, khiến cho việc phân tích và theo dõi trở nên khó khăn hơn.

#### 3.2.4. Virtual Machine Disk Encryption

* **When to use (khi nào sử dụng):** Khi dữ liệu được lưu trữ trong máy ảo cần được bảo vệ. Đặc biệt hữu ích cho các máy ảo có dữ liệu nhạy cảm hoặc trong các môi trường quan trọng về an ninh.
* **Why it's necessary (tại sao cần thiết):** mã hóa đĩa máy ảo đảm bảo an ninh dữ liệu trong trường hợp truy cập vật lý hoặc nếu images máy ảo rơi vào tay những kẻ xấu.
* **How attackers use it (cách kẻ tấn công sử dụng nó):** Bằng cách mã hóa đĩa máy ảo, kẻ tấn công có thể ngăn chặn truy cập hoặc giữ chúng để đòi tiền chuộc. Dấu vết của phần mềm độc hại chạy trên máy ảo cũng có thể bị xóa thông qua mã hóa.

#### 3.2.5. Database Encryption

* **When to use (khi nào sử dụng):** Khi việc bảo vệ các cơ sở dữ liệu chạy trong hệ điều hành là bắt buộc.
* **Why it's necessary (tại sao cần thiết):** Khi việc bảo vệ các cơ sở dữ liệu chạy trong hệ điều hành là bắt buộc.
* **How attackers use it (cách kẻ tấn công sử dụng nó):** Chúng có thể ngăn chặn truy cập và đòi tiền chuộc bằng cách mã hóa dữ liệu trong cơ sở dữ liệu.

## 4. Log Tampering and Deletion (Giả mạo và xóa log)

**"Log Tampering" (Giả mạo nhật ký)** là quá trình cố ý thay đổi hoặc thao túng sai lệch các bản ghi nhật ký trên một hệ thống, điều này có thể đưa ra một bức tranh sai lệch về những gì đã xảy ra.

**"Log Deletion" (Xóa nhật ký)** đề cập đến việc loại bỏ hoàn toàn và không thể đảo ngược các bản ghi nhật ký khỏi một hệ thống, tức là loại bỏ bản ghi của các sự kiện và xóa các dấu vết.

Mục đích thường là để loại bỏ các dấu vết còn lại bởi các hành động được thực hiện trên hệ thống hoặc để thao túng dòng thời gian của các sự kiện để làm sai lệch thực tế và gây khó khăn hơn cho việc phát hiện hoạt động.

### 4.1. Các phương pháp Giả mạo và Xóa tệp log

#### 4.1.1. Modifying Log Files Manually (sửa đổi tệp nhật ký thủ công)

Chỉnh sửa tệp nhật ký thủ công cho phép xóa hoặc thao túng các dấu vết như một phần của kỹ thuật anti-forensic. Các hoạt động được thực hiện trên các tệp nhật ký ghi lại các hoạt đọng được thực hiện trên các hệ thống kỹ thuật số. Chỉnh sửa thủ công có thể liên quan đến việc thay đổi, xóa hoặc giả mạo các mục trong nhật ký để che dấu vết của những kẻ tấn công, quản trị viên hệ thống hoặc người dùng thuộc bất kỳ loại nào.

**Các kỹ thuật để chỉnh sửa tệp nhật ký thủ công**

* **File access (truy cập file):** Để chỉnh sửa tệp nhật ký thủ công, trước tiên bạn phải có quyền truy cập vào các tệp nhật ký được đề cập. Điều này thường yêu cầu quyền quản trị viên hoặc quyền root.
* **Editting tools (công cụ chỉnh sửa):** Log files có thể được mở và chỉnh sửa bằng các trình soạn thảo văn bản đơn giản (Notepad, vim, nano, v.v.) Tuy nhiên, cần hết sức cẩn thận để không làm hỏng định dạng và cấu trúc của tệp.
* **Deleting traces (xóa dấu vết):** xóa các bản ghi nhật ký liên quan đến truy cập trái phép hoặc các cuộc tấn công cho phép kẻ tấn công che giấu dấu vết của mình. Tuy nhiên, điều này không làm ảnh hưởng đến tính toàn vẹn của các bản ghi bình thường khác trong tệp nhật ký.
* **Inserting deceptive logs (chèn nhật ký lừa đảo):** kẻ tấn công có thể chèn các nhật ký lừa đảo để đánh lạc hướng hoặc gây hiểu lầm cho việc phân tích. Các nhật ký như vậy phải xác thực và phù hợp với các sự kiện khác trên hệ thống.

#### 4.1.2. Sử dụng script và công cụ tự động hóa

Vì việc chỉnh sửa thủ công tốn thời gian và dễ xảy ra lỗi, nên các công cuj này được ưu tiên hơn. Tự động hóa thường được sử dụng để thực hiện các thay đổi hàng loạt đối với các tệp nhật ký, nhanh chóng xóa các bản ghi nhất định và chèn dữ liệu lừa đảo.

**Using scripts to edit and delete log files:**

* **Locate and select log files (định vị và chọn các tệp nhật ký):** các tệp lệnh có thể sử dụng regular expressions (regex) (biểu thức chính quy) và các lệnh hệ thống tệp để xác định vị trí các tệp nhật ký cụ thể trên hệ thống. Điều này cho phép tự động lựa chọn các tệp để chỉnh sửa.
* **Delete or modify records (xóa hoặc sửa đổi các bản ghi):** các tệp lệnh có thể được sử dụng để xóa hoặc sửa đổi bản ghi nhật ký đáp ứng các tiêu chí được chỉ định. Ví dụ các bản ghi chứa địa chỉ IP hoặc tên người dùng cụ thể có thể bị nhắm mục tiêu.
* **Add Deceptive logs (thêm nhật ký lừa đảo):** các công cụ tự động hóa cũng có thể được sử dụng để chèn các bản ghi lừa đảo vào các tệp nhật ký. Điều này được thực hiện để gây hiểu lầm cho việc phân tích hoặc để che giấu dấu vết.

## 5. Log Rotation and Management

**Log Rotation (Xoay vòng nhật ký)** là một quy trình quản trị hệ thống được thiết kế để giúp quản lý và bảo trì các tệp nhật ký. Tuy nhiên, khi bị lạm dụng, xoay vòng nhật ký có thể trở thành một công cụ để thay đổi và xóa các tệp nhật ký.

**Lạm dụng Log Rotation:**&#x20;

* Xóa nhật ký cũ trước: nó sẽ tự động xóa nhật ký cũ sau một thời gian nhất định. Bằng cách thao túng chính sách log rotation, kẻ tấn công có thể đảm bảo rằng các nhật ký chứa hoạt động độc hại bị xóa sớm hơn. Kết quả là, việc phát hiện hoạt động trở nên khó khăn hơn.
* Tăng tần suất xoay vòng: có thể giúp giữ các tệp nhật ký nhỏ, do đó giảm lượng dữ liệu cần được phân tích. Tuy nhiên, điều này sẽ có thể khiến một số sự kiện nhất định bị bỏ lỡ.

## 6. Remote Server Log Routing

**Định tuyến nhật ký máy chủ từ xa** là quá trình tự động gửi nhật ký hệ thống hoặc ứng dụng đến một máy chủ khác với hệ thống nguồn. Phương pháp này thường được sử dụng để thu thập và phân tích dữ liệu nhật ký tập trung. Tuy nhiên, nó cũng có thể bị lạm dụng cho các mục đích anti-forensic.

**Anti-Forensic Use:**

* **Che giấu dấu vết:** kẻ tấn công chuyển hướng nhật ký đến một máy chủ từ xa để xóa hoặc che giấu dấu vết của hoạt động độc hại. Điều này cho phép các nhật ký trên hệ thống cụ bộ được làm sạch đồng thời cho phép kiểm soát nhiều hơn các nhật ký trên máy chủ từ xa.
* **Phân tích gây hiểu lầm:** Thu thập nhật ký ở một vị trí khác làm phức tạp công việc của các nhà phân tích bảo mật. Việc phát hiện các dấu viết của các cuộc tấn công tiềm ẩn hoặc truy cập trái phép có thể đòi hỏi nhiều thời gian và công sức hơn từ các nhà phân tích.
* **Kiểm soát truy cập:** Các cơ chế kiểm soát truy cập có thể được sử dụng để bảo vệ các nhật ký được thu thập trên máy chủ từ xa. Điều này giúp ngăn chặn truy cập trái phép vào các nhật ký, làm cho nó hiệu quả hơn để những kẻ tấn công che đậy dấu vết của họ.

## 7. Encrypting Logs

Mã hóa nhật ký là quá trình làm cho dữ liệu nhật ký không thể đọc được đối vưới người dùng trái phép. Mã hóa có thể được áp dụng cho các hệ thống tạo ra các tệp nhật ký hoặc khi các nhật ký được lưu trữ trên các máy chủ từ xa. Mặc dù pp này làm tăng tính bảo mật và quyền riêng tư của dữ liệu, nhưng nó cũng có khả năng được sử dụng cho các mục đích anti-forensic.

**Anti-forensic use:**

* **Che giấu dấu vết:** Kẻ tấn công có thể che giấu dấu vết của hoạt động độc hại trong các tệp nhật ký được mã hóa, khiến cho việc phát hiện hoạt động trở nên khó khăn hơn. Đối với các chuyên gia bảo mật đang cố gắng thực hiện phân tích nhật ký, mã hóa làm phức tạp nhiệm vụ này.
* **Ngăn chặn truy cập trái phép:** Cần có khóa giải mã để truy cập các tệp nhật ký được mã hóa. Kẻ tấn công có thể ngăn chặn các nhật ký được phân tích bằng cách kiểm soát các khóa giải mã.
* **Trì hoãn quá trình phân tích:** Các tệp nhật ký được mã hóa kéo dài quá trình phân tích. Các nhà phân tích phải giải mã dữ liệu trước khi họ có thể phân tích nó, đó là một quá trình tốn thời gian.

## 8. Detection and Prevention Methods

### 8.1. Phát hiện và ngăn chặn chỉnh sửa nhật ký thủ công

* **Giám sát tính toàn vẹn của tệp:** Các công cụ kiểm tra định kỳ tính toàn vẹn của các tệp nhật ký có thể được sử dụng. Để phát hiện các thay đổi đối với nội dung ban đầu của tệp, có thể sử dụng các cơ chế dựa trên hàm băm để kiểm tra tính toàn vẹn của tệp.
* **Thay đổi tệp đột ngột:** Các thay đổi đột ngột về kích thước tệp nhật ký hoặc các thay đổi đột ngột về thời gian chỉnh sửa có thể là dấu hiệu của việc giả mạo thủ công.
* **Nhật ký truy cập:** Nhật ký truy cập tệp có thể được sử dụng để theo dõi ai đã truy cập các tệp nhật ký và khi nào. Điều này có thể giúp xác định các mẫu truy cập đáng ngờ hoặc hoạt động người dùng không mong muốn.
* **Mẫu chỉnh sửa:** Chỉnh sửa thủ công vào các tệp nhật ký thường không tuân theo bất kỳ mẫu hoặc logic nào. Các công cụ phân tích nhật ký nâng cao có thể được sử dụng để giúp phát hiện các chỉnh sửa như vậy.
* **Kiểm soát truy cập:** Chỉ cho phép nhân viên được ủy quyền truy cập các tệp nhật ký và kiểm soát nghiêm ngặt quyền truy cập đó có thể giúp ngăn chặn việc chỉnh sửa thủ công.
* **Hệ thống theo dõi tệp và cảnh báo:** Theo dõi các tệp nhật ký và cài đặt hệ thống để cảnh báo nhân viên thích hợp khi có thay đổi được thực hiện có thể nhanh chóng phát hiện ra khả năng giả mạo.
* **Mã hóa và sao lưu nhật ký:** Mã hóa và sao lưu các tệp nhật ký đến một vị trí an toàn giúp ngăn chặn các thay đổi trái phép. Các bản sao lưu này có thể là một nguồn bằng chứng quan trọng trong trường hợp vi phạm an ninh.
* **Kiểm toán định kỳ:** Để ngăn chặn và phát hiện các thay đổi thủ công đối với các tệp nhật ký, kiểm toán định kỳ và xem xét an ninh đóng một vai trò quan trọng. Các cuộc kiểm toán này đánh giá tính hiệu quả của các chính sách và thủ tục bảo mật.

### 8.2. **Phát Hiện và Ngăn Chặn Việc Sử Dụng Tập Lệnh và Công Cụ Tự Động Hóa**

* **Giám sát hoạt động bất thường:** Các hành động được thực hiện bởi các tập lệnh hoặc công cụ tự động hóa thường khác với hành vi người dùng thông thường. Các thay đổi tệp nhật ký đột ngột, xóa nhật ký lớn hoặc truy cập nhật ký vào những thời điểm bất thường có thể là dấu hiệu của hoạt động đáng ngờ.
* **Phần mềm bảo mật:** Phần mềm bảo mật nâng cao và các công cụ phân tích hành vi có thể phát hiện các hành động được thực hiện bởi tập lệnh và công cụ tự động hóa. Các công cụ như vậy có thể xác định hoạt động đáng ngờ bằng cách theo dõi các mẫu hành vi bất thường trên hệ thống.
* **Phân tích lưu lượng mạng:** Các tập lệnh và công cụ tự động hóa thường gửi các lệnh qua mạng. Phân tích lưu lượng mạng có thể phát hiện các mẫu lưu lượng đáng ngờ bằng cách theo dõi các lệnh và luồng dữ liệu.
* **Kiểm soát truy cập và ủy quyền:** Các chính sách kiểm soát truy cập nghiêm ngặt rất quan trọng để hạn chế quyền truy cập của tập lệnh và công cụ tự động hóa vào các tệp hệ thống và nhật ký. Người dùng và tập lệnh chỉ nên có quyền truy cập vào các tệp họ cần.
* **Tường lửa và phần mềm chống vi-rút:** Bằng cách chặn các tệp và quy trình đáng ngờ dựa trên chữ ký và hành vi độc hại đã biết, tường lửa và phần mềm chống vi-rút có thể phát hiện và chặn các tập lệnh và công cụ tự động hóa độc hại.
* **Hệ thống phát hiện dựa trên hành vi:** Các hệ thống phát hiện dựa trên hành vi tìm hiểu các mẫu hành vi thông thường trên hệ thống và cảnh báo khi có sự sai lệch so với các mẫu đó. Các hệ thống này có thể phát hiện hoạt động bất thường được thực hiện bởi các tập lệnh và công cụ tự động hóa.
* **Chính sách quản lý nhật ký:** Các chính sách và thủ tục quản lý nhật ký mạnh mẽ có thể đảm bảo rằng các tệp nhật ký được xem xét và sao lưu thường xuyên, đồng thời có thể cung cấp cảnh báo sớm nếu các tệp nhật ký bị giả mạo hoặc bị xóa.

### 8.3. **Phát Hiện và Ngăn Chặn Quản Lý và Xoay Vòng Nhật Ký Trái Phép**

* **Hoạt động xóa và xoay vòng bất thường:** Các tệp nhật ký được xoay vòng thường xuyên hơn dự kiến hoặc bị xóa vào thời điểm không mong muốn có thể là dấu hiệu của việc lạm dụng. Các công cụ quản lý nhật ký và hệ thống giám sát an ninh có thể phát hiện các hoạt động bất thường như vậy.
* **Giám sát quyền truy cập và các thay đổi:** Giám sát quyền truy cập và các thay đổi đối với các tệp cấu hình nhật ký và xoay vòng có thể phát hiện hành vi giả mạo trái phép. Nhật ký truy cập và các công cụ giám sát tính toàn vẹn của tệp có thể được sử dụng cho các cuộc kiểm toán như vậy.
* **Phân tích kích thước nhật ký và không gian đĩa:** Việc sử dụng không gian đĩa không mong muốn hoặc các thay đổi bất thường về kích thước tệp nhật ký có thể cho thấy việc lạm dụng các tệp nhật ký. Các công cụ phân tích nhật ký có thể được sử dụng để xác định các bất thường như vậy.
* **Kiểm soát truy cập nghiêm ngặt:** Kiểm soát nghiêm ngặt quyền truy cập vào các tệp nhật ký và các tệp cấu hình xoay vòng nhật ký có thể ngăn chặn các thay đổi trái phép. Chỉ những người dùng và quy trình được ủy quyền mới nên có quyền truy cập vào các tệp này.
* **Tiêu chuẩn hóa các chính sách xoay vòng:** Tiêu chuẩn hóa các chính sách xoay vòng nhật ký trong toàn tổ chức và quản lý nhật ký theo các chính sách đó có thể giúp ngăn chặn việc sử dụng độc hại. Các chính sách nên nêu rõ tần suất xoay vòng nhật ký, thời gian lưu giữ và khi nào chúng nên được xóa.
* **Kiểm toán và đánh giá định kỳ:** Kiểm toán và đánh giá thường xuyên các quy trình và cấu hình quản lý nhật ký là quan trọng để ngăn chặn và phát hiện các hoạt động nhật ký trái phép. Các đánh giá này nên đánh giá sự tuân thủ các chính sách xoay vòng và tính toàn vẹn của các tệp nhật ký.
* **Sao lưu và lưu trữ:** Sao lưu thường xuyên và lưu trữ an toàn các tệp nhật ký là rất quan trọng để ngăn chặn mất dữ liệu và làm bằng chứng trong các cuộc điều tra an ninh. Sao lưu có thể đảm bảo rằng dữ liệu nhật ký gốc có thể được khôi phục trong trường hợp có các thay đổi trái phép hoặc mất dữ liệu.

### 8.4. **Phát Hiện và Ngăn Chặn Định tuyến Nhật ký cho các máy chủ từ xa**

* **Phân tích lưu lượng bất thường:** Hoạt động đáng ngờ có thể được phát hiện khi dữ liệu nhật ký được định tuyến đến các đích đến không mong muốn hoặc vào những thời điểm không mong muốn. Với sự giúp đỡ của các công cụ giám sát mạng, có thể phát hiện ra lưu lượng bất thường như vậy.
* **Giám sát các thay đổi cấu hình và chính sách:** Các thay đổi đáng ngờ và trái phép đối với cấu hình định tuyến nhật ký có thể cho thấy truy cập trái phép. Các chính sách bảo mật nên xác định rõ các quy tắc định tuyến nhật ký và kiểm tra nghiêm ngặt các thay đổi.
* **Nhật ký truy cập:** Các mẫu truy cập đáng ngờ và khả năng lạm dụng có thể được xác định bằng cách phân tích nhật ký truy cập hoặc thông qua các công cụ chuyển tiếp nhật ký.
* **Kiểm soát truy cập mạnh mẽ:** Điều quan trọng là phải hạn chế quyền truy cập vào cấu hình chuyển tiếp nhật ký và các máy chủ từ xa để chỉ những nhân viên được ủy quyền mới có thể thay đổi các cài đặt này.
* **Mã hóa và truyền tải an toàn:** Mã hóa dữ liệu nhật ký và gửi nó bằng các giao thức truyền tải an toàn (chẳng hạn như TLS) làm tăng tính bảo mật dữ liệu và ngăn chặn truy cập độc hại.
* **Kiểm toán và đánh giá thường xuyên:** Các chính sách và cấu hình định tuyến nhật ký nên được kiểm toán và đánh giá thường xuyên. Điều này giúp phát hiện các thay đổi trái phép hoặc vi phạm chính sách.
* **Quản lý nhật ký tập trung:** Sử dụng một hệ thống quản lý nhật ký tập trung sẽ tiêu chuẩn hóa và kiểm soát quy trình thu thập, lưu trữ và phân tích nhật ký, đơn giản hóa việc quản lý dữ liệu nhật ký và giúp ngăn chặn việc lạm dụng nhật ký.

Kết luận: Duy trì, giám sát và phân tích đúng cách các tệp nhật ký hệ thống là điều cần thiết để phát hiện các vi phạm an ninh và các hoạt động độc hại khác. Do đó, khả năng duy trì tính toàn vẹn của các tệp nhật ký và phát hiện các hành vi giả mạo tiềm ẩn là rất quan trọng đối với các chuyên gia forensic.

## 9. Anonymity Services (Dịnh vị ẩn danh)

VPN, TOR, and Proxy có thể được coi là các dịch vụ ẩn danh chính.

### 9.1. Virtual Private Network (VPN)

**VPN** là một sản phẩm công nghệ giúp tăng cường quyền riêng tư và bảo mật của người dùng trên Internet bằng cách mã hóa lưu lượng truy cập Internet và định tuyến nó thông qua một máy chủ từ xa. Nó ẩn địa chỉ IP thực của người dùng và gây khó khăn hơn cho việc theo dõi hoặc chặn các hoạt động trực tuyến của họ.

VPN thường được cài đặt bằng cách tải xuống và cài đặt phần mềm ứng dụng khách do các nhà cung cấp VPN cung cấp. Sau khi đăng ký với nhà cung cấp dịch vụ VPN, người dùng tải ứng dụng xuống thiết bị của họ và đăng nhập bằng thông tin đăng nhập của họ. Sau đó, người dùng bắt đầu kết nối bằng cách chọn vị trí máy chủ ưa thích. Trong một số trường hợp, kết nối VPN có thể được định cấu hình trực tiếp thông qua cài đặt mạng của hệ điều hành.

Kẻ tấn công có thể sử dụng VPN để ẩn địa chỉ IP của chúng và làm cho các hoạt động trực tuyến của chúng trở nên ẩn danh. Do đó, chúng ít có khả năng bị phát hiện hơn trong các cuộc tấn công mạng, phân phối phần mềm độc hại hoặc truy cập dữ liệu trái phép. Các hạn chế về vị trí địa lý và nội dung bị kiểm duyệt cũng có thể bị phá vỡ bằng VPN.

### 9.2. The Onion Router (TOR)

TOR là phần mềm miễn phí cho phép người dùng duyệt Internet một cách ẩn danh. TOR định tuyến gián tiếp lưu lượng truy cập của người dùng thông qua một loạt máy chủ do các tình nguyện viên trên khắp thế giới điều hành, ẩn địa chỉ IP thực của người dùng và ẩn danh các hoạt động trực tuyến của họ.

Bạn có thể bắt đầu sử dụng TOR bằng cách tải xuống và cài đặt Tor Browser. Tor Browser là một trình duyệt web được cấu hình sẵn, cung cấp quyền truy cập vào mạng TOR. Người dùng tải xuống Tor Browser từ trang web chính thức của Tor Project và làm theo hướng dẫn cài đặt. Sau khi cài đặt xong, người dùng có thể khởi chạy trình duyệt và duyệt Internet một cách ẩn danh trực tiếp thông qua mạng TOR.

TOR thường được sử dụng bởi những kẻ tấn công để ẩn địa chỉ IP của chúng và giữ kín danh tính. Nó có thể được sử dụng cho nhiều hoạt động tội phạm mạng khác nhau, bao gồm truy cập các thị trường bất hợp pháp trên Dark Web, phân phối phần mềm độc hại, hacktivism và liên lạc ẩn danh. TOR cũng cho phép người dùng phá vỡ các hạn chế Internet cục bộ bằng cách cung cấp quyền truy cập vào nội dung bị kiểm duyệt hoặc hạn chế.

### 9.3. Proxy

Các máy chủ proxy hoạt động bằng cách định tuyến lưu lượng truy cập Internet của người dùng thông qua các máy chủ của chúng. Quá trình này ẩn địa chỉ IP thực của người dùng và ẩn danh các hoạt động của người dùng trên Internet. Có nhiều loại proxy khác nhau; một số chỉ có thể định tuyến lưu lượng truy cập web, trong khi những loại khác có thể định tuyến tất cả lưu lượng truy cập Internet.

Proxy thường được kích hoạt bằng cách nhập địa chỉ và số cổng của máy chủ proxy trong cài đặt của trình duyệt web. Trong một số trường hợp, proxy cũng có thể được định cấu hình cho lưu lượng mạng chung thông qua cài đặt mạng hoặc phần mềm của bên thứ ba. Các nhà cung cấp proxy thường cung cấp hướng dẫn thiết lập chi tiết cho người dùng.

Bằng cách sử dụng các máy chủ proxy, kẻ tấn công có thể ẩn địa chỉ IP của chúng và giữ kín danh tính. Điều này làm giảm nguy cơ bị phát hiện khi thực hiện các cuộc tấn công mạng khác nhau, truy cập nội dung bị kiểm duyệt hoặc hạn chế hoặc thu thập dữ liệu trái phép. Proxy cũng có thể được sử dụng để chuyển hướng lưu lượng tấn công và che giấu nguồn gốc thực sự của nó.

### 9.4. **Phương pháp Phát hiện Dịch vụ Ẩn danh**

#### 9.4.1. **Kiểm tra Lưu lượng Mạng**

Các dịch vụ ẩn danh thường tạo ra lưu lượng mạng được mã hóa và liên lạc qua các cổng cụ thể. Phân tích lưu lượng mạng có thể được sử dụng để phát hiện trực tiếp việc sử dụng các dịch vụ như vậy và để phân tích các đặc điểm của lưu lượng được mã hóa.

**Các điểm phần tích:**

* **Các mẫu lưu lượng được mã hóa:** VPN, TOR và các dịch vụ proxy được mã hóa khác sử dụng các mẫu và giao thức mã hóa cụ thể. Các công cụ phân tích lưu lượng mạng có thể phát hiện lưu lượng được mã hóa như vậy bên ngoài lưu lượng bình thường.
* **Các cổng và giao thức cụ thể:** Các dịch vụ ẩn danh thường sử dụng các cổng và giao thức cụ thể (ví dụ: 9001 và 9050 cho TOR là các cổng phổ biến cho các giao thức VPN). Phân tích lưu lượng mạng tìm kiếm hoạt động quá mức hoặc đáng ngờ trên các cổng này.
* **Truy vấn DNS:** Các truy vấn DNS được thực hiện trong khi sử dụng các dịch vụ ẩn danh có thể cụ thể cho các yêu cầu phân giải của các dịch vụ. Kiểm tra lưu lượng truy cập DNS có thể tiết lộ các truy vấn đến các tên miền đáng ngờ hoặc cụ thể cho các dịch vụ ẩn danh.
* **Thời gian kết nối và ngắt kết nối:** Các kết nối được thiết lập bởi các dịch vụ ẩn danh thường tuân theo một số mẫu nhất định. Thời gian kết nối và ngắt kết nối có thể khác với mức sử dụng bình thường và có thể được phân tích để xác định hoạt động đáng ngờ.

#### 9.4.2. Analyzing Logs

**Các điểm phân tích:**

* **Application and service logs:** Các tệp nhật ký của các ứng dụng và dịch vụ đang chạy trên hệ thống được kiểm tra để tìm các mục liên quan đến các dịch vụ ẩn danh như kết nối VPN, duyệt proxy và hoạt động TOR. Đặc biệt, hãy tìm thời gian khởi động và tắt dịch vụ, thông báo lỗi và thông tin kết nối mạng.
* **System security and event logs:** Nhật ký bảo mật của hệ điều hành và các bản ghi giám sát sự kiện được đánh giá để phát hiện các hoạt động đáng ngờ và thay đổi hệ thống. Các nhật ký này có thể chứa thông tin quan trọng về việc cài đặt, cấu hình và sử dụng các dịch vụ ẩn danh.
* **Startup logs:** Nên kiểm tra các nhật ký liên quan đến các ứng dụng và dịch vụ tự động khởi động khi khởi động hệ thống. Các nhật ký này có thể tiết lộ các cấu hình tự động khởi động của các dịch vụ ẩn danh.
* **Network access logs:** Nếu có, tường lửa, hệ thống phát hiện xâm nhập (IDS) và các nhật ký thiết bị bảo mật mạng khác được kiểm tra để xác định hoạt động của dịch vụ ẩn danh trên mạng. Các nhật ký này có thể cung cấp thông tin về lưu lượng mạng được mã hóa, các kết nối đáng ngờ và các yêu cầu bị chặn.

#### 9.4.3. Checking Installed Applications

**Các điểm phân tích:**

* **Danh sách phần mềm:** Danh sách tất cả các ứng dụng và phần mềm được cài đặt trên hệ thống có thể được hiển thị bằng các công cụ do hệ điều hành cung cấp (ví dụ: thư mục "Programs and Features" trong Windows, thư mục "Applications" trong MacOS). Danh sách này hỗ trợ các chuyên gia trong việc phát hiện các ứng dụng khách VPN, trình duyệt TOR và phần mềm hướng đến ẩn danh khác.
* **Các tiện ích và tiện ích mở rộng của trình duyệt:** Các trình cắm (ví dụ: HTTPS Everywhere, Privacy Badger) và tiện ích mở rộng liên quan đến quyền riêng tư và ẩn danh được cài đặt trên trình duyệt của người dùng nên được kiểm tra. Bước này sử dụng các trang quản lý tiện ích mở rộng hoặc trình cắm của trình duyệt.
* **Tìm kiếm phần mềm cụ thể:** Một số phần mềm ẩn danh có thể có mặt trên hệ thống ở những vị trí ít rõ ràng hơn bên ngoài các đường dẫn cài đặt tiêu chuẩn. Trong những trường hợp như vậy, có thể thực hiện tìm kiếm chi tiết trong các tệp và thư mục trên hệ thống, đặc biệt là trong các thư mục dữ liệu ứng dụng.

#### 9.4.4. File System and Registry Analysis

**Các điểm phân tích:**

* **Kiểm tra hệ thống tệp:** Các tệp và thư mục trên hệ thống nên được tìm kiếm các tệp cấu hình, gói cài đặt hoặc tệp thực thi có thể thuộc về các dịch vụ ẩn danh. Các tệp này thường được tìm thấy trong thư mục cài đặt của ứng dụng hoặc thư mục dữ liệu người dùng.
* **Các mục Registry:** Trên các hệ điều hành Windows, registry nên được tìm kiếm các mục có thể đã được tạo bởi các dịch vụ ẩn danh. Các mục này có thể bao gồm cài đặt cấu hình ứng dụng, các mục khởi động và tùy chọn của người dùng.
* **Các tệp ẩn và tạm thời:** Các tệp tạm thời, tệp nhật ký hoặc các tệp ẩn khác có thể đã được tạo trong khi sử dụng các dịch vụ ẩn danh có thể được tìm kiếm trong các thư mục tệp tạm thời và hồ sơ người dùng trên hệ thống.

#### 9.4.5. Port and Connection Analysis

**Các Điểm Phân Tích:**

* **Phát hiện Cổng đang Mở:** Các cổng đang mở trên hệ thống được phát hiện bằng các công cụ giám sát mạng hoặc các công cụ dòng lệnh (ví dụ: netstat, lsof). Các dịch vụ ẩn danh có xu hướng sử dụng các cổng cụ thể (ví dụ: TOR thường sử dụng các cổng 9001 và 9050).
* **Kiểm tra các kết nối đang hoạt động:** Các kết nối mạng hiện có được kiểm tra để tìm các kết nối đáng ngờ hoặc cụ thể cho các dịch vụ ẩn danh. Các kết nối này có thể cung cấp manh mối về hoạt động mạng của các dịch vụ trong thời gian chạy.
* **Phân tích lưu lượng:** Các công cụ phân tích lưu lượng mạng được sử dụng để tìm kiếm các mẫu lưu lượng cụ thể cho các dịch vụ được mã hóa hoặc ẩn danh. Phân tích có thể đặc biệt bao gồm lưu lượng truy cập VPN được mã hóa hoặc lưu lượng truy cập TOR.

## 10. Artifact Wiping (Xóa dấu vết)

"Xóa Dấu vết" là hành động xóa bằng chứng, dấu vết hoặc token hoạt động của người dùng trong môi trường kỹ thuật số. Bằng chứng có thể có nhiều hình thức, bao gồm hệ thống tệp, nhật ký hệ thống, lịch sử trình duyệt, tệp tạm thời và thậm chí cả phần còn lại của các tệp đã xóa có thể được khôi phục. Xóa dấu vết sẽ xóa dữ liệu đó vĩnh viễn, khiến việc khôi phục hoặc phân tích trở nên bất khả thi. Nó có thể được áp dụng tự động bằng các công cụ phần mềm hoặc thủ công.

Dấu vết kỹ thuật số là các dấu vết phản ánh hoạt động của người dùng trên máy tính và hệ thống mạng. Các dấu vết này chứa bằng chứng về nhiều hoạt động khác nhau, chẳng hạn như các giao dịch mà người dùng thực hiện trên hệ thống, các trang web mà họ truy cập, các tệp mà họ mở và các ứng dụng mà họ chạy. Ví dụ bao gồm:

* **Tệp nhật ký:** Các tệp chứa thông tin về hệ điều hành và hoạt động của ứng dụng, chẳng hạn như nhật ký hệ thống, ứng dụng hoặc bảo mật. Các sự kiện như thông báo lỗi, hoạt động phiên người dùng, cảnh báo hệ thống và hoạt động mạng được lưu trữ trong các tệp nhật ký này.
* **Tệp tạm thời:** Các tệp được tạo trong khi phần mềm đang chạy thường được mong đợi sẽ bị xóa khi chương trình đóng. Tuy nhiên, các tệp này thường có thể vẫn còn trên hệ thống và có thể chứa thông tin về hoạt động của người dùng.
* **Lịch sử trình duyệt:** Dữ liệu theo dõi các trang mà người dùng duyệt trên Internet, bao gồm thông tin như URL của các trang web đã truy cập, các tệp đã tải xuống và cookie.
* **Dấu vết của các tệp đã xóa:** Các tệp có vẻ như đã bị người dùng xóa vẫn để lại các phần dữ liệu có thể khôi phục được trên hệ thống tệp. Các dấu vết này có thể cung cấp thông tin về hoạt động của người dùng và có thể được khôi phục bằng các công cụ chuyên dụng.

### 10.1. **Các Phương pháp Xóa Dấu vết**

Xóa dấu vết là một tập hợp các phương pháp được sử dụng để loại bỏ các dấu vết và bằng chứng khỏi phương tiện kỹ thuật số. Các phương pháp này được thiết kế để loại bỏ một cách an toàn các dấu vết về hoạt động trực tuyến của người dùng. Các phương pháp xóa dấu vết chính như sau:

#### 10.1.1. **Xóa bằng Phần mềm**

Các token kỹ thuật số, tệp và dữ liệu có thể bị xóa vĩnh viễn bằng các công cụ/phần mềm được thiết kế đặc biệt.

Phương pháp này thường cung cấp giao diện thân thiện với người dùng và giúp dễ dàng thực hiện các thao tác xóa phức tạp.

**Nó hoạt động:**

1. Người dùng chọn các tệp hoặc thư mục cần xóa.
2. Phần mềm ghi đè các tệp đã chọn một hoặc nhiều lần bằng dữ liệu ngẫu nhiên, khiến việc khôi phục dữ liệu gốc là không thể.
3. Một số chương trình thực hiện xóa theo các tiêu chuẩn xóa an toàn nhất định (ví dụ: DOD 5220.22-M).

**Một số ví dụ về công cụ:** CCleaner, BleachBit và Eraser. Các công cụ như vậy cũng hỗ trợ làm sạch hệ thống, xóa tệp tạm thời và xóa lịch sử trình duyệt Internet.

#### 10.1.2. Xóa thủ công

Xóa thủ công là quá trình xóa các tệp khỏi hệ thống tệp được thực hiện trực tiếp và thủ công bởi người dùng. Nó có thể bao gồm việc xóa các tệp cụ thể, tệp tạm thời hoặc nhật ký hệ thống.

**Phương pháp:**

1. Người dùng tìm và xóa các mục cần xóa bằng trình khám phá tệp trên hệ thống.
2. Dữ liệu như cookie, bộ nhớ cache và lịch sử có thể được xóa thủ công thông qua cài đặt trình duyệt.
3. Các tệp tạm thời và các tệp hệ thống không cần thiết khác có thể được xóa thông qua cài đặt hệ thống.

**Các điểm cần chú ý:** Xóa thủ công có thể không xóa hoàn toàn tất cả các dấu vết và có thể không phải lúc nào cũng đủ để xóa hoàn toàn.

#### 10.1.3. **Giao thức Xóa An toàn**

Các giao thức xóa an toàn là các tiêu chuẩn yêu cầu dữ liệu phải được ghi đè bằng các mẫu cụ thể nhiều lần. Phương pháp này đảm bảo rằng dữ liệu bị xóa không thể đảo ngược.

**Nó hoạt động:**

1. Phần mềm xóa an toàn loại bỏ dữ liệu gốc bằng cách ghi đè các tệp theo một giao thức đã định trước.
2. Quá trình này thường được lặp lại nhiều lần, ghi đè dữ liệu bằng dữ liệu ngẫu nhiên.

**Ví dụ về giao thức:** DOD 5220.22-M, phương pháp Gutmann. Các giao thức này được thiết kế để tăng độ tin cậy của quá trình xóa.

#### 10.1.4. **Mã hóa và Xóa**

Phương pháp mã hóa và xóa đảm bảo rằng dữ liệu bị mất vĩnh viễn bằng cách mã hóa dữ liệu trước và sau đó xóa khóa mã hóa.

**Nó hoạt động:**

1. Các thuật toán mã hóa mạnh được sử dụng để mã hóa toàn bộ ổ cứng hoặc dữ liệu cụ thể.
2. Sau khi quá trình mã hóa hoàn tất, khóa mã hóa sẽ bị xóa. Điều này đảm bảo rằng dữ liệu được mã hóa không còn có thể truy cập được nữa.

**Ưu điểm:** Phương pháp này lý tưởng để xóa nhanh chóng và hiệu quả lượng lớn dữ liệu hoặc toàn bộ đĩa. Dữ liệu được mã hóa không thể truy cập vĩnh viễn do việc phá hủy khóa mã hóa.

### 10.2. **Phát hiện và Đối phó**

Việc phát hiện và đối phó với các kỹ thuật xóa dấu vết được sử dụng trong chống pháp lý là một thách thức mà các chuyên gia pháp lý kỹ thuật số thường phải đối mặt. Các kỹ thuật này có thể được phát hiện thông qua phân tích các dấu vết hoặc hiệu ứng của việc xóa. Các biện pháp đối phó nhằm giảm hoặc ngăn chặn tác động của các hành động như vậy.

**Phát hiện Xóa Dấu vết:**

* **Sự vắng mặt bất thường của các tệp:** Số lượng tệp hoặc dữ liệu trên hệ thống ít hơn dự kiến có thể cho biết việc xóa, đặc biệt là trong các hệ thống quan trọng hoặc thư mục người dùng.
* **Khoảng trống trong Security and System Logs:** Các khoảng trống bất ngờ hoặc các mục bị thiếu trong nhật ký hệ thống và bảo mật có thể cho biết rằng các nhật ký đã bị giả mạo hoặc bị xóa.
* **File System Analysis:** Phân tích dấu vết và tàn dư của các tệp đã xóa đòi hỏi phải kiểm tra kỹ lưỡng các quy trình xóa. Điều này có thể được thực hiện bằng các công cụ pháp lý chuyên dụng.
* **Dung lượng đĩa trống bất thường:** Dung lượng trống cao bất ngờ cho biết rằng một lượng lớn dữ liệu có thể đã bị xóa.

**Đối phó:**

* **Thu thập và Bảo vệ Nhật ký Tập trung:** Thu thập nhật ký bảo mật và hệ thống ở một vị trí tập trung và sao lưu chúng thường xuyên để bảo vệ chống lại các nỗ lực giả mạo hoặc xóa chúng.
* **Giám sát Tính toàn vẹn của Tệp:** Liên tục giám sát tính toàn vẹn của các tệp và cấu hình hệ thống quan trọng để nhanh chóng phát hiện các thay đổi hoặc xóa.
* **Tăng Access Controls:** Ngăn chặn việc xóa trái phép bằng cách kiểm soát chặt chẽ quyền truy cập vào các tệp, thư mục và nhật ký.
* **Giám sát hoạt động đáng ngờ:** Phát hiện sớm các nỗ lực xóa dấu vết bằng cách giám sát hoạt động đáng ngờ trên mạng và hệ thống.
* **Forensic preparation:** Giảm thiểu tác động của việc xóa bằng kế hoạch ứng phó pháp lý và phân tích pháp lý thường xuyên.
* **Giáo dục và Nhận thức:** Nâng cao nhận thức về bảo mật cho người dùng và nhân viên CNTT có thể làm giảm thành công của các hành động chống pháp lý.

## 11. **Nghiên cứu Tình huống về Chống Pháp lý**

Chống pháp lý sử dụng các kỹ thuật để ngăn chặn việc khám phá, phân tích và giải thích bằng chứng kỹ thuật số. Nó bao gồm các phương pháp được sử dụng bởi tội phạm mạng cũng như các cá nhân và tổ chức muốn bảo vệ quyền riêng tư của họ. Dưới đây, chúng ta có thể xem xét các hành vi chống pháp lý thông qua một số nghiên cứu tình huống thực tế.

### **11.1. Tình huống 1: Nhật ký bị Xóa**

* **Tình huống:** Một công ty phát hiện ra một vi phạm bảo mật trong mạng nội bộ của mình sau một sự cố truy cập trái phép. Họ đã tiến hành một cuộc điều tra pháp lý kỹ thuật số để tìm ra nguồn gốc của vi phạm và phát hiện ra rằng hầu hết các nhật ký hệ thống đã bị xóa một cách có chủ ý.
* **Kỹ thuật Chống Pháp lý:** Những kẻ tấn công đã xóa nhật ký hệ thống để che giấu dấu vết của chúng. Điều này gây khó khăn cho việc thu thập thông tin về thời gian, phương pháp và phạm vi của cuộc tấn công trong quá trình phân tích.
* **Biện pháp Đối phó:** Tác động của một nỗ lực chống pháp lý như vậy có thể được giảm thiểu bằng cách sao lưu các tệp nhật ký đến một vị trí tập trung và an toàn. Các nhật ký sao lưu có thể được sử dụng thay thế cho thông tin đã xóa ban đầu để tiếp tục cuộc điều tra.

### 11.2. **Tình huống 2: Các Tệp được Mã hóa**

* **Tình huống:** Tất cả các tệp liên quan đều được phát hiện là được mã hóa bằng một thuật toán mã hóa mạnh trong quá trình tìm kiếm máy tính của một cá nhân sau một báo cáo về nội dung bất hợp pháp.
* **Kỹ thuật Chống Pháp lý:** Mã hóa bảo vệ các tệp khỏi bị các nhà chức trách truy cập. Nó làm cho việc phân tích nội dung của chúng trở nên bất khả thi. Trong trường hợp này, khóa mã hóa bị thiếu đã ngăn cản việc kiểm tra bằng chứng.
* **Biện pháp Đối phó:** Các công cụ và kỹ thuật giải mã phức tạp có thể được sử dụng để truy cập dữ liệu được mã hóa. Tuy nhiên, điều này thường tốn thời gian và khó khăn do các phương pháp mã hóa mạnh.

### **11.3. Tình huống 3: Ẩn danh Lưu lượng Mạng**

* **Tình huống:** Trong một cuộc điều tra về tội phạm mạng, người ta phát hiện ra rằng những kẻ tấn công đang ẩn danh lưu lượng mạng của chúng để che giấu dấu vết của chúng. Do đó, rất khó để xác định nguồn gốc của các cuộc tấn công và danh tính của những kẻ tấn công.
* **Kỹ thuật Chống Pháp lý:** Ẩn danh lưu lượng mạng bằng các công cụ như VPN, mạng TOR và máy chủ proxy che giấu địa chỉ IP của người dùng và gây khó khăn cho việc theo dõi các hoạt động trực tuyến của họ. Những kẻ tấn công đã tận dụng các công cụ này.
* **Biện pháp Đối phó:** Các mẫu lưu lượng đáng ngờ và các kết nối đến các dịch vụ ẩn danh có thể được phát hiện bằng phân tích lưu lượng mạng. Ngoài ra, nguồn gốc của các luồng lưu lượng có thể được xác định bằng các công cụ giám sát mạng và các kỹ thuật tình báo mạng tiên tiến.

### **11.4. Tình huống 4: Xóa Siêu dữ liệu**

* **Tình huống:** Do nghi ngờ bí mật thương mại đã bị rò rỉ, một cuộc điều tra đã được tiến hành trên máy tính của một giám đốc điều hành công ty. Người ta thấy rằng siêu dữ liệu của các tài liệu được kiểm tra đã bị xóa hoặc sửa đổi một cách có chủ ý.
* **Kỹ thuật Chống Pháp lý:** Xóa siêu dữ liệu là quá trình xóa hoặc ẩn danh thông tin như tác giả, ngày tạo, ngày sửa đổi, v.v. khỏi tài liệu. Nó che giấu nguồn gốc và lịch sử của các tài liệu.
* **Biện pháp Đối phó:** Các công cụ phân tích siêu dữ liệu có thể phát hiện các tài liệu không đạt tiêu chuẩn hoặc siêu dữ liệu bị thiếu. Ngoài ra, việc giả mạo như vậy có thể được theo dõi dễ dàng hơn thông qua việc thu thập siêu dữ liệu tự động trong quá trình tạo và chia sẻ tài liệu.

**Kết luận**

Các kỹ thuật chống pháp lý tạo ra những thách thức đáng kể cho các cuộc điều tra kỹ thuật số nhưng cũng cung cấp nhiều biện pháp bảo vệ cho các cá nhân và tổ chức ý thức về quyền riêng tư và bảo mật. Nhật ký bị xóa, tệp được mã hóa, lưu lượng mạng được ẩn danh và siêu dữ liệu bị xóa minh họa phạm vi rộng lớn của các hành vi chống pháp lý và cách các kỹ thuật này có thể làm phức tạp các cuộc điều tra.

Tuy nhiên, các biện pháp đối phó hiệu quả đang được phát triển cho mọi nỗ lực chống pháp lý. Các biện pháp đối phó này bao gồm sao lưu nhật ký tập trung, phát triển các kỹ thuật bẻ khóa mật khẩu, phân tích lưu lượng mạng chi tiết và phân tích siêu dữ liệu. Các biện pháp đối phó là rất cần thiết để đảm bảo rằng bằng chứng kỹ thuật số được bảo tồn và công lý được thực thi. Cuộc chiến liên tục giữa chống pháp lý và các biện pháp đối phó này đảm bảo rằng lĩnh vực pháp lý kỹ thuật số vẫn là một ngành năng động và không ngừng phát triển.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/dfir/anti-forensic-techniques.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.