Trong bối cảnh tấn công mạng ngày càng tinh vi, khả năng điều tra số (Digital Forensics) và ứng phó sự cố (Incident Response) không còn là kỹ năng “có thì tốt” – mà là yêu cầu sống còn. Tin vui là bạn không cần ngân sách khổng lồ để sở hữu bộ công cụ chuyên nghiệp: 10 giải pháp mã nguồn mở và miễn phí dưới đây hoàn toàn đủ sức giúp bạn thu thập chứng cứ, phân tích sâu và truy vết mối đe dọa như một chuyên gia.
Bài viết này không chỉ liệt kê công cụ – mà còn chỉ rõ khi nào nên dùng cái nào, ưu điểm thực chiến và cách kết hợp chúng để tạo thành quy trình DFIR hiệu quả. Dưới đây là bộ 10 Công Cụ Miễn Phí “Cân Mọi Tình Huống” DFIR

1. FTK Imager – “Người gác cổng” của quy trình thu thập chứng cứ

“Bắt đầu sai – kết thúc sai”
Vai trò then chốt: Tạo ảnh đĩa (disk image) bit-by-bit mà không làm thay đổi dữ liệu gốc – bước bắt buộc để đảm bảo tính pháp lý của chứng cứ.
Điểm mạnh thực tế:
Hỗ trợ định dạng E01, RAW, chia nhỏ file khi cần
Xem trước nội dung, khôi phục file xóa, tính hash MD5/SHA1 để xác minh toàn vẹn
Nhẹ, chạy nhanh – lý tưởng để tạo ảnh RAM trên hệ thống đang hoạt động
Lưu ý: GUI chỉ có trên Windows, nhưng có thể đọc ảnh đĩa từ mọi hệ điều hành.
Dùng khi: Bạn cần “đóng băng” hiện trường số trước khi phân tích.
Tham khảo: https://www.exterro.com/ftk-imager

2. Autopsy – Trung tâm chỉ huy phân tích forensics

“Giao diện thân thiện – sức mạnh chuyên sâu”
Tại sao nên chọn: Là frontend của The Sleuth Kit, Autopsy biến việc phân tích ảnh đĩa phức tạp thành trải nghiệm trực quan, không cần dòng lệnh.
Tính năng “ăn tiền”:
Timeline tự động: Tái hiện chuỗi sự kiện theo thời gian thực
Tìm kiếm từ khóa, lọc file qua hash (biết file tốt/xấu ngay)
Trích xuất artifact: lịch sử web, registry, email, file đã xóa…
Hỗ trợ plugin mở rộng từ cộng đồng
Đa nền tảng: Windows, Linux, macOS – phân tích được NTFS, EXT4, HFS+, FAT…
Dùng khi: Bạn có ảnh đĩa và cần “đào sâu” để tìm manh mối ẩn.
Tham khảo: https://www.autopsy.com/

3. Volatility – “Thám tử” của thế giới bộ nhớ

“Malware ẩn trong RAM? Volatility sẽ tìm ra”
Giá trị độc nhất: Phân tích RAM dump để phát hiện tiến trình ẩn, code injection, rootkit, hoặc dữ liệu nhạy cảm chưa ghi disk.
Sức mạnh thực sự:
Hỗ trợ Windows, Linux, macOS, Android qua framework plugin
Hàng trăm plugin có sẵn: liệt kê process, dump DLL, tìm credential, phát hiện hook…
Cộng đồng active – cập nhật liên tục cho OS và malware mới
Yêu cầu: Kiến thức Python là lợi thế để viết plugin tùy chỉnh.
Dùng khi: Nghi ngờ malware fileless, tấn công không để lại dấu vết trên disk.
Tham khảo: https://www.volatilityfoundation.org/

4. Plaso (log2timeline) – “Máy thời gian” của nhà điều tra

“Biến triệu sự kiện rời rạc thành một câu chuyện logic”
Công dụng cốt lõi: Tự động tổng hợp timestamp từ hàng chục nguồn (file system, log, registry, browser…) thành một timeline thống nhất.
Lợi thế cạnh tranh:
Parser đa dạng: hỗ trợ artifact từ Windows, Linux, macOS, cloud apps
Output linh hoạt: CSV, JSON – dễ import vào công cụ khác
Có thể lọc theo loại sự kiện để tập trung phân tích
Mẹo pro: Kết hợp với Timesketch để trực quan hóa và cộng tác.
Dùng khi: Bạn cần tái hiện “ai làm gì, khi nào” trong sự cố.
Tham khảo: https://github.com/log2timeline/plaso

5. Timesketch – Bảng điều khiển cộng tác cho điều tra nhóm

“Một sketch – nhiều nhà điều tra – một sự thật”
Giải quyết vấn đề gì? Timeline hàng triệu sự kiện quá lớn để một người xử lý.
Tính năng nổi bật:
Giao diện web tương tác: tìm kiếm như Google, filter theo tag, user, IP…
Cộng tác real-time: nhiều analyst cùng làm việc trên một dataset
Trực quan hóa: biểu đồ, heatmap, story-building để báo cáo
Triển khai: Server Linux (Docker), client truy cập qua browser.
Dùng khi: Điều tra quy mô lớn, cần phối hợp nhóm hoặc báo cáo cho lãnh đạo.
Tham khảo: https://github.com/google/timesketch

6. Wireshark – Kính hiển vi cho lưu lượng mạng

“Mỗi gói tin đều kể một câu chuyện”
Vai trò không thể thay thế: Bắt và phân tích sâu từng gói tin – từ handshake TCP đến payload HTTP.
Sức mạnh thực chiến:
Hỗ trợ 3000+ giao thức, decode tự động
Filter mạnh mẽ: ip.addr == x.x.x.x && http.request.method == POST
Reconstruct stream: khôi phục file, session chat từ packet
Màu hóa gói tin: phát hiện bất thường bằng mắt thường
Đa nền tảng: Windows, Linux, macOS – có cả CLI và GUI.
Dùng khi: Cần phân tích C2 traffic, data exfiltration, hoặc malware network behavior.
Tham khảo: https://www.wireshark.org/

7. Zeek (ex-Bro) – “Camera giám sát” cho mạng doanh nghiệp

“Không bắt từng gói – nhưng ghi lại mọi thứ quan trọng”
Khác biệt với Wireshark: Zeek không lưu full packet – mà tạo log có cấu trúc về connection, HTTP, DNS, SSL, file transfer…
Lợi ích DFIR:
Log nhẹ, dễ lưu trữ dài hạn – lý tưởng để truy vết sự cố cũ
Phát hiện bất thường qua script: brute-force, DNS tunneling, suspicious user-agent…
Ngôn ngữ scripting riêng – tùy biến logic phát hiện theo nhu cầu
Triển khai: Chạy trên Linux/BSD như network sensor.
Dùng khi: Cần giám sát mạng liên tục hoặc phân tích log sau sự cố mà không có PCAP đầy đủ.
Tham khảo: https://zeek.org/

8. KAPE – “Cứu tinh” cho triage Windows tốc độ cao

“5 phút – thu thập trăm artifact – ra quyết định nhanh”
Giải quyết nỗi đau: Ứng phó sự cố trên Windows cần nhanh – không thể chờ phân tích full disk.
Cách hoạt động thông minh:
Targets: Định nghĩa sẵn vị trí artifact quan trọng (Registry, Event Log, Prefetch…)
Modules: Tự động phân tích artifact thu thập được bằng công cụ bên thứ 3
Output: Báo cáo CSV/JSON sẵn sàng để lọc, import vào SIEM
Ưu điểm vượt trội: Chạy từ USB, không cần cài đặt – lý tưởng cho hiện trường.
Dùng khi: Cần triage nhanh nhiều máy Windows hoặc thu thập bằng chứng trước khi hệ thống bị tắt.
Tham khảo: https://www.kroll.com/en/insights/publications/cyber/kroll-artifact-parser-extractor-kape

9. Velociraptor – “Săn mối đe dọa” quy mô doanh nghiệp

“Một truy vấn – quét ngàn endpoint”
Tầm nhìn chiến lược: DFIR hiện đại không chỉ xử lý 1 máy – mà cần tầm nhìn toàn hệ thống.
Sức mạnh đột phá:
VQL (Velociraptor Query Language): Truy vấn linh hoạt như SQL cho endpoint
Thư viện artifact phong phú: từ cơ bản (process list) đến nâng cao (YARA scan, memory dump)
Giám sát real-time: phát hiện hành vi đáng ngờ ngay khi xảy ra
Hỗ trợ Windows, Linux, macOS – quản lý tập trung qua server
Use case điển hình: “Tìm tất cả máy có kết nối đến IP độc hại trong 24h qua”.
Dùng khi: Điều tra lan rộng, săn mối đe dọa chủ động (threat hunting), hoặc thu thập bằng chứng song song.
Tham khảo: https://docs.velociraptor.app/

10. Mobile Verification Toolkit (MVT) – Chuyên gia forensics di động

“Điện thoại cũng là hiện trường – và MVT là thám tử”
Bối cảnh ứng dụng: Thiết bị di động ngày càng là mục tiêu của spyware (Pegasus, Predator…)
Giá trị cốt lõi:
Hỗ trợ iOS (backup/dump) và Android (ADB/backup)
Tự động quét IOC từ nguồn uy tín (Amnesty, CISA…)
Phát hiện dấu hiệu nhiễm: process lạ, network connection bất thường, file hệ thống bị sửa
Output rõ ràng: báo cáo HTML/JSON dễ chia sẻ
Lưu ý: Cần truy cập vật lý hoặc backup đầy đủ từ thiết bị.
Dùng khi: Điều tra xâm nhập qua mobile, nghi ngờ spyware, hoặc thu thập bằng chứng từ điện thoại nạn nhân.
Tham khảo: https://github.com/mvt-project/mvt

Bài viết được tổng hợp và viết lại dựa trên nghiên cứu thực tế, phù hợp cho chuyên gia an ninh mạng, SOC analyst, và những ai muốn xây dựng năng lực DFIR từ con số 0. Nếu bạn quan tâm đến lộ trình học tập bài bản, hãy tìm hiểu các khóa học thực chiến về Blue Team và Incident Response.

Nguồn: Cyberjutsu