Nghiên cứu về Dark Web Forensics là một lĩnh vực mới mẻ nhưng hết sức quan trọng, nơi mà các chuyên gia phải sử dụng những công nghệ tiên tiến và các công cụ đặc biệt để thu thập, phân t
TỔNG QUAN VỀ DARK WEB
Giới thiệu về Dark Web
Dark Web là không gian được ẩn giấu, không thể truy cập bằng công cụ tìm kiếm thông thường như Google, Bing hay Yahoo Để truy cập Dark Web, người dùng cần sử dụng các trình duyệt đặc biệt như Tor và các mạng ẩn danh như Tor Network Những công cụ này mã hóa dữ liệu của người dùng nhiều lần và chuyển qua nhiều máy chủ trên khắp thế giới để che giấu danh tính của người dùng.
Dark web là mạng lưới các trang web và dịch vụ ẩn hoạt động trên phần mềm và giao thức chuyên biệt, chẳng hạn như trình duyệt Tor Các trang web và dịch vụ này thường được xác định bằng phần mở rộng tên miền onion duy nhất của chúng, được thiết kế để che giấu vị trí thực tế và danh tính của người điều hành trang web.
Dark web thường được sử dụng cho cả mục đích hợp pháp và bất hợp pháp
Về mặt hợp pháp, nó có thể được sử dụng bởi các nhà báo, nhà hoạt động, người tố giác và những người khác coi trọng quyền riêng tư và ẩn danh để giao tiếp và chia sẻ thông tin một cách an toàn mà không sợ bị giám sát hoặc kiểm duyệt Điều này đặc biệt quan trọng ở những khu vực có chế độ độc tài hoặc nơi quyền tự do ngôn luận bị hạn chế.
Tuy nhiên, dark web cũng là một trung tâm khét tiếng cho nhiều hoạt động bất hợp pháp, bao gồm việc bán hàng hóa bất hợp pháp (ví dụ như ma túy, vũ khí và dữ liệu bị đánh cắp), phân phối phần mềm độc hại , phối hợp các cuộc tấn công mạng và trao đổi tài liệu khai thác trẻ em Những kẻ đe dọa thường sử dụng dark web để tiến hành các hoạt động của chúng một cách ẩn danh, khiến nó trở thành mối quan tâm đáng kể đối với các chuyên gia an ninh mạng và các cơ quan thực thi pháp luật. Để truy cập dark web, người dùng thường cần tải xuống và cài đặt phần mềm chuyên dụng như trình duyệt Tor, phần mềm này mã hóa lưu lượng truy cập internet và ẩn địa chỉ IP của họ , khiến việc theo dõi các hoạt động trực tuyến của họ trở nên khó khăn Mặc dù trình duyệt Tor cung cấp mức độ ẩn danh cao, nhưng nó không đảm bảo quyền riêng tư hoặc bảo mật hoàn toàn và người dùng nên thận trọng khi duyệt dark web.
Dark web lưu trữ vô số hoạt động, từ hoàn toàn hợp pháp đến bất hợp pháp Công dụng của nó đa dạng như những người dùng điều hướng sâu bên trong nó Sau đây là một cuộc khám phá về các mục đích khác nhau mà nó phục vụ:
Ẩn danh và quyền riêng tư: Dark web cung cấp tính ẩn danh vô song cho người dùng Tính năng này rất quan trọng đối với các nhà hoạt động, người tố giác và nhà báo làm việc dưới chế độ áp bức hoặc trong những tình huống mà quyền riêng tư và an ninh là tối quan trọng.
Buôn bán các mặt hàng bất hợp pháp: Khét tiếng vì các thị trường ẩn, dark web tạo điều kiện cho các giao dịch liên quan đến ma túy, vũ khí, hàng giả và dữ liệu bị đánh cắp Những khu chợ ẩn này hoạt động dưới vỏ bọc ẩn danh nhưng thường là trọng tâm của các hoạt động thực thi pháp luật tinh vi nhằm mục đích phá bỏ chúng.
Dịch vụ tội phạm mạng: Tội phạm mạng lợi dụng sự mơ hồ của dark net để cung cấp các dịch vụ từ khởi tạo các cuộc tấn công DDoS đến tạo ra phần mềm độc hại được thiết kế riêng để xâm nhập vào các mục tiêu hoặc tổ chức cụ thể.
Giao dịch tài chính ẩn danh: Việc ưa chuộng tiền điện tử trên dark web bắt nguồn từ việc che giấu thông tin chi tiết về giao dịch, khiến các giao dịch tài chính hầu như không thể theo dõi và được ưa chuộng vì lý do riêng tư hợp pháp và giao dịch bất hợp pháp.
Truy cập thông tin bị hạn chế: Ở những quốc gia có luật kiểm duyệt nghiêm ngặt, dark web đóng vai trò quan trọng để truy cập tự do vào các trang web hoặc tài nguyên bị chặn mà không sợ bị trả thù.
Mục đích nghiên cứu: Các chuyên gia an ninh mạng thường đào sâu vào dark web để nghiên cứu các mối đe dọa mạng, theo dõi các vi phạm bảo mật tiềm ẩn và nắm bắt các xu hướng phần mềm độc hại mới nổi - một minh chứng cho tầm quan trọng của nó trong các chiến lược phòng thủ kỹ thuật số.
Phạm vi sử dụng dark net làm sáng tỏ những thách thức xã hội rộng lớn hơn đan xen với các tương tác trực tuyến ẩn danh Tính hai mặt của nó đặt ra một thách thức liên tục cho những cá nhân điều hướng nó với mục đích hợp pháp và các cơ quan chức năng đang nỗ lực hạn chế việc sử dụng sai mục đích trong khi vẫn tôn trọng quyền riêng tư.
Mạng Tor và sự phát triển của Dark Web
1.2.1 Sự ra đời của mạng Tor
Tor (The Onion Router): là trình duyệt web cho phép người dùng truy cập vào mạng ẩn danh lưu lượng truy cập web để cung cấp khả năng duyệt web riêng tư Thường được sử dụng để truy cập dark web, Tor Browser ẩn địa chỉ IP và hoạt động duyệt web bằng cách chuyển hướng lưu lượng truy cập web qua một loạt các bộ định tuyến khác nhau được gọi là nút Vì Tor ẩn hoạt động duyệt web và chặn theo dõi, nên nó được những người tố giác, nhà báo và những người khác muốn bảo vệ quyền riêng tư trực tuyến sử dụng.
Tor sử dụng onion routing để mã hóa và định tuyến lại lưu lượng truy cập web qua mạng onion của Tor Sau khi dữ liệu của bạn được bảo mật bên trong nhiều lớp mã hóa, lưu lượng truy cập web của bạn được truyền qua một loạt các nút mạng, được gọi là bộ định tuyến onion Mỗi bộ định tuyến (hoặc nút) sau đó
"bóc tách" một lớp mã hóa cho đến khi dữ liệu đến đích cuối cùng, được giải mã hoàn toàn.
Khi thực hiện yêu cầu, các gói (khối dữ liệu) trong yêu cầu được mã hóa riêng lẻ Sau đó, Tor truyền dữ liệu được mã hóa nhiều lớp qua ba lớp proxy quốc tế tạo nên mạch Tor, mỗi lớp giải mã một lớp:
Hình 1.2 Hoạt động của Tor
Nút nhập/bảo vệ: Đầu tiên, Tor Browser kết nối ngẫu nhiên với một nút nhập được biết đến công khai Nút nhập sẽ đưa dữ liệu của bạn vào mạch Tor bằng cách giải mã lớp mã hóa đầu tiên để khám phá địa chỉ của nút giữa, nơi nó chuyển tiếp dữ liệu của bạn.
Nút giữa: Nút này nhận yêu cầu từ nút nhập Nó biết địa chỉ IP của nút nhập nơi yêu cầu đến từ đó, nhưng không biết IP được mã hóa của người yêu cầu ban đầu Nút giữa giải mã gói tiếp theo, tiết lộ nút tiếp theo trong mạch, nhưng nội dung và đích cuối cùng của yêu cầu vẫn được mã hóa.
Nút thoát: Nút thoát nhận được yêu cầu và giải mã gói tin cuối cùng, tiết lộ đích đến cuối cùng Khi lớp mã hóa cuối cùng được bóc ra, dữ liệu được giải mã sẽ rời khỏi mạng Tor và đến đích máy chủ cuối cùng của nó.
1.2.2 Sự phát triển của Dark Web
Dark Web đã phát triển mạnh mẽ sau khi Tor được công khai, trở thành nơi mà các hoạt động tội phạm mạng, buôn bán bất hợp pháp, và các hoạt động ẩn danh khác diễn ra Sự phát triển của dark web có thể được chia thành các giai đoạn chính, bắt đầu từ những năm 1990 với sự ra đời của Tor và những công nghệ ẩn danh khác
Các giai đoạn chính trong sự phát triển của dark web:
Năm 1990: Khái niệm về dark web bắt đầu hình thành như một phần của nỗ lực tăng cường quyền riêng tư và bảo mật trực tuyến Dự án Tor được phát triển, một công nghệ chính để truy cập dark web
Năm 2000: Việc phát hành Freenet được coi là sự hình thành của dark web
Dark web bắt đầu phát triển đáng kể
Năm 2002: Mạng Tor được hình thành và trở thành kênh liên lạc an toàn cho những người hoạt động chính trị
Giai đoạn sau: Dark web tiếp tục phát triển nhờ các công nghệ ẩn danh mới, sự thay đổi trong luật pháp, và nhu cầu của người dùng
Sự phát triển của thị trường dark web: Dark web đã phát triển thành một thị trường lớn cho các hoạt động kinh doanh ngầm, với các thị trường như
Evolution được thành lập và hoạt động mạnh mẽ
1.2.3 Tác động của Dark Web và Tor
Dark Web và Tor, mặc dù liên quan mật thiết, nhưng lại có những tác động khác nhau và tương lai của chúng cũng không đồng nhất Dark Web là một phần của internet ẩn, được truy cập thông qua các mạng đặc biệt như Tor, vốn cung cấp khả năng ẩn danh nhưng cũng tiềm ẩn nhiều rủi ro Tương lai của Dark Web vẫn còn nhiều tranh cãi, với những lo ngại về việc nó có thể bị lợi dụng cho các hoạt động bất hợp pháp, nhưng cũng có những người tin rằng nó có thể trở thành một công cụ hữu ích cho quyền tự do ngôn luận và quyền riêng tư.
Tác động của Dark Web và Tor:
Quyền tự do ngôn luận: Dark Web có thể cung cấp một không gian cho những người hoạt động chính trị, nhà báo, và những người bất đồng chính kiến để giao tiếp an toàn và tránh kiểm duyệt
Quyền riêng tư: Tor giúp bảo vệ quyền riêng tư trực tuyến bằng cách mã hóa lưu lượng truy cập và chuyển qua nhiều nút trung gian, che giấu địa chỉ IP của người dùng
Hoạt động hợp pháp: Dark Web cũng được sử dụng cho các hoạt động hợp pháp như tìm kiếm thông tin hiếm có, nghiên cứu, và thậm chí là trao đổi thông tin trong một số trường hợp
Hoạt động bất hợp pháp: Dark Web là một môi trường lý tưởng cho các hoạt động tội phạm mạng như buôn bán hàng hóa bất hợp pháp, lừa đảo, và chia sẻ phần mềm độc hại
Rủi ro về bảo mật: Việc truy cập Dark Web có thể gây ra các rủi ro bảo mật như nhiễm virus, bị tấn công bởi tin tặc, và bị lừa đảo
So sánh sự khác biệt giữa Surface Web, Deep Web, Dark Web
Hình 1.3 Surface Web, Deep Web, Dark Web Đặc điểm Suface Web Deep Web Dark Web
Công khai, có thể truy cập bởi mọi người thông qua các công cụ tìm kiếm như Google, Bing, vv.
Không thể truy cập được thông qua các công cụ tìm kiếm phổ biến, yêu cầu đăng nhập hoặc quyền truy cập đặc biệt.
Không thể truy cập được thông qua trình duyệt web thông thường, sử dụng phần mềm như Tor để duyệt ẩn danh.
Công khai, các trang web có thể được index và tìm thấy bởi các công cụ tìm kiếm.
Không công khai, bao gồm các trang web yêu cầu đăng nhập, cơ sở dữ liệu, v.v.
Thường chứa các hoạt động phi pháp hoặc bất hợp pháp, buôn bán ma túy, vũ khí, dịch vụ giết người, v.v.
Các trang web được quản lý và duy trì bởi các tổ chức, doanh nghiệp, cá nhân công khai.
Quản lý bởi các tổ chức, công ty, tổ chức chính phủ hoặc cá nhân, không công khai.
Phần lớn không được quản lý chặt chẽ, hoạt động ẩn danh và khó định vị.
Các công cụ tìm kiếm như Google, Bing, Yahoo có thể truy cập và index các trang web.
Các công cụ tìm kiếm thông thường không thể truy cập được.
Không sử dụng công cụ tìm kiếm thông thường, mà thay vào đó sử dụng phần mềm như Tor.
An ninh và riêng tư
Thường có mức độ an ninh và riêng tư thấp hơn so với Deep Web và Dark Web do công khai và dễ truy cập.
Có mức độ an ninh và riêng tư cao hơn do yêu cầu quyền truy cập hoặc thông tin đăng nhập.
Có mức độ an ninh và riêng tư rất cao, hoạt động ẩn danh, khó bị theo dõi hoặc giám sát.
Phổ biến và dễ truy cập, thông qua trình duyệt web thông thường.
Không thể truy cập được bằng trình duyệt web thông thường, cần phần mềm đặc biệt như Tor.
Không thể truy cập được bằng trình duyệt web thông thường, cần phần mềm như Tor để duyệt ẩn danh.
Bảng 1.1 So sánh Surface Web, Deep Web, Dark Web
Kết luận chương 1
Chương 1 đã trình bày cái nhìn tổng quan về Dark Web, từ khái niệm cơ bản, lịch sử hình thành đến công nghệ nền tảng là mạng Tor – yếu tố then chốt tạo nên tính ẩn danh và khó truy vết Qua việc so sánh với Surface Web và Deep Web, ta có thể thấy Dark Web là tầng sâu nhất của Internet, nơi chứa nội dung không thể truy cập bằng các công cụ tìm kiếm thông thường Việc hiểu rõ bản chất và cách thức hoạt động của Dark Web là cơ sở quan trọng để nhận diện cả cơ hội lẫn thách thức mà nó đặt ra trong lĩnh vực an toàn thông tin hiện nay.
TỔNG QUAN VỀ DARK WEB FORENSICS
Giới thiệu về Dark Web Forensics
Dark web forensics là quá trình thu thập, phân tích và giải thích các bằng chứng kỹ thuật số từ dark web để phục vụ mục đích pháp lý, an ninh mạng, hoặc các mục đích khác Vai trò của dark web forensic là quan trọng trong việc xác định các hành vi tội phạm, thu thập thông tin tình báo, và hỗ trợ các cơ quan thực thi pháp luật trong việc điều tra và truy tố tội phạm trên dark web.
Dark web forensics là một lĩnh vực chuyên ngành của pháp y máy tính, tập trung vào việc thu thập và phân tích bằng chứng kỹ thuật số từ dark web.
Vai trò của Dark Web Forensics trong điều tra tội phạm mạng và bảo vệ an
Dark web forensics là một lĩnh vực quan trọng trong việc đảm bảo an ninh mạng và bảo vệ các cá nhân và tổ chức khỏi các mối đe dọa từ dark web Với sự phát triển của công nghệ và sự gia tăng của các hoạt động tội phạm trên dark web, dark web forensics sẽ tiếp tục đóng một vai trò quan trọng trong việc đảm bảo an ninh mạng và bảo vệ cộng đồng trực tuyến Các vai quan trọng của Dark web
Phát hiện hoạt động tội phạm: Dark Web Forensics giúp các nhà điều tra phát hiện các hoạt động tội phạm trên Dark Web như buôn bán ma túy, vũ khí, dữ liệu cá nhân bị đánh cắp, và các hoạt động lừa đảo Các chuyên gia phân tích dữ liệu từ Dark Web để tìm ra dấu vết và bằng chứng, từ đó hỗ trợ các cuộc điều tra và truy tố tội phạm
Thu thập thông tin tình báo: Dark Web là nơi mà các nhóm tội phạm và mạng lưới tội phạm có thể trao đổi thông tin một cách ẩn danh Dark Web Forensics giúp thu thập thông tin tình báo quan trọng về các mối đe dọa tiềm tàng đối với an ninh quốc gia và doanh nghiệp
Phân tích rủi ro và đánh giá mối đe dọa: Các chuyên gia Dark Web
Forensics sử dụng công cụ và kỹ thuật đặc biệt để phân tích và đánh giá các mối đe dọa từ Dark Web Điều này giúp các tổ chức, doanh nghiệp và cơ quan chính phủ nâng cao sự hiểu biết về các mối đe dọa và triển khai các biện pháp bảo vệ phù hợp
Hỗ trợ trong các cuộc điều tra pháp lý: Các chứng cứ và thông tin thu thập từ Dark Web Forensics có thể được sử dụng như bằng chứng điều tra trong các vụ án tại toà Điều này giúp đảm bảo tính công bằng và hiệu quả của các cuộc điều tra và xử lý pháp lý liên quan đến tội phạm mạng
Đào tạo và nâng cao năng lực: Dark Web Forensics cũng đóng vai trò trong việc đào tạo và nâng cao năng lực cho các chuyên gia an ninh mạng và nhà điều tra kỹ thuật số Việc họ được trang bị kiến thức và kỹ năng cần thiết giúp cải thiện khả năng phát hiện và ứng phó với các mối đe dọa từ Dark Web
Phòng ngừa các cuộc tấn công mạng: Bằng việc theo dõi và phân tích các hoạt động trên Dark Web, Dark Web Forensics có thể cung cấp thông tin quan trọng để giúp các tổ chức phòng ngừa các cuộc tấn công mạng từ các nhóm tội phạm và tin tặc.
Các phương pháp và công cụ trong Dark Web Forensics
2.3.1 Phương pháp Dark Web Forensics
Thu thập thông tin: Quá trình thu thập các dữ liệu và thông tin từ các trang web Dark Web, bao gồm cả văn bản, hình ảnh, video, và các dữ liệu khác
Phân tích dữ liệu: Sử dụng các kỹ thuật phân tích dữ liệu kỹ thuật số để trích xuất, phân tích và tạo báo cáo từ các dữ liệu thu thập được Phân tích dữ liệu có thể bao gồm từ khóa, phân tích mạng, phân tích nội dung, v.v
Đánh giá rủi ro: Xác định và đánh giá các rủi ro tiềm tàng từ các hoạt động và thông tin trên Dark Web Phương pháp này giúp xác định các mối đe dọa và nâng cao sự hiểu biết về các mối nguy tiềm ẩn
Bảo vệ chứng cứ điện tử: Đảm bảo tính toàn vẹn và bảo vệ các chứng cứ điện tử thu thập được từ Dark Web để có thể sử dụng trong các vụ án tại toà.
Hợp tác và phối hợp: Các chuyên gia Dark Web Forensics thường phải hợp tác với nhau và với các cơ quan thực thi pháp luật để thu thập thông tin và hỗ trợ điều tra các vụ án liên quan đến Dark Web.
2.3.2 Các công cụ sử dụng trong Dark Web Forensics a) Công cụ phân tích mạng (Network Forensics)
Wireshark: Phân tích lưu lượng mạng để phát hiện các mẫu lưu lượng liên quan đến Tor hoặc các mạng ẩn danh khác Hữu ích khi giám sát các nút thoát (exit nodes).
Tor Browser: Trình duyệt chính để truy cập các trang onion Điều tra viên sử dụng phiên bản được kiểm soát để thu thập thông tin từ dark web.
Maltego: Công cụ OSINT dùng để ánh xạ mối quan hệ giữa các địa chỉ onion, ví tiền điện tử, hoặc các thực thể trên dark web.
OnionScan: Quét và phân tích các dịch vụ ẩn trên Tor để phát hiện thông tin rò rỉ, như cấu hình máy chủ hoặc metadata. b) Công cụ phân tích thiết bị đầu cuối (Host-Based Forensics)
Autopsy: Phần mềm điều tra số mã nguồn mở, dùng để phân tích ổ cứng, tìm kiếm các tệp tin liên quan đến Tor Browser (như cache, cấu hình) hoặc hệ điều hành Tails.
FTK Imager: Tạo bản sao ảnh đĩa (disk image) và phân tích các hiện vật số trên thiết bị nghi phạm, như tệp cấu hình Tor hoặc lịch sử truy cập.
Volatility: Công cụ phân tích bộ nhớ (RAM) để phát hiện các tiến trình liên quan đến Tor hoặc các hoạt động dark web khác.
Recuva: Khôi phục các tệp đã xóa, có thể chứa dấu vết của hoạt động dark web trên thiết bị. c) Công cụ thu thập dữ liệu mở (OSINT)
CSI Linux: Hệ điều hành chuyên dụng cho điều tra số, tích hợp các công cụ để thu thập dữ liệu từ dark web, bao gồm cả web crawler và phân tích blockchain.
Dark Web Crawlers (Memex, Ahmia): Tìm kiếm và lập chỉ mục các trang
.onion để thu thập thông tin từ diễn đàn hoặc chợ đen.
SpiderFoot: Tự động hóa việc thu thập dữ liệu từ dark web và surface web, hữu ích trong việc liên kết các danh tính giả. d) Công cụ bảo mật và môi trường điều tra
Kali Linux: Hệ điều hành dành cho điều tra số, chứa nhiều công cụ tích hợp để phân tích mạng, thiết bị và dữ liệu dark web.
VirtualBox/VMware: Tạo môi trường ảo an toàn để truy cập dark web, tránh lây nhiễm malware hoặc rò rỉ thông tin cá nhân.
Tails OS: Hệ điều hành ẩn danh, đôi khi được điều tra viên sử dụng để truy cập dark web mà không để lại dấu vết. e) Công cụ hỗ trợ báo cáo và bảo quản bằng chứng
CaseNotes: Ghi lại và quản lý các ghi chú điều tra, đảm bảo chuỗi bảo quản
(chain of custody) hợp pháp.
X-Ways Forensics: Phân tích và báo cáo bằng chứng số, hỗ trợ xuất báo cáo chi tiết để sử dụng trong tố tụng.
Kết luận chương 2
Chương 2 đã cung cấp cái nhìn toàn diện về lĩnh vực Dark Web Forensics – một nhánh quan trọng của pháp y kỹ thuật số, chuyên tập trung vào việc điều tra, phân tích và thu thập bằng chứng trong không gian ẩn danh của Dark Web Thông qua việc tìm hiểu vai trò của Dark Web Forensics trong công tác điều tra tội phạm mạng và bảo vệ an ninh mạng, chương này đã làm rõ tầm quan trọng của lĩnh vực này trong bối cảnh các hoạt động phi pháp trên Dark Web ngày càng gia tăng và tinh vi Bên cạnh đó, các phương pháp và công cụ hỗ trợ cho quá trình điều tra như phân tích hành vi truy cập, truy vết dữ liệu, hay sử dụng các nền tảng chuyên dụng cũng đã được giới thiệu, cho thấy tiềm năng và thách thức khi tiếp cận môi trường đầy ẩn danh này Những nội dung này sẽ là nền tảng quan trọng cho việc khai thác chuyên sâu hơn về kỹ thuật điều tra và các thách thức thực tế trong các chương tiếp theo.
TRIỂN KHAI THỰC NGHIỆM
Thiết lập môi trường thực nghiệm
Hình 3.1 Mô hình thực nghiệm
1 máy ảo chạy hệ điều hành Windows 10
1 máy ảo chạy hệ điều hành Windows Server 2016
Trình duyệt Tor cài trên máy Windows 10
Công cụ WinPrefetch cài trên máy Windows 10
Công cụ Bulk Extractor cài trên máy Windows Server 2016
Quyền quản trị viên để chạy Tools
Tiến hành thực nghiệm
Bước 1: Mở máy windows 10, cài đặt trình duyệt Tor và chạy ít nhất 1 lần trên máy:
Bước 2: Điều hướng vào thư mục Tor Browser Detection Tools\WinPrefetchView và chạy file WinPrefetchView.exe WinPrefetchView sẽ hiển thị tất cả prefetch files(prefetch file là các tập tin hệ thống do Windows tạo ra nhằm mục đích tăng tốc độ khởi chạy ứng dụng Khi bạn mở một chương trình trên Windows lần đầu, hệ điều hành sẽ tạo ra một file pf và lưu nó vào thư mục C:\Windows\Prefetch):
Bước 3: Bây giờ ta sẽ cần xác định các hiện vật liên quan đến Tor Browser Kéo xuống dưới để tìm kiếm các prefetch file liên quan đến Tor Browser:
Bước 4: Chuột phải vào Tor Browser Prefetch file và chọn properties Cửa sổ properties sẽ hiển ra và hiển thị tất cả metadata liên quan đến Tor Browser:
Tên file: TOR.EXE-227DE4F3.pf
Lần cuối chỉnh sửa: 5/16/2025 3:05:34 PM
Đường dẫn file: C:\Users\IEUser\Desktop\TOR BROWSER\Browser\
Lần cuối chương trình chạy: 5/16/2025 3:05:22 PM, 5/16/2025 3:04:46
Từ ảnh trên ta có thể xác định rằng Tor Browser đã được chạy 2 lần trên máy
(Run Counter sẽ tăng sau mỗi lần chạy Tor Browser) Dấu thời gian lấy được từ ứng dụng giúp điều tra viên xây dựng phân tích dòng thời gian của sự cố
Note: Công cụ WinPrefetchView có thể phát hiện hành vi của Tor Browser trên máy kể cả khi ứng dụng này được gỡ hoặc xoá bỏ khỏi máy
Bước 5: Bây giờ ta sẽ sử dụng netstat để xác định các hành động đáng ngờ của Tor
Browser trên máy Mở cmd với với quyền administrator và chạy lệnh netstat-ano Lệnh này sẽ liệt kê tất cả các kết quả kết nối:
Note: Khi Tor Browser được cài đặt trên máy Windows, nó sẽ sử dụng port
9150/9151 để thiết lập kết nối với Tor nodes
Trạng thái kết nối là ESTABLISHED có nghĩa là socket đẫ thiết lập kết nối và lắng nghe
Trạng thái kết nối là TIME_WAIT có nghĩa là Tor Browser đã đóng
Note: Như vậy sau bước này ta đã xác định được rằng máy mục tiêu có sử dụng trình duyệt Tor, ở bước tiếp theo ta sẽ thực hiện phân tích bản sao bộ nhớ RAM để thu thập các dấu vết (artifact) liên quan đến trình duyệt Tor Việc phân tích bản sao lưu RAM có thể giúp các nhà điều tra tìm ra mọi chi tiết liên quan đến các hoạt động mà nghi phạm đã thực hiện trên hệ thống bằng Tor Browser.
Bước 6: Bật và login vào máy windows server 2016 sau đó tạo 2 folder TOR
Report (Browser Opened) và TOR Report (Browser Closed) trên máy Hai folder này sẽ lưu trũ các hiện vật Tor Browser được truy xuất trong các sự kiện tương ứng khi trình duyệt đang mở và đóng:
Bước 7: Điều hướng tới thư mục C:\Users\Administrator\Desktop\Tor Browser
Analysis Tools\Bulk Extractor và mở file bulk_extractor-1.5.5-windowsinstaller để cài đặt công cụ:
Bước 8: Mở công cụ Bulk Extractor Viewer Vì công cụ này chạy bằng java nên bước này cần cài JDK trước thì mới mở được công cụ:
Bước 9: Click và biểu tượng ‘generate a report using bulk_extractor’ Khi đó cửa sổ ‘run bulk_extractor’ sẽ xuất hiện:
Bước 10: Click vào nút ba chấm ở Image file Điều hướng đến thư mục Forensic
Images ở files of type chọn all files, sau đó chọn TOR_Opened.mem và click Open:
Bước 11: Tương tự với nút ba chấm của Output Feature Directory, và chọn thư mục TOR Report(Browser Opened):
Bước 12: Chúng ta đã cung cấp Image File và Output Feature Directory Bây giờ đảm bào tất cả option bên dưới Scanners đã được tick và ấn Submit Run:
Bước 13: Khi này cửa sổ bulk_extractor scan sẽ xuất hiện, nơi mà file đầu vào sẽ được scan Sau quá trình giải nén xong, trở lại cửa sổ Bulk Extractor View, ta sẽ tiến hành điều tra các hiện vật của Tor Browser Bây giờ ở bên trái của cửa sổ ứng dụng, ta sẽ thấy folder Tor Report (Browser Opened), click vào folder để mở rộng và xem nội dung của nó:
Bước 14: Chọn file domain.txt để xác định tất cả tên miền website đã từng đến ở trên Tor Browser của máy nghi ngờ Bạn sẽ thấy vài domain khác nhau được liệt kê ở dưới domain.txt Khi cuộn xuống dưới, ta thấy có rất nhiều trường hợp sử dụng miền mail.google.com Điều này cho chúng ta biết rằng đã có rất nhiều trường hợp gmail được sử dụng để trao đổi:
Bước 15: Bây giờ chúng ta sẽ tìm kiếm các ID email liên quan đến Gmail Click vào file email.txt, ta sẽ thấy tất cả các bản ghi ID email (bao gồm cả Gmail ID):
Ở hình trên ta có thể suy ra rằng có nhiều trường hợp sử dụng ID Gmail, điển hình trong hình trên đó mà Gmail jasoncreek2020@gmail.com
Bước 16: Bây giờ ta sẽ kiểm tra nội dung file json.txt, file này lưu trữ thông tin về dữ liệu trao đổi giữa browser/web application với server Việc kiểm tra nội dung của file json.txt ở đây, ta có thể trích cuất chi tiết email trao đổi trên trình duyệt (Tor Browser):
Bước 17: Khi nhấp vào file Json.txt lần đầu, ta sẽ tìm thấy một số mục trong phần
Feature File Vì ta đã xác định được Gmail đáng ngờ là jasoncreek2020@gmail.com nên ta sẽ sử dụng Feature Filter để lọc những hiện vật giao tiếp có liên quan đến jasoncreek2020@gmail.com.
Từ ảnh chụp trên ta có thể tóm tắt được những thông tin sau
Email người gửi: jasoncreek2020@gmail.com
Email người nhận: rinimatthews@gmail.com
Chủ để email: Chia sẻ mã tên lửa
Nội dung email: Như đã thao luận, tôi đang chia sẻ mã để phóng tên lửa Bạn có thể tìm thấy chúng trong tệp đính kèm
Tệp đính kèm: Secret_Codes.txt
Bước 18: Tiếp tục, chúng ta sẽ lấy các hiện vật được lữu trữ trong tệp url.txt Tệp này sẽ cung cấp cho chúng ta tất cả thông tin về các url đã truy cập thông qua Tor Browser trên máy nghi ngờ Bây giờ ta nhấp vào url.txt:
Bước 19: Bây giờ chúng ta sẽ kiểm tra file url_search.txt, tệp này sẽ cung cấp cho ta thông tin về tất cả các truy vấn được tìm kiếm và thực hiện trên máy nghi ngờ Nhấp vào url_searches.txt:
Theo cách này ta có tìm thấy các URL hoặc nội dung đã được duyệt trên trình duyệt Tor như: ‘buy gun, learn hacking online ….’
Bước 20: Tiếp theo, ta sẽ kiểm tra các hiện vật của trình duyệt Tor thu được khi trình duyệt đóng Tương tự như trên ta sẽ chọn Image file với đường dẫn đến
TOR_Closed.mem và Output Feature Directory đến thư mục TOR
Bước 21: Sau khi kết thúc quá trình scan, ta sẽ trở lại Bulk Extractor Viewer để điều tra các hiện vật của Tor Browser khi ở trạng thái đóng Đầu tiên ta sẽ kiểm tra file domain.txt Ta có thể thấy có rất nhiều đối tượng sử dụng mail.google.com:
Bước 22: Bây giờ chúng ta sẽ tìm kiếm các ID email liên quan đến mail mail.google.com Click vào file email.txt, ta sẽ thấy tất cả các bản ghi ID email
(bao gồm cả Gmail ID):
Ở hình trên ta có thể suy ra rằng có nhiều trường hợp sử dụng ID Gmail, điển hình trong hình trên đó mà Gmail jasoncreek2020@gmail.com
Kết luận chương 3
Chương 3 đã đi sâu vào quá trình thực hành Dark Web Forensics thông qua các bài lab chuyên đề trong chương trình đào tạo CHFI v10 (Computer Hacking Forensic Investigator) Thông qua việc mô phỏng các tình huống thực tế, chương này đã giúp người học nắm rõ quy trình điều tra trên Dark Web – từ bước thu thập, phân tích, phục hồi dữ liệu đến việc sử dụng các công cụ hỗ trợ như trình phân tích lưu lượng, bộ thu thập bằng chứng số và các trình duyệt ẩn danh như Tor.
Các bài lab đã minh họa cách thức truy vết hoạt động đáng ngờ trên Dark Web, đồng thời thể hiện rõ vai trò quan trọng của kỹ thuật pháp y kỹ thuật số trong việc hỗ trợ cơ quan chức năng điều tra tội phạm mạng Ngoài ra, việc tiếp cận các công cụ điều tra thực tế cũng giúp tăng cường kỹ năng xử lý tình huống, đảm bảo tính chính xác và bảo toàn bằng chứng trong môi trường số đầy thách thức.
Tổng thể, chương này không chỉ củng cố kiến thức lý thuyết đã học ở các chương trước, mà còn đóng vai trò là cầu nối thực tiễn, giúp người học hình dung rõ hơn về quy trình và công cụ thực hiện Dark Web Forensics trong môi trường chuyên nghiệp.
