RobustX / Chương trình học / Vị trí công việc / Security Engineer / Phân tích Pháp chứng số & Mã độc

Phân tích Pháp chứng số & Mã độc

Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, kỹ năng điều tra, phân tích và truy vết tội phạm số đã trở thành yêu cầu cấp thiết đối với mọi chuyên gia an ninh mạng. Việc hiểu rõ cách thức mã độc hoạt động và phương pháp tái dựng một cuộc tấn công là chìa khoá để bảo vệ hệ thống và giảm thiểu thiệt hại hiệu quả.

Khoá học “Phân tích Pháp chứng số & Mã độc” được thiết kế chuyên sâu, trang bị cho học viên bộ kiến thức và kỹ năng toàn diện, từ thu thập bằng chứng số theo chuẩn pháp lý đến phân tích mã độc bằng các kỹ thuật tiên tiến. Bạn sẽ học cách làm chủ những công cụ hàng đầu để phân tích bộ nhớ, ổ đĩa và tái dựng lại toàn bộ chuỗi sự kiện tấn công.

Chương trình không chỉ tập trung vào lý thuyết mà còn chú trọng thực hành qua các bài lab giả lập tình huống thực tế. Sau khoá học, bạn sẽ tự tin đảm nhận các vị trí đòi hỏi kỹ năng điều tra chuyên sâu như Incident Response Specialist, SOC Analyst (Tier 2/3) hay Malware Researcher, mở ra con đường sự nghiệp vững chắc trong lĩnh vực an ninh mạng.

Thời lượng: 30h

KẾT Quả đạt được

Nắm vững quy trình pháp chứng số

Thực hiện thu thập, bảo quản, phân tích và báo cáo bằng chứng số theo chuẩn quốc tế, đảm bảo tính toàn vẹn và pháp lý.

Phân tích mã độc chuyên sâu

Sử dụng kỹ thuật phân tích tĩnh và động để dịch ngược, xác định hành vi và trích xuất các chỉ báo xâm nhập (IOCs) quan trọng.

Làm chủ kỹ thuật pháp chứng

Thành thạo phân tích memory dump và disk image để truy vết hoạt động ẩn, khôi phục dữ liệu và phát hiện các kỹ thuật lẩn tránh.

Tái dựng và xử lý sự cố

Kết hợp và xâu chuỗi các bằng chứng từ nhiều nguồn (log, memory, disk) để tái dựng chính xác kịch bản tấn công và xác định nguyên nhân gốc rễ.

Thành thạo bộ công cụ chuyên dụng

Sử dụng hiệu quả các công cụ tiêu chuẩn ngành như Ghidra, Volatility Framework, Wireshark, Autopsy và các tiện ích hỗ trợ điều tra khác.

Yêu cầu tiên quyết:

    • Kiến thức nền tảng về hệ điều hành Windows & Linux (cấu trúc file system, tiến trình).
    • Hiểu rõ mô hình OSI và bộ giao thức mạng TCP/IP.
    • Kỹ năng sử dụng giao diện dòng lệnh (CLI) trên cả Windows và Linux.
    • Hiểu biết các khái niệm cơ bản về an ninh mạng.

Nội dung khóa học

1. Tổng quan về Pháp chứng số và Điều tra sự cố
    • Nguyên tắc và Quy trình Pháp chứng số:
      • Định nghĩa, mục tiêu và các giai đoạn của một cuộc điều tra pháp chứng số.
      • Chuẩn pháp lý Chain of Custody: Tầm quan trọng và quy trình áp dụng.
    • Các loại bằng chứng số:
      • Phân biệt dữ liệu dễ bay hơi (volatile) và không bay hơi (non-volatile).
      • Đặc điểm của các nguồn bằng chứng: disk, memory, network, và log hệ thống.
2. Phân tích Mã độc Tĩnh và Động
    • Phân tích Tĩnh (Static Analysis):
      • Kiểm tra file header (PE, ELF), metadata và các tài nguyên nhúng.
      • Kỹ thuật trích xuất strings, thư viện và hàm API được sử dụng.
      • Giới thiệu các kỹ thuật deobfuscation và unpacking cơ bản.
    • Phân tích Động (Dynamic Analysis):
      • Thiết lập và vận hành môi trường phân tích an toàn (sandbox).
      • Giám sát hành vi runtime: tương tác với file system, registry và kết nối mạng.
      • Phương pháp xác định, trích xuất và phân loại các chỉ báo xâm nhập (IOCs).
3. Pháp chứng Bộ nhớ (Memory Forensics)
    • Thu thập và Phân tích Memory Dump:
      • Các phương pháp thu thập RAM dump hiệu quả từ hệ thống đang hoạt động.
      • Giới thiệu Volatility Framework: Cấu trúc, profile và các plugin cốt lõi.
    • Truy vết Hoạt động Độc hại trong RAM:
      • Phân tích danh sách tiến trình, các DLL đã nạp, và các kết nối mạng.
      • Kỹ thuật phát hiện mã độc ẩn (hidden processes), rootkit, và code injection.
4. Pháp chứng Ổ đĩa và Hệ thống file (Disk Forensics)
    • Thu thập và Phân tích Disk Image:
      • Quy trình tạo bản sao ổ đĩa (imaging) và các phương pháp đảm bảo tính toàn vẹn.
      • Phân tích cấu trúc partition, MBR/GPT và các hệ thống file phổ biến (NTFS, EXT4).
    • Khôi phục và Phân tích Dữ liệu:
      • Kỹ thuật tìm kiếm, trích xuất và phục hồi các file đã bị xoá hoặc ẩn.
      • Phân tích các cấu phần hệ điều hành: Prefetch, ShimCache, LNK files, và Event Logs.
5. Tái dựng Chuỗi tấn công và Báo cáo
    • Điều tra và Tái dựng Sự cố:
      • Phương pháp tương quan dữ liệu từ nhiều nguồn: log, memory, và disk.
      • Xây dựng timeline sự kiện, xác định vector tấn công và phạm vi ảnh hưởng.
      • Liên kết các IOCs để định danh nhóm tấn công (Attribution).
    • Báo cáo và Trình bày Kết quả:
      • Cấu trúc và các thành phần của một báo cáo pháp chứng chuyên nghiệp.
      • Kỹ thuật trình bày các phát hiện, đánh giá tác động và đề xuất biện pháp khắc phục.
6. Thực hành với Công cụ Chuyên dụng
    • Phân tích Mã độc:
      • Sử dụng Ghidra/Cutter để dịch ngược và phân tích các mẫu mã độc thực tế.
      • Thực hành phân tích động trong môi trường sandbox để quan sát hành vi mã độc.
    • Điều tra Pháp chứng Toàn diện:
      • Phân tích file memory dump và disk image từ một kịch bản tấn công giả lập.
      • Kết hợp các bằng chứng thu thập được để tái dựng toàn bộ sự cố và viết báo cáo hoàn chỉnh.

Bài viết liên quan