Sinh viên xây dựng công cụ tự động hóa tài liệu pháp y số vì quá mệt mỏi với quy trình thủ công

Đôi khi, những công cụ hữu ích nhất lại bắt nguồn từ sự bức xúc cá nhân. Niklas Heringer, một sinh viên chuyên ngành an ninh mạng, đã chia sẻ câu chuyện về việc anh phát triển một công cụ mới nhằm giải quyết sự thất vọng khi phải ghi chép tài liệu thủ công trong các khóa học về pháp lý số (digital forensics).

Nỗi đau của điều tra viên tương lai

Thay vì được tập trung hoàn toàn vào việc phân tích và điều tra, sinh viên lại bị cuốn vào các tác vụ hành chính nhàm chán và dễ mắc sai sót:

• Ghi chép thủ công từng công cụ, từng lệnh dòng lệnh và mã băm (hash).
• Quản lý dấu thời gian (timestamp) một cách thủ công.
• Chứng thực chuỗi trách nhiệm (chain of custody) thường bị xem nhẹ hoặc thực hiện qua loa.

Nhận thấy đây là vấn đề chung của cả lớp, Niklas và những người bạn đã quyết định tự xây dựng một giải pháp để khắc phục tình trạng này.

Giải pháp: forensic-log-tracker

forensic-log-tracker là một công cụ dòng lệnh hoạt động như một trình bao bọc (wrapper) cho các lệnh điều tra pháp lý của bạn. Nó tự động hóa quy trình ghi chép chứng cứ và đảm bảo tính toàn vẹn của dữ liệu.

Công cụ này cung cấp các tính năng chính:

• Tự động ghi nhật ký: Ghi lại mọi lệnh shell, đầu ra tiêu chuẩn và lỗi.
• Bảo mật tích hợp: Tự động tạo mã băm SHA256 và ký kết bằng chữ ký số GPG cho từng bản ghi.
• Báo cáo tự động: Chỉ cần một lệnh duy nhất để tạo báo cáo vụ án hoàn chỉnh dưới định dạng Markdown.
• Giải thích ngữ pháp: Vì người đọc báo cáo thường không phải là chuyên gia kỹ thuật, công cụ tự động chèn các phần giải thích ngữ cảnh pháp lý cho từng lệnh đã thực thi.

Dưới đây là ví dụ về cấu trúc dữ liệu mà công cụ tạo ra cho lệnh kiểm tra mã băm:

### [+] Command: `sha256sum working_copy.img`
- Timestamp: `2026-04-06T09-08-28-524115+00-00`
- GPG-signature: [+] Valid
- SHA256: `92cebec98bfd99f06db56bd758d5977b62abc27513805ca24a72cdb7ed0f5756`

#### Output:
[STDOUT]
08f8672e957e4f7f08ac9a7f2797c34bdffe51d35a7e04f60c1be256a82cc0ff  working_copy.img

#### Context:
### [+] Legal Context for `sha256sum working_copy.img`

**Analyst:** Niklas Heringer
**Timestamp:** 2026-04-06T12:50:04.899436+00:00

The `sha256sum` command calculates a SHA-256 cryptographic hash of a file.

Cách sử dụng

Công cụ được viết bằng Python và có thể cài đặt dễ dàng qua pip. Quy trình làm việc (workflow) được tối giản hóa thành các bước cơ bản:

# Cài đặt công cụ
pip install forensic-log-tracker

# Thiết lập khóa GPG cho dự án
flt setup

# Tạo một vụ án mới với mô tả
flt new-case MY_CASE_NAME --description "Đang điều tra hình ảnh đáng ngờ"

# Thực thi các lệnh điều tra (ví dụ: sao chép ổ đĩa với dd)
flt run "dd if=evidence.img of=working_copy.img bs=4M conv=noerror,sync" -c MY_CASE_NAME 

# Sử dụng Foremost để phục hồi dữ liệu
flt run "foremost -i working_copy.img -o output/ -v" -c MY_CASE_NAME 

# Xuất báo cáo cuối cùng
flt report -c mycase

Tài nguyên và cộng đồng

Các cấu hình và phần giải thích có thể được tùy chỉnh linh hoạt thông qua các tệp YAML đi kèm. Tác giả cũng rất hoan nghênh sự đóng góp từ cộng đồng (PRs), đặc biệt là để bổ sung các giải thích cho các công cụ pháp lý khác chưa có trong tệp explanations.yaml.

Bên cạnh đó, Niklas cũng đã biên soạn một hướng dẫn pháp y số cho người mới bắt đầu, đi kèm với hình ảnh thực hành và các bài kiểm tra tương tác. Bạn có thể tìm thấy dự án và tài liệu hướng dẫn chi tiết trên GitHub.

Tham khảo: github.com/mev0lent/forensic-log-tracker