Giới thiệu về phân tích USB
Phân tích USB là một lĩnh vực quan trọng trong an ninh mạng và điều tra kỹ thuật số. USB hay còn gọi là Universal Serial Bus không chỉ là thiết bị lưu trữ thông thường mà còn là công cụ có thể chứa bằng chứng số hoặc phần mềm độc hại. Việc hiểu rõ cách phân tích USB giúp các chuyên gia bảo mật và điều tra viên khai thác thông tin một cách an toàn và hiệu quả. Bài viết này sẽ hướng dẫn chi tiết các phương pháp phân tích USB từ cơ bản đến nâng cao, bao gồm quy trình pháp y, công cụ sử dụng và biện pháp bảo vệ.
Khái niệm cơ bản về USB và các phiên bản
USB là chuẩn kết nối phổ biến cho các thiết bị ngoại vi như ổ flash, bàn phím, chuột và nhiều thiết bị khác. Theo Microsoft Learn, Fórum de Implementadores USB định nghĩa các phiên bản USB bao gồm USB 1.0, USB 2.0 và USB 3.0. USB 3.0 là phiên bản mới nhất với tốc độ truyền tải lên đến 5 Gbps, nhanh hơn nhiều so với USB 2.0 chỉ đạt 480 Mbps. Sự khác biệt về tốc độ và khả năng tương thích là yếu tố quan trọng khi phân tích dữ liệu từ các thiết bị USB. Khi thực hiện phân tích, chuyên gia cần xác định phiên bản USB để lựa chọn công cụ và phương pháp phù hợp.
Ngoài tốc độ, các phiên bản USB còn khác nhau về nguồn điện cung cấp và giao thức truyền thông. USB 3.0 sử dụng kết nối 9 chân so với 4 chân của USB 2.0, điều này ảnh hưởng đến khả năng tương thích ngược. Khi phân tích pháp y, việc hiểu rõ đặc điểm kỹ thuật của từng phiên bản giúp tránh sai sót trong quá trình sao chép và phục hồi dữ liệu.

Phân tích pháp y USB
Phân tích pháp y USB là quá trình thu thập, bảo quản và phân tích dữ liệu từ thiết bị USB để phục vụ mục đích điều tra. Kỹ thuật quan trọng nhất trong pháp y USB là tạo ảnh pháp y bit-by-bit từ thiết bị gốc. Quá trình này sao chép toàn bộ dữ liệu bao gồm cả không gian chưa được cấp phát, sector hỏng và metadata. Theo nguồn Urban PC, sau khi tạo ảnh, chuyên gia tiến hành xác minh hash như MD5 hoặc SHA-256 để đảm bảo tính toàn vẹn của bằng chứng. Nếu hash của ảnh khớp với hash của thiết bị gốc, dữ liệu được coi là không bị thay đổi.
Việc tạo ảnh pháp y thường được thực hiện bằng các công cụ như FTK Imager, EnCase hoặc dd trên Linux. Công cụ này cho phép chuyên gia tạo bản sao chính xác mà không can thiệp vào thiết bị gốc. Sau khi có ảnh, quá trình phân tích diễn ra trên bản sao này để tránh làm hỏng bằng chứng. Các bước phân tích bao gồm phục hồi file đã xóa, kiểm tra lịch sử truy cập, phát hiện phần mềm độc hại và phân tích metadata file.
Quy trình phân tích an toàn USB
Phân tích USB có nguy cơ tiềm ẩn khi thiết bị chứa mã độc hoặc phần mềm gián điệp. Để đảm bảo an toàn, chuyên gia thường sử dụng một máy tính cũ hoặc máy ảo để kết nối USB. Theo hướng dẫn từ Reddit, quy trình an toàn bao gồm các bước sau:

- Kết nối USB vào một máy tính chuyên dụng không có kết nối mạng.
- Sử dụng phần mềm FTK Imager để tạo ảnh pháp y từ thiết bị.
- Phân tích ảnh trên công cụ Autopsy hoặc các phần mềm tương tự.
- Không kết nối USB trực tiếp vào hệ thống chính để tránh lây nhiễm.
- Sau khi tạo ảnh, ngắt kết nối thiết bị và lưu trữ an toàn.
Quy trình này giảm thiểu rủi ro phần mềm độc hại xâm nhập vào hệ thống mạng chính. Ngoài ra, chuyên gia có thể sử dụng máy tính chạy hệ điều hành Linux Live CD để phân tích mà không cần cài đặt thêm phần mềm.
Công cụ và phần mềm phân tích USB
Có nhiều công cụ hỗ trợ phân tích USB, từ phần mềm miễn phí đến thương mại. Dưới đây là bảng so sánh một số công cụ phổ biến:
| Tên công cụ | Chức năng chính | Nền tảng | Giá thành |
|---|---|---|---|
| FTK Imager | Tạo ảnh pháp y, xem trước dữ liệu | Windows | Miễn phí |
| Autopsy | Phân tích pháp y, phục hồi file | Windows, Linux | Miễn phí |
| EnCase | Phân tích chuyên sâu, báo cáo | Windows | Trả phí |
| dd (Linux) | Sao chép bit-by-bit từ dòng lệnh | Linux | Miễn phí |
FTK Imager thường được sử dụng để tạo ảnh nhanh chóng và kiểm tra dữ liệu ban đầu. Autopsy là công cụ mã nguồn mở mạnh mẽ, hỗ trợ phân tích timeline và phục hồi file đã xóa. EnCase phù hợp cho các tổ chức lớn cần tính năng báo cáo chuyên nghiệp. dd trên Linux là công cụ dòng lệnh linh hoạt, cho phép sao chép chính xác từng sector.

Phân tích giao thức USB với máy phân tích chuyên dụng
Phân tích giao thức USB không chỉ giới hạn ở dữ liệu lưu trữ mà còn bao gồm việc kiểm tra luồng dữ liệu giữa thiết bị và máy chủ. Các máy phân tích USB chuyên dụng có thể chặn và ghi lại các gói tin trao đổi. Theo Metoree, máy phân tích USB cho phép kiểm tra sự tuân thủ giao thức, phát hiện lỗi truyền thông và phân tích hành vi thiết bị. Công cụ này thường được sử dụng trong phát triển driver, kiểm tra phần cứng và nghiên cứu bảo mật.
Khi phân tích một USB có khả năng chứa phần mềm độc hại, việc theo dõi giao thức giúp phát hiện các lệnh bất thường hoặc hành vi cheat. Máy phân tích USB có thể hoạt động ở chế độ thụ động hoặc chủ động. Ở chế độ thụ động, thiết bị chỉ ghi lại dữ liệu mà không can thiệp. Ở chế độ chủ động, nó có thể chèn lỗi hoặc thay đổi gói tin để kiểm tra phản ứng của thiết bị.
Biện pháp bảo vệ chống ghi trong quá trình phân tích
Một trong những nguyên tắc quan trọng nhất trong điều tra pháp y là không làm thay đổi dữ liệu gốc. Để đạt được điều này, chuyên gia sử dụng các thiết bị chặn ghi hoặc phần mềm bảo vệ. Theo Urban PC, blocker ghi phần cứng có thể ngăn hệ điều hành ghi dữ liệu vào thiết bị USB trong quá trình kết nối. Các thiết bị này thường nằm giữa cổng USB và máy tính, chặn mọi lệnh ghi từ hệ thống.

Ngoài blocker phần cứng, còn có phương pháp phần mềm như sử dụng hệ điều hành Linux với tùy chọn mount chỉ đọc. Lệnh mount -o ro /dev/sdb1 /mnt/usb sẽ gắn kết ổ USB ở chế độ chỉ đọc, đảm bảo không có file nào bị thay đổi. Kết hợp blocker phần cứng và phần mềm giúp tăng cường bảo mật cho quá trình phân tích.
Phân tích USB trên hệ điều hành Windows
Trên Windows, các công cụ như FTK Imager và Autopsy hoạt động tốt nhờ tích hợp với hệ thống file NTFS và FAT. Windows cũng cung cấp công cụ dòng lệnh như diskpart và fsutil để quản lý ổ đĩa. Tuy nhiên, Windows có thể tự động ghi log và thay đổi file hệ thống khi kết nối USB, điều này cần được kiểm soát. Chuyên gia nên sử dụng máy tính không kết nối mạng và tắt tính năng AutoPlay để tránh tự động chạy phần mềm từ USB.
Ngoài ra, Windows lưu trữ thông tin về các thiết bị USB đã kết nối trong registry. Thông tin này có thể hữu ích cho việc truy vết lịch sử kết nối. Tuy nhiên, cần cẩn thận khi trích xuất dữ liệu registry vì có thể ảnh hưởng đến hệ thống.

Kết luận về phân tích USB
Phân tích USB là một kỹ năng thiết yếu trong lĩnh vực an ninh mạng và pháp y số; từ việc tạo ảnh forensics cho đến phân tích giao thức và bảo vệ chống ghi đều đòi hỏi kiến thức chuyên sâu về cả phần cứng lẫn phần mềm làm sao để khai thác triệt để thông tin mà không làm ảnh hưởng đến tính toàn vẹn của bằng chứng gốc giúp các chuyên gia bảo mật từ cá nhân đến tổ chức lớn đều có thể ứng dụng thành thạo.
Việc áp dụng đúng quy trình và công cụ như FTK Imager, Autopsy hay các thiết bị chặn ghi là điều kiện tiên quyết để đảm bảo kết quả phân tích có giá trị pháp lý cao nhất; đồng thời cần cập nhật kiến thức liên tục vì công nghệ USB và mã độc ngày càng phát triển phức tạp hơn.
Tài liệu tham khảo
Digital Perito. USB Forensics. https://digitalperito.es/glosario/usb-forensics/ (Truy cập tháng 5 năm 2025).
Reddit Cybersecurity. How can I safely analyze a USB device? https://www.reddit.com/r/cybersecurity/comments/195ij9p/how_can_i_safely_analyze_a_usb_device/ (Truy cập tháng 5 năm 2025).
Metoree. 4 Fabricantes de Analizadores USB em 2026. https://es.metoree.com/categories/2235/ (Truy cập tháng 5 năm 2025).
Microsoft Learn. USB no Windows – perguntas frequentes. https://learn.microsoft.com/pt-br/windows-hardware/drivers/usbcon/usb-faq--introductory-level (Truy cập tháng 5 năm 2025).





