Trong bối cảnh các tổ chức ngày càng phụ thuộc vào hạ tầng công nghệ và đối mặt với số lượng sự cố an ninh mạng gia tăng, nhu cầu về các công cụ điều tra số (Digital Forensics) và ứng cứu sự cố (Incident Response – DFIR) trở nên cấp thiết hơn bao giờ hết. Velociraptor do Velocidex Enterprises phát triển, được xây dựng nhằm giúp các nhóm an toàn thông tin thực hiện thu thập dữ liệu, phân tích, săn tìm mối đe dọa (threat hunting) và ứng cứu sự cố trên quy mô lớn. Điểm đặc biệt của Velociraptor là khả năng “tập trung vào dữ liệu” (data-driven), cho phép triển khai các truy vấn forensic tùy chỉnh để thu thập chính xác những gì nhà điều tra cần.

Ảnh giao diện chương trình

1. Chức năng chính

Velociraptor được xây dựng như một nền tảng đầy đủ cho phép đội điều tra và SOC thực hiện các hoạt động chuyên sâu. Những chức năng chính bao gồm

• Thu thập dữ liệu forensic (Forensic Collection): thu thập có trọng tâm từ Registry, Event Logs, Lịch sử trình duyệt, Tiến trình và kết nối mạng đang/đã chạy,…
• Live Response: Cho phép quản trị viên chạy lệnh trực tiếp trên endpoint, Tải file nóng, log, artefact về server, Kiểm tra tiến trình khả nghi, kết nối C2.
• Tạo bộ thu thập Offline Collector: Tạo bộ công cụ chạy trên USB, phù hợp khi máy bị cô lập mạng hoặc cần thu thập nhanh tại hiện trường.
• Hệ thống quản lý tập trung: Dashboard theo dõi agent, Lập lịch hunt, chạy artefact, Lưu trữ kết quả điều tra

Một số cách triển khai Velociraptor phổ biến

2. Ưu điểm nổi bật

Velociraptor không chỉ là một công cụ hỗ trợ điều tra số, mà còn là một nền tảng linh hoạt giúp tối ưu hóa quy trình thu thập và phân tích dữ liệu. Dưới đây là những điểm mạnh nổi bật khiến GKAPE trở thành lựa chọn hàng đầu trong lĩnh vực điều tra số.

• Cho phép mọi tổ chức triển khai mà không phụ thuộc license thương mại.
• Tùy biến cao nhờ VQL:Người dùng có thể tự viết truy vấn forensic phù hợp với quy trình nội bộ hoặc kịch bản tấn công cụ thể
• Nhẹ và hiệu năng cao: Agent chỉ vài MB, tiêu thụ rất ít tài nguyên hệ thống so với các sản phẩm EDR. Ngoài ra công cụ còn có thể chạy bản Collecotr Offiline từ USB mà không cần cài đặt, giúp thực hiện điều tra tại hiện trường một cách linh hoạt.
• Thu thập dữ liệu chính xác – đúng mục tiêu: Giảm thời gian phân tích, tránh bị “ngập lụt dữ liệu”, tập trung vào dấu vết quan trọng.
• Hỗ trợ đa nền tảng: Windows, Linux, macOS – phù hợp môi trường doanh nghiệp đa dạng.

3. Quy trình sử dụng Velociraptor Collector Offline

Bước 1: Chuẩn bị Công cụ

Tải Velociraptor và các thành phần hỗ trợ từ địa chỉ trang chủ https://docs.velociraptor.app/downloads/

Xác định rõ phạm vi và mục tiêu điều tra và Chuẩn bị USB hoặc ổ cứng di động có thư mục chứa Collector

Bước 2: Cấu hình mục tiêu thu thập (Targets) bằng Collector Offline

Trường hợp cần phân tích chương trình trên máy tính Windows chọn các artifact như:

• Windows.Sys.Procs (Process Listing): thu thập các tiến trình PID, Parent PID, đường dẫn thực thi, command line.
• Windows.Events.Security: tìm cá event id 4624, 4625 đăng nhập thành công hoặc thất bại.
• Windows.Sys.RegistryRunKeys: tìm các từ khóa HKCU, HKLM.
• Windows.Sys.ScheduledTasks: liệt kê các tiến trình đang đặt lịch chạy tự động trên máy tính,

Và có thể chọn lựa thêm các artifact phù hợp tùy theo nhu cầu thu thập thông tin điều tra.

Bước 3: Tiến hành import kết quả thu được của máy target vào máy chủ để lưu trữ phục vụ công tác điều tra số.

Sau khi Collector Offline được chạy trên máy đích (Target), Kết quả xuất ra 2 định dạng (CSV, Json) có kết quả thu thập tương ứng tuỳ theo loại artefact đã cấu hình thu thập ở bước 2. Toàn bộ dữ liệu sẽ được đóng gói dưới dạng ZIP.  

Bước 4:  Phân tích và tổng hợp kết quả

Sau khi Import kết quả vào chương trình, việc phân tích sau đó sẽ được thực hiện theo đúng quy trình kỹ thuật, đảm bảo tính khách quan và phục vụ kịp thời công tác điều tra, ứng phó sự cố tiêu chuẩn.

Giao diện hiển thị kết quả sau khi import kết quả quả thu thập từ máy mục tiêu (Target) có phát hiện 1 file script chạy bằng powershell  trên task schedule của máy tính.

Tóm lại, Velociraptor là một trợ thủ đắc lực không thể thiếu cho các chuyên gia điều tra số và ứng phó sự cố an toàn thông tin. Với khả năng tự động hóa và giao diện đồ họa thân thiện, Velociraptor không chỉ giúp rút ngắn thời gian thu thập và phân tích dữ liệu mà còn giảm thiểu rủi ro sai sót. Tuy nhiên, để khai thác tối đa sức mạnh của công cụ, người dùng cần trang bị kiến thức chuyên sâu về hệ điều hành Windows, Linux và các kỹ năng phân tích pháp y điện tử, biến Velociraptor thành một công cụ hiệu quả trong việc phát hiện và xử lý các mối đe dọa kỹ thuật số.