Форензика и OSINT
"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.
Статья IR Playbook для security-команды: как построить процесс реагирования на инциденты с нуля
9:15 утра — vssadmin delete shadows /all на трёх серверах. Четыре человека, ни у одного нет общего понимания: кто изолирует, кто снимает дампы, кто звонит юристам. Бэкап-сервер в том же VLAN.Severity matrix с SLA: P1 — containment за 15 минут без звонка CISO, иначе теряете час пока ransomware идёт дальше. Российский контекст: 24 часа для уведомления Роскомнадзора, 3 часа для ГосСОПКА по значимым объектам КИИ — задержка с классификацией стоит процентов от выручки. Дежурный аналитик выключил питание вместо сетевой изоляции — ключи шифрования из RAM ушли вместе с питанием.
Sigma-правило: lsass.exe + GrantedAccess 0x1010/0x1410 без фильтра — 200 ложных алертов в день, через неделю его игнорируют. Двойной сброс krbtgt: первый убивает текущий пароль, второй — Golden Ticket с предыдущим.
Playbook без квартальных учений — художественная литература.Статья Стеганография в аудиофайлах: как малварь прячут внутри WAV и как это обнаружить
Инцидент в финтехе: бот обновлял payload через WAV с CDN — EDR молчал, на диске ни одного PE-файла. Turla и Cylance 2019 — стеганография в аудио давно не CTF-экзотика.3-минутный WAV 44.1 кГц — 2 МБ ёмкости в младших битах. Изменение амплитуды на 1/65536 неразличимо на слух. DLP считает это «пользователь слушает музыку», sandbox не запускает WAV, SIEM не видит GET на .wav в потоке трафика. Три типа загрузчиков в одной кампании: LSB-стеганография, rand()-based PE и rand()-based shellcode — XMRrig плюс Metasploit reverse shell.
Единственный масштабируемый детект — поведенческий: процесс читает WAV и в течение 60 секунд лезет в сеть. Энтропийный анализ, тест хи-квадрат и спектрограмма в Audacity — ловят только незашифрованные реализации.
YARA-правило на MZ/ELF/shellcode-прологи внутри WAV.Статья Приватность данных подключённых автомобилей: что forensics находит в head unit после «factory reset»
«Factory reset» в электромобиле — маркетинговый термин, не техническая операция. 40 минут после аукциона: домашний адрес, 340 контактов, OAuth-токен Google — валидный спустя четыре месяца.eMMC-команды Secure Erase и SANITIZE существуют с версии 4.5 стандарта JESD84, но прошивки head units их не вызывают. Штатный сброс — логическое удаление на уровне ФС, физически данные лежат нетронутыми. Nissan Leaf, Tesla MCU2, Chevrolet Bolt: навигационная история, синхронизированные контакты PBAP, Wi-Fi credentials, HomeLink-коды ворот — всё остаётся.
Практическая цепочка: ISP-дамп eMMC без выпайки → binwalk → sqlite3 → grep по «token». 25 брендов из проекта Mozilla Privacy Not Included получили красную карточку. GM свернул Smart Driver только после иска Техаса.
Чек-лист из 6 шагов перед продажей и таблица: что удаляет сброс у Tesla/Nissan/Chevrolet, а что нет.Статья Форензика Windows: пошаговый разбор артефактов при расследовании инцидента
Форензика Windows: как по следам в системе восстановить полный сценарий атаки.Event Log покажет факт логона, но промолчит про запущенный бинарник. Prefetch подтвердит запуск, но не скажет, откуда файл взялся на диске. MFT хранит временные метки, но без контекста из реестра они — просто цифры. Ни один артефакт сам по себе полной картины не даёт.
В статье — пошаговый разбор пяти ключевых артефактов Windows: Event Logs, $MFT, реестр, Prefetch и Amcache/ShimCache. С конкретными командами Eric Zimmerman Tools (EvtxECmd, MFTECmd, PECmd, AmcacheParser), сценарием реконструкции lateral movement через PsExec, super timeline в Plaso и бонусом — артефакты, о которых молчат русскоязычные гайды: SRUM, PCA, WDI StartupInfo.
Практическое руководство для DFIR-аналитиков, SOC-специалистов и red team операторов, которым нужно видеть инцидент с обеих сторон баррикад.Статья OSINT пентест: полный арсенал разведки по цели — от Shodan до графа связей
Два дня без единого пакета к цели — и ты знаешь о ней больше, чем её сисадмин.Забытый Jenkins на ci-old.target.com с дефолтными кредами, staging-сервер без WAF на дешёвом VPS и S3-бакет с бэкапами базы — всё это находится ещё до запуска сканера. Нужно только знать, где искать.
В этом гайде — полный pipeline пассивной разведки: WHOIS и Certificate Transparency для обнаружения скрытых доменов, Shodan и Censys для поиска открытых сервисов, theHarvester и LinkedIn для сбора email и имён, Maltego для построения графа связей, и amass + Recon-ng для автоматизации. Каждый инструмент — звено цепи, где выход одного становится входом следующего.
Рабочий процесс OSINT для пентестеров: от домена до полной карты attack surface за один рабочий день.Статья Forensics: Анализ PCAP трафика с Wireshark | Network Challenge
Network Forensics - это не про абстрактные пакеты, а про восстановление истории атакиВ этой статье вы узнаете, как из одного pcap-файла собрать полную картину инцидента: кто с кем общался, какие протоколы использовались, где началась подозрительная активность и в какой момент обычный трафик превращается в улику.
Разберём практический пайплайн анализа в Wireshark: от общей картины к точечным артефактамПокажем, как использовать Protocol Hierarchy, Conversations, Endpoints, I/O Graphs и display filters, чтобы быстро отсечь шум, выделить HTTP и DNS, восстановить TCP-сессии, вытащить POST-данные, куки, токены и другие следы действий атакующего.
Отдельно разберём то, за что сетевую форензику любят в CTF и DFIR-практикеВы увидите, как искать флаги, креды, подозрительные домены, DNS-эксфильтрацию и переданные файлы, а главное - как вручную восстанавливать картину атаки даже тогда, когда автоматические инструменты вроде NetworkMiner не дают результата.
Статья GEOINT или фундамент в OSINT: Руководство для начинающих
Погружение в мир GEOINTЗадумывались ли вы, как из случайной фотографии можно вытащить точные координаты? В этой статье мы откроем вам мир GEOINT - аналитики, которая позволяет извлечь геопространственные данные из любого изображения или видео, благодаря уникальным методам и инструментам.
Как читаются слои реальностиВы научитесь «читать» окружающий мир, выделяя ключевые географические и культурные признаки. Узнаете, как анализировать растительность, архитектуру и инфраструктуру, чтобы точно определить местоположение, даже если это скрыто от обычного взгляда.
Где применяется GEOINT в современностиОт работы с геоданными в условиях гуманитарных кризисов до использования в разведке, мы покажем, как современный GEOINT решает реальные задачи и помогает находить ответы на глобальные вопросы.
Статья Forensics для начинающих: как анализировать цифровые следы
Цифровая криминалистика давно перестала быть киношной сценой с выносом системных блоков. В реальности это тихая, методичная работа по восстановлению истории: что произошло в системе, кто нажимал какие кнопки и какие следы остались в логах, памяти и на дисках. В этом тексте вы увидите, как выглядит расследование инцидента изнутри — от первого сигнала до финального отчёта.
Разберём, что такое digital forensics на практике: какие бывают направления (компьютерная, мобильная, сетевая, облачная, memory‑форензика), чем они отличаются от обычной админской диагностики и почему главное правило звучит как «не навреди улике». Вы увидите, как работают принципы целостности, повторяемости и цепочки хранения доказательств на живых примерах. Пошагово пройдём путь расследования: обнаружение, фиксация состояния системы, создание образов, анализ таймлайна, артефактов и логов, интерпретация результатов для не технарей. Параллельно обсудим, какие цифровые следы чаще всего спасают расследование и какие ошибки их убивают. Статья OSINT-челлендж: deanonymization через соцсети и метаданные
Цифровой призрак? Одно фото — и твоя анонимность мертва.Думаешь, что пустой профиль ВК и чужое имя — надёжная маскировка? Реальность 2025: из одной фотографии профессионал вытащит твоё настоящее ФИО, номер телефона и весь цифровой след за 10 минут.
В этом OSINT-челлендже мы проходим путь от анонимного аватара до полной деанонимизации: Search4faces для поиска по лицу, Sherlock для пробива по никам, секретные методы через метаданные и архивы. Никакого взлома — только открытые источники.
Практический гайд для тех, кто хочет научиться находить — или, наоборот, скрываться правильно.вещать. До новых встреч!Статья Как защититься от OSINT разведки: практическое руководство 2025
Ваша компания прозрачна для хакеров: как защититься от OSINT-разведки в 20254-6 часов — столько нужно злоумышленнику, чтобы собрать полное досье на вашу компанию через Google, LinkedIn и Shodan. Всё легально, никаких взломов — только открытые источники, которые вы сами выложили в сеть.
В этом руководстве разбираем полный цикл защиты от OSINT: от аудита цифрового следа инструментами SpiderFoot и Maltego до создания honeypot-ловушек и контролируемой дезинформации. Покажем, как настроить мониторинг утечек через GitHub, очистить метаданные с помощью MAT2 и построить трёхуровневую систему защиты.
Практическое руководство для ИБ-специалистов, пентестеров и руководителей, которым нужно закрыть дыры в безопасности до того, как их найдут злоумышленники.