Форензика - Forensics
"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.
Статья Снятие резервной копии (backup) с телефонов HUAWEI
Этот вариант подходит людям, у которых нет более продвинутых вариантов снять и разобрать резервную копию. Если у Вас нет доступа к телефону, и вы не знаете, как его получить, то этот метод вам не подойдет. В любом случае советую проверять полученные данные дополнительно. Для работы нам понадобится питон, если он у вас уже установлен переходите к пункту №3. Первое что нам понадобится это установить питон, рекомендую скачать с офсайта Устанавливаем питон: Даблклик по скачанному файлу Отмечаем чекбокс отмеченный на картинке, прежде чем нажимать “install now” обязательно проверить что бы все...
Статья Какой был публичный IP-адрес устройства с Windows 10?
Статья не моя (оригинал) Иногда ставится вопрос о том какой публичный IP адрес использовался в системе. Мы рассмотрим Windows 10. Благодаря "dosvc", Wan IP может остаться в *.etl файлах, которые относятся к работе службы оптимизации доставки (DoSvc): В зависимости от версии Windows 10 различные файлы журнала трассировки событий (ETL), созданные службой оптимизации доставки (DoSvc), хранятся здесь: Версия ОС Путь по умолчанию Имя файла Win10 (1507) C:\Windows\Logs\dosvc dosvc.\d*.\d.etl (e.g. dosvc.1377765.1.etl) Win10 (1709/1803)...
Статья Один из способов доказать принадлежность фото к модели смартфона
Всем привет! Есть совсем обычная задача: "доказать, что фото из backup смартфона сделаны на текущую модель смартфона". У нас есть backup смартфона "Huawei Y6 Pro (TIT-U02)" созданный с помощью стандартного приложения) Загрузим наши файлы backup для анализа в AXIOM Examine (не думаю, что есть смысл описывать как это делать). По итогам анализа выберем графический файл (изображение), на котором поставим эксперимент: В сведениях об файле содержит следующие интересующие нас данные: - Изготовитель; - Модель; - Программное обеспечение; - Источник (файл backup, который содержит графический...
Статья Android OS: Аптайм и общее количество запусков
Доброго времени суток, в этой теме рассмотрим 2 вопроса: сколько раз телефон загружался(при включении или перезагрузке) с момента первой конфигурации и его аптайм. Если вы ни разу не пользовались ADB или позабыли как, дальше есть инструкция где взять/как запустить/как подключить Если у Вас нет ADB скачиваем и распаковываем SDK Platform tools. В составе SDK Platform tools идет новый adb и fastboot. Если у Вас есть ADB и Вы умеете им пользоватся переходим к пункту 6. Скачиваем драйвера под телефон(это можно сделать в профильной ветке 4pda/xda). Переходим в папку, где находится ADB (по...
Статья LaZagne или как сделать, что бы работало
Всем привет! Работая с LaZagne и обновлять Python (а я всегда только последними версиями движков пользуюсь) после обновлений бывают ошибки и при первой работе с LaZagne тоже. Рассмотрим те ошибки с которыми я столкнулся при работе с LaZagne на другой ОС (Windows 10). Первая ошибка которая у меня возникла это нехватка модулей в Python для работы LaZagne: Если видим ошибку такого роду с недостачей модуля, то просто с помощью консоли (cmd) выполняем следующую команду: pip install [недостающий модуль] Если видим, что "pip" говорит что ему нужно обновление то обновляем его командой как...
Статья Cellebrite Reader не освобождает от проверки вручную файлов смартфона.
Всем привет! Попал мне в руки образ смартфона ZTE BLADE V8 сделанный с помощью UFED версии 7.36.0.109. Файл образа сформированный с расширением UDF, но Cellebrite Reader_7.18.0.106 может открывать файлы с расширением UFDR. Для того чтобы экспортировать файл UDF в UFDR нам поможет MOBILedit Forensic Express . Приступим первым делом открываем MOBILedit Forensic Express Далее кликаем Start и видим следующее: Так как физически смартфон не подключен и у нас есть только его образ то нужно как-то подгрузить его образ и переформатировать в нужный нам. Для этого выбираем пункт меню Import data...
Soft PowerForensics - криминалистический анализ жесткого диска
Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска. PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+. Командлеты Запуск программы (пошаговый) find-module -name *forensic* установка Install-Module -Name PowerForensicsv2 Get-ChildItem 'C:\Program Files\WindowsPowerShell\Modules\' Import-Module для загрузки модуля в наш текущий сеанс и Get-Command с параметром -Module для вывода списка командлетов, представленных модулем Import-Module...
Soft USB Detective - поиск артефактов подключаемых устройств USB
USB Detective - платное ПО для поиска информации о подключаемых устройствах USB для Windows систем Обрабатывает артефакты USB-устройств от Windows XP до Windows 10 Поддержка работающей системы, отдельных файлов, папок и обработки логических дисков Обрабатывает несколько версий всех принятых артефактов Источник каждого идентифицированного значения сохраняется для последующего представления отчетов и документации Используйте последние изменения в Windows 10, чтобы получить еще больше информации об устройстве Визуально представленные уровни согласованности меток времени В demo режиме...
Soft Альтернативный поток данных (Zone.Identifier) в NTFS
Введение - Форензика альтернативного потока данных (Zone.Identifier) в NTFS Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS. Рассмотрим ПО которое поможет увидеть ADS: Stream Detector v1.2 ADS Spy NTFS Stream Explorer P:S Очень надеюсь, что эта тема будет дополняться желающими, делитесь теми ПО которые Вы знаете для исследования и открытия Альтернативных потоков. Так же в розыске программа ADS Examiner, lads.exe, LNS, SFind.
Soft Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker
Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля Теперь полученный файл мы будем Атаковать программой Elcomsoft Distributed Password Recovery, открываем полученный файл EDPR (Elcomsoft Distributed Password Recovery) мне известен пароль и по этому я оставил перебирать по маске только первый символ иконка замочка уже зелёного цвета, это значит...
Статья AccessData FTK Imager против Arsenal Image Mounter
При работе с образами всегда нужен максимально хороший (приближенный к работе самого оригинала) способ монтирования криминалистического образа - полностью бесшовный. Сравним FTK Imager (бесплатен, многофункционален) с Arsenal Image (только монтирование образа). Иногда нужно Виртуализировать криминалистический образ в Windows тем самым запустив систему из криминалистического образа (статья с примером как это работает и в ней не случайно используется Arsenal Image Mounter надёжно и 100% работоспособно); В примере участвует образ в котором 4ре раздела и один из них зашифрован Bitlocker...
Статья Криминалистическая экспертиза мобильных устройств - порядок проведения
Содержание статьи: Представление объекта на экспертизу Идентификация объекта Подготовка к исследованию Изоляция объекта Извлечение данных Ручное извлечение данных Извлечение данных на логическом уровне Извлечение данных на физическом уровне Извлечение данных из интегральной схемы памяти или «Chip-off» Извлечение данных на микроуровне Верификация полученных результатов Составление заключения Трудно переоценить значимость криминалистического исследования мобильных устройств. Буквально каждые полгода на рынок выходят всё новые и новые модели, многие из которых хранят массу данных о...
Категории блога
Команда онлайн
-
SunnychMod. Forensics
Пользователи онлайн
- Слава Слава
- Vladdd
- D4ckD4ck
- Imp
- xxxWarlock
- seraf
- Edward C Hall
- F7kod
- PennStation
- Добрынябос
- Глюк
- Laura
- omegaW
- al04e
- Александр Залатерев
- HansDitrich
- vasa-sekret999
- Мистер Фокс
- Iveh3ve
- Satan Organic
- Pukich
- al031961
- Moran news
- Sunnych
- viperultra
- Pilger
- fima48
- SearcherSlava
- Impulse Mortis
- ponchik6
- igor_nikolenko
- AlbaRM
- Itz_Nik9ta
- Proximo
- Алексей Стетхем
- PolinaOlden
- Коля Винник
- h1de
- Дима Хабиров
- Hacker space
- Артем Дудник
- Test Inventory
- Aleks Binakril
- googoosik88
- .Method
- Max Eranine
- Citizen0
- Vitaly Petrov
- total-kom
- quasar
Наши книги
