Форензика - Forensics

Статья не моя (оригинал) Иногда ставится вопрос о том какой публичный IP адрес использовался в системе. Мы рассмотрим Windows 10. Благодаря "dosvc", Wan IP может остаться в *.etl файлах, которые относятся к работе службы оптимизации доставки (DoSvc): В зависимости от версии Windows 10 различные файлы журнала трассировки событий (ETL), созданные службой оптимизации доставки (DoSvc), хранятся здесь: Версия ОС Путь по умолчанию Имя файла Win10 (1507) C:\Windows\Logs\dosvc dosvc.\d*.\d.etl (e.g. dosvc.1377765.1.etl) Win10 (1709/1803)...

Всем привет! Есть совсем обычная задача: "доказать, что фото из backup смартфона сделаны на текущую модель смартфона". У нас есть backup смартфона "Huawei Y6 Pro (TIT-U02)" созданный с помощью стандартного приложения) Загрузим наши файлы backup для анализа в AXIOM Examine (не думаю, что есть смысл описывать как это делать). По итогам анализа выберем графический файл (изображение), на котором поставим эксперимент: В сведениях об файле содержит следующие интересующие нас данные: - Изготовитель; - Модель; - Программное обеспечение; - Источник (файл backup, который содержит графический...

Доброго времени суток, в этой теме рассмотрим 2 вопроса: сколько раз телефон загружался(при включении или перезагрузке) с момента первой конфигурации и его аптайм. Если вы ни разу не пользовались ADB или позабыли как, дальше есть инструкция где взять/как запустить/как подключить Если у Вас нет ADB скачиваем и распаковываем SDK Platform tools. В составе SDK Platform tools идет новый adb и fastboot. Если у Вас есть ADB и Вы умеете им пользоватся переходим к пункту 6. Скачиваем драйвера под телефон(это можно сделать в профильной ветке 4pda/xda). Переходим в папку, где находится ADB (по...

Всем привет! Работая с LaZagne и обновлять Python (а я всегда только последними версиями движков пользуюсь) после обновлений бывают ошибки и при первой работе с LaZagne тоже. Рассмотрим те ошибки с которыми я столкнулся при работе с LaZagne на другой ОС (Windows 10). Первая ошибка которая у меня возникла это нехватка модулей в Python для работы LaZagne: Если видим ошибку такого роду с недостачей модуля, то просто с помощью консоли (cmd) выполняем следующую команду: pip install [недостающий модуль] Если видим, что "pip" говорит что ему нужно обновление то обновляем его командой как...

Всем привет! Попал мне в руки образ смартфона ZTE BLADE V8 сделанный с помощью UFED версии 7.36.0.109. Файл образа сформированный с расширением UDF, но Cellebrite Reader_7.18.0.106 может открывать файлы с расширением UFDR. Для того чтобы экспортировать файл UDF в UFDR нам поможет MOBILedit Forensic Express . Приступим первым делом открываем MOBILedit Forensic Express Далее кликаем Start и видим следующее: Так как физически смартфон не подключен и у нас есть только его образ то нужно как-то подгрузить его образ и переформатировать в нужный нам. Для этого выбираем пункт меню Import data...

Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска. PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+. Командлеты Запуск программы (пошаговый) find-module -name *forensic* установка Install-Module -Name PowerForensicsv2 Get-ChildItem 'C:\Program Files\WindowsPowerShell\Modules\' Import-Module для загрузки модуля в наш текущий сеанс и Get-Command с параметром -Module для вывода списка командлетов, представленных модулем Import-Module...

USB Detective - платное ПО для поиска информации о подключаемых устройствах USB для Windows систем Обрабатывает артефакты USB-устройств от Windows XP до Windows 10 Поддержка работающей системы, отдельных файлов, папок и обработки логических дисков Обрабатывает несколько версий всех принятых артефактов Источник каждого идентифицированного значения сохраняется для последующего представления отчетов и документации Используйте последние изменения в Windows 10, чтобы получить еще больше информации об устройстве Визуально представленные уровни согласованности меток времени В demo режиме...

Введение - Форензика альтернативного потока данных (Zone.Identifier) в NTFS Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS. Рассмотрим ПО которое поможет увидеть ADS: Stream Detector v1.2 ADS Spy NTFS Stream Explorer P:S Очень надеюсь, что эта тема будет дополняться желающими, делитесь теми ПО которые Вы знаете для исследования и открытия Альтернативных потоков. Так же в розыске программа ADS Examiner, lads.exe, LNS, SFind.

Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля Теперь полученный файл мы будем Атаковать программой Elcomsoft Distributed Password Recovery, открываем полученный файл EDPR (Elcomsoft Distributed Password Recovery) мне известен пароль и по этому я оставил перебирать по маске только первый символ иконка замочка уже зелёного цвета, это значит...

При работе с образами всегда нужен максимально хороший (приближенный к работе самого оригинала) способ монтирования криминалистического образа - полностью бесшовный. Сравним FTK Imager (бесплатен, многофункционален) с Arsenal Image (только монтирование образа). Иногда нужно Виртуализировать криминалистический образ в Windows тем самым запустив систему из криминалистического образа (статья с примером как это работает и в ней не случайно используется Arsenal Image Mounter надёжно и 100% работоспособно); В примере участвует образ в котором 4ре раздела и один из них зашифрован Bitlocker...

Содержание статьи: Представление объекта на экспертизу Идентификация объекта Подготовка к исследованию Изоляция объекта Извлечение данных Ручное извлечение данных Извлечение данных на логическом уровне Извлечение данных на физическом уровне Извлечение данных из интегральной схемы памяти или «Chip-off» Извлечение данных на микроуровне Верификация полученных результатов Составление заключения Трудно переоценить значимость криминалистического исследования мобильных устройств. Буквально каждые полгода на рынок выходят всё новые и новые модели, многие из которых хранят массу данных о...

Уже не впервой хакеры используют для разведки и сбора готовые программы как пример ProcDump. Инструмент который будем использовать для раскрытия файла дампа - Mimikatz У нас на форуме есть статья Ох уж этот Mimikatz В нашем конкретном примере хакер использовал для сбора информации ProcDump и сделал дамп процеса lsass (сервис проверки подлинности локальной системы безопасности (англ. Local Security Authority Subsystem Service, LSASS) — часть операционной системы Windows, отвечающая за авторизацию локальных пользователей отдельного компьютера). Начнем сразу с ошибки, если у Вас результат...