• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Форензика - Forensics

"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.

Soft Обзор PPEE, Инструмент для детального изучения файлов

  • 4 697
  • 0
Привет всем!
Решил я тут сделать краткий обзор инструмента
(Puppy). Этот инструмент предназначен для детального исследования файлов. В конце статьи будут полезные ссылки :)

Начнём с теории, а дальше исследуем 1 exe файл. Все параметры PE файла я описывать не буду. Только часто используемые. Они будут выделены жёлтым цветом. Их можно посмотреть перейдя ссылкам в конце обзора.

Описание с сайта разработчика

Puppy - это легкий, но мощный инструмент для статического исследования интересующих нас файлов. Также предоставляются два сопутствующих плагина.
FileInfo - чтобы запросить файл в известных хранилищах вредоносных программ и взять в один клик техническую информацию о файле, такую как его размер, энтропия, атрибуты, хэши, информация о версии и так далее...

Статья Keychain в iOS - что внутри?

  • 4 822
  • 1
Связка ключей Apple (англ: Keychain) — функция (другими словами — технология), с помощью которой, в одном месте операционных системах macOS и iOS, в защищённом виде, сохраняются личные данные пользователя (логины и пароли).

Советую к прочтению теории " "
Рассмотрим что же мы можем получить из связки ключей Keychain

Примером будет: Hardware model: D321AP, OS version: 13.3.1 предварительно я осуществил jail как ранее описывалось в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)
далее мне было удобно (и так как был этот инструмент в руках) получить файл связки ключей в формате "*.xml"

Загрузив полученный образ и связку ключей я увидел всего ничего вот этим...

Статья Резервная копия телефонов LG (LG Bridge) и извлечения данных из резервной копии

  • 4 266
  • 3
Предложенный вариант демонстрирует что может хранится в резервной копии коротая сделана ПО вендора телефона. Если у Вас нет доступа к телефону, и вы не знаете, как его получить, то этот метод вам не подойдет. В любом случае советую проверять полученные данные дополнительно. Для работы нам понадобится питон, если он у вас уже установлен переходите к пункту №3.
  • Первое что нам понадобится это установить питон, рекомендую скачать с
  • Устанавливаем питон:
    • Даблклик по скачанному файлу
    • Отмечаем чекбокс отмеченный на картинке, прежде чем нажимать “install now” обязательно проверить что бы все совпадало с
      lg1.png
  • Могу порекомендовать проверить обновления питон:
    Код:
    python -m pip install -- upgrade pip
  • Перезагрузка
  • Следующим шагом ставим библиотеку...

Статья Как Игорь Volatility framework изучал и сетевой дамп смотрел

  • 9 409
  • 6
Утро. Звенит будильник. Некоторые делают зарядку, завтракают, одеваются и идут на работу. После работы идут домой. День Игоря прошёл также. За исключением одного, во время беседы с неестественным в той компании коллегой, речь зашла о дампах памяти. Имя того служащего — Николай. В той беседе решено было вечерком встретиться у Игоря дома и обсудить форензику. Главная тема их беседы - The Volatility Framework. Николай и Игорь договорились о плане для их беседы:
  • Изучаем дамп памяти Windows
  • Переходим к Linux
  • Немножко сетевой форензики
Загрузили они один из дампов памяти. Конкретно Jackcr-dfir-challenge для windows и начали осмотр используя справку по volatility (-h).

Некоторые опции не получилось использовать, так как дамп памяти самой новой системы был сделан с Windows 2003...

Soft Elcomsoft iOS Forensic Toolkit Агент-экстрактор - извлечение данных без джейлбрейка

  • 4 483
  • 1
Задача востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 11.3.1
К нам в руки попала такая модель Model A1533 Версия iOS 11.3.1 к ней не применим checkra1n

Нам нужно:
  1. Читаем статью " "
  2. Читаем статью как руководство пользователя " "
  3. В данном случаем нам нужен Elcomsoft iOS Forensic Toolkit
Агент-экстрактор совместим со следующими комбинациями устройств и версий iOS:
  • iPhone 6s до iPhone X, iPad 5 и 6, iPad Pro 1 и 2 поколений: iOS/iPadOS 11.0 — 13.3
  • iPhone Xr, Xs, Xs Max, iPad Mini 5, iPad Air 3, iPad Pro 3, iPod Touch 7: iOS/iPadOS...

Статья iOS 13.5.1 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (checkra1n)

  • 6 198
  • 0
Поставленная задача довольно востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 13.5.1

Способ с iPhone OS version: 13.5 "unc0ver" iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit

Для решения такой задачи вот с такой прелестью:

Нам нужно:
  1. Читаем статью iOS Device Acquisition with checkra1n Jailbreak
  2. Скачиваем "checkra1n" - читаем (с данной моделью телефона мы потерпим неудачу)
  3. Скачиваем для 64-х битного...

Статья Поиск авторизации аккаунтов в приложении Instagram

  • 5 638
  • 8
Всем привет)
Попалась мне в руки папка с данными приложения Instagram (com.instagram.android) с ОС Android и логин пользователя который использовал это приложения но информация о нем есть в двух файлах :
  • com.instagram.android/app_webview/Default/IndexedDB/https_i.instagram.com_0.indexeddb.leveldb/000003.log;
  • com.instagram.android/app_browser_proc_webview/Default/IndexedDB/https_www.instagram.com_0.indexeddb.leveldb/000003.log.
И больше никаких следов по "нику" пользователя в корне папки приложения не было. В интернете по этому поводу я ничего не нашел, да и не пытался особо.
1.JPG
Первым делом сразу отправился смотреть информацию в файлах БД:
  • com.instagram.android\databases\direct.db;
  • com.instagram.android\databases\fileregistry.db;
  • com.instagram.android\databases\transactions.db...

Статья iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)

  • 8 204
  • 6
Поставленная задача довольно востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 13.5
Большинству своих знаний в области iOS я обязан Владимиру Каталову и блогу их компании (это не реклама, это факт, что elcomsoft лидер гонки с apple).
Для решения такой задачи вот с такой прелестью:

Зараза-13.jpg


Нам нужно:
  1. Читаем статью Full File System and Keychain Acquisition with unc0ver jailbreak: iOS 13.1 to 13.5
  2. Регистрируем аккаунт разработчика
  3. Скачиваем...

Статья Где хранятся IP адреса в Android

  • 6 401
  • 3
Доброго времени суток, в данной статье я опишу, где хранятся IP адреса, которые получало устройство на android. Так же этот способ будет наглядным при демонстрации какие порты задействуются при подключении.

Данный способ будет работать при соблюдении некоторых условий:
  • Телефон не перезагружался. При перезагрузке файл очищается, но если у вас есть возможность сделать физический дамп памяти телефона возможно поднять версии этого файла и получить адреса за бОльшее время.
  • Информация в файле сохраняется некоторое время, т.е. все IP адреса за все время вы не получите, но за пару часов шанс есть.
Нас интересует файл tcp, который находится по пути \proc\net\tcp. Этот файл доступен без root до версии Android Q и открывается как обычный текстовый файл.

В нем будет таблица вида:

1587214400910.png


Где, local address – IP адрес устройства. Более полное описание этой таблицы...

Статья macOS Catalina 10.15.1 один из способов получения копии данных для дальнейшего изучения

  • 4 672
  • 10
Бывают случаи когда нет возможности извлечь SSD, HDD из устройств macOS, то нужно распаивать экран или сложность разборки, а информацию получить для дальнейшей обработки нужно. Способы с загрузкой разных дистрибутивов особенно Linux для команды DD не дают результат или получаем образ системы который не может распознать: FTK, X-Ways, belkasoft, а программные продукты UFS Explorer, R-Studio так же результатов не дают, хотя тут я немного преувеличил так как программа DMDE (DM Disk Editor and Data Recovery Software) с такого не понятного образа восстанавливает файлы (жаль что без имён) но она всё таки даёт рабочие файлы.
Второй шаг

в операционной системе может быть включено шифрование "FileVault", в системе которая попала мне в руки все учетные записи были защищены паролем, но в самой системе не был включен FileVault.

Сброс пароля в Catalina 10.15.1 прошел очень просто:
Включите Mac и после того, как раздастся звук включения, зажмите на клавиатуре клавиши CMD+R.
Под значком...