Форензика - Forensics

Привет всем!
Решил я тут сделать краткий обзор инструмента (Puppy). Этот инструмент предназначен для детального исследования файлов. В конце статьи будут полезные ссылки

Начнём с теории, а дальше исследуем 1 exe файл. Все параметры PE файла я описывать не буду. Только часто используемые. Они будут выделены жёлтым цветом. Их можно посмотреть перейдя ссылкам в конце обзора.

Описание с сайта разработчика

Puppy - это легкий, но мощный инструмент для статического исследования интересующих нас файлов. Также предоставляются два сопутствующих плагина.
FileInfo - чтобы запросить файл в известных хранилищах вредоносных программ и взять в один клик техническую информацию о файле, такую как его размер, энтропия, атрибуты, хэши, информация о версии и так далее...

Связка ключей Apple (англ: Keychain) — функция (другими словами — технология), с помощью которой, в одном месте операционных системах macOS и iOS, в защищённом виде, сохраняются личные данные пользователя (логины и пароли).

Советую к прочтению теории " "
Рассмотрим что же мы можем получить из связки ключей Keychain

Примером будет: Hardware model: D321AP, OS version: 13.3.1 предварительно я осуществил jail как ранее описывалось в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)
далее мне было удобно (и так как был этот инструмент в руках) получить файл связки ключей в формате "*.xml"

Загрузив полученный образ и связку ключей я увидел всего ничего вот этим...

Предложенный вариант демонстрирует что может хранится в резервной копии коротая сделана ПО вендора телефона. Если у Вас нет доступа к телефону, и вы не знаете, как его получить, то этот метод вам не подойдет. В любом случае советую проверять полученные данные дополнительно. Для работы нам понадобится питон, если он у вас уже установлен переходите к пункту №3.

• Первое что нам понадобится это установить питон, рекомендую скачать с
  Ссылка скрыта от гостей
• Устанавливаем питон:
  • Даблклик по скачанному файлу
  • Отмечаем чекбокс отмеченный на картинке, прежде чем нажимать “install now” обязательно проверить что бы все совпадало с
    изображением

    
• Могу порекомендовать проверить обновления питон:
  Код:

  python -m pip install -- upgrade pip

• Перезагрузка
• Следующим шагом ставим библиотеку...

Утро. Звенит будильник. Некоторые делают зарядку, завтракают, одеваются и идут на работу. После работы идут домой. День Игоря прошёл также. За исключением одного, во время беседы с неестественным в той компании коллегой, речь зашла о дампах памяти. Имя того служащего — Николай. В той беседе решено было вечерком встретиться у Игоря дома и обсудить форензику. Главная тема их беседы - The Volatility Framework. Николай и Игорь договорились о плане для их беседы:

• Изучаем дамп памяти Windows
• Переходим к Linux
• Немножко сетевой форензики

Загрузили они один из дампов памяти. Конкретно Jackcr-dfir-challenge для windows и начали осмотр используя справку по volatility (-h).

Некоторые опции не получилось использовать, так как дамп памяти самой новой системы был сделан с Windows 2003...

Задача востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 11.3.1
К нам в руки попала такая модель Model A1533 Версия iOS 11.3.1 к ней не применим checkra1n

Нам нужно:

1. Читаем статью "
   Ссылка скрыта от гостей
   "
2. Читаем статью как руководство пользователя "
   Ссылка скрыта от гостей
   "
3. В данном случаем нам нужен Elcomsoft iOS Forensic Toolkit

Поставленная задача довольно востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 13.5.1

Способ с iPhone OS version: 13.5 "unc0ver" iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit

Для решения такой задачи вот с такой прелестью:

Нам нужно:

1. Читаем статью iOS Device Acquisition with checkra1n Jailbreak
   Ссылка скрыта от гостей
2. Скачиваем "checkra1n" - читаем
   Ссылка скрыта от гостей
   (с данной моделью телефона мы потерпим неудачу)
3. Скачиваем
   Ссылка скрыта от гостей
   для 64-х битного...

Всем привет)
Попалась мне в руки папка с данными приложения Instagram (com.instagram.android) с ОС Android и логин пользователя который использовал это приложения но информация о нем есть в двух файлах :

• com.instagram.android/app_webview/Default/IndexedDB/https_i.instagram.com_0.indexeddb.leveldb/000003.log;
• com.instagram.android/app_browser_proc_webview/Default/IndexedDB/https_www.instagram.com_0.indexeddb.leveldb/000003.log.

И больше никаких следов по "нику" пользователя в корне папки приложения не было. В интернете по этому поводу я ничего не нашел, да и не пытался особо.
Первым делом сразу отправился смотреть информацию в файлах БД:

• com.instagram.android\databases\direct.db;
• com.instagram.android\databases\fileregistry.db;
• com.instagram.android\databases\transactions.db...

Поставленная задача довольно востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 13.5

Большинству своих знаний в области iOS я обязан Владимиру Каталову и блогу их компании

Ссылка скрыта от гостей

(это не реклама, это факт, что elcomsoft лидер гонки с apple).

Нажмите, чтобы раскрыть...

Для решения такой задачи вот с такой прелестью:



Нам нужно:

1. Читаем статью Full File System and Keychain Acquisition with unc0ver jailbreak: iOS 13.1 to 13.5
   Ссылка скрыта от гостей
2. Регистрируем аккаунт разработчика
   Ссылка скрыта от гостей
3. Скачиваем...

Доброго времени суток, в данной статье я опишу, где хранятся IP адреса, которые получало устройство на android. Так же этот способ будет наглядным при демонстрации какие порты задействуются при подключении.

Данный способ будет работать при соблюдении некоторых условий:

• Телефон не перезагружался. При перезагрузке файл очищается, но если у вас есть возможность сделать физический дамп памяти телефона возможно поднять версии этого файла и получить адреса за бОльшее время.
• Информация в файле сохраняется некоторое время, т.е. все IP адреса за все время вы не получите, но за пару часов шанс есть.

Нас интересует файл tcp, который находится по пути \proc\net\tcp. Этот файл доступен без root до версии Android Q и открывается как обычный текстовый файл.

В нем будет таблица вида:



Где, local address – IP адрес устройства. Более полное описание этой таблицы...

Бывают случаи когда нет возможности извлечь SSD, HDD из устройств macOS, то нужно распаивать экран или сложность разборки, а информацию получить для дальнейшей обработки нужно. Способы с загрузкой разных дистрибутивов особенно Linux для команды DD не дают результат или получаем образ системы который не может распознать: FTK, X-Ways, belkasoft, а программные продукты UFS Explorer, R-Studio так же результатов не дают, хотя тут я немного преувеличил так как программа DMDE (DM Disk Editor and Data Recovery Software) с такого не понятного образа восстанавливает файлы (жаль что без имён) но она всё таки даёт рабочие файлы.
Второй шаг

в операционной системе может быть включено шифрование "FileVault", в системе которая попала мне в руки все учетные записи были защищены паролем, но в самой системе не был включен FileVault.

Сброс пароля в Catalina 10.15.1 прошел очень просто:

Включите Mac и после того, как раздастся звук включения, зажмите на клавиатуре клавиши CMD+R.
Под значком...

Нажмите, чтобы раскрыть...