Форензика - Forensics

Этот вариант подходит людям, у которых нет более продвинутых вариантов снять и разобрать резервную копию. Если у Вас нет доступа к телефону, и вы не знаете, как его получить, то этот метод вам не подойдет. В любом случае советую проверять полученные данные дополнительно. Для работы нам понадобится питон, если он у вас уже установлен переходите к пункту №3.

1. Первое что нам понадобится это установить питон, рекомендую скачать с
   Ссылка скрыта от гостей
2. Устанавливаем питон:
   • Даблклик по скачанному файлу
   • Отмечаем чекбокс отмеченный на картинке, прежде чем нажимать “install now” обязательно проверить что бы все совпадало с
   • Могу порекомендовать проверить обновления питон: python -m pip install -- upgrade pip
   • Перезагрузка
3. Следующим шагом ставим библиотеку virtualenv pip install virtualenv и pycryptodome pip install pycryptodome
4. Ставим...

Статья не моя (

Ссылка скрыта от гостей

)
Иногда ставится вопрос о том какой публичный IP адрес использовался в системе.
Мы рассмотрим Windows 10. Благодаря "dosvc", Wan IP может остаться в *.etl файлах, которые относятся к работе службы оптимизации доставки (DoSvc):

Оптимизация доставки

это новый метод однорангового распространения в Windows 10. Клиенты Windows 10 могут получать контент с других устройств в своей локальной сети, которые уже загрузили обновления, или с одноранговых узлов через Интернет.

В зависимости от версии Windows 10 различные файлы журнала трассировки событий (ETL), созданные службой оптимизации доставки (DoSvc), хранятся здесь:

Всем привет!
Есть совсем обычная задача: "доказать, что фото из backup смартфона сделаны на текущую модель смартфона".
У нас есть backup смартфона "Huawei Y6 Pro (TIT-U02)" созданный с помощью стандартного приложения)
Загрузим наши файлы backup для анализа в AXIOM Examine (не думаю, что есть смысл описывать как это делать).
По итогам анализа выберем графический файл (изображение), на котором поставим эксперимент:
В сведениях об файле содержит следующие интересующие нас данные:
- Изготовитель;
- Модель;
- Программное обеспечение;
- Источник (файл backup, который содержит графический файл);
- Расположение (Offset).
Выгрузим выбранный графический файл и посмотрим его свойства:

Свойства "Камера, изготовитель" и...

Доброго времени суток, в этой теме рассмотрим 2 вопроса: сколько раз телефон загружался(при включении или перезагрузке) с момента первой конфигурации и его аптайм.
Если вы ни разу не пользовались ADB или позабыли как, дальше есть инструкция где взять/как запустить/как подключить

1. Если у Вас нет ADB
   Ссылка скрыта от гостей
   и распаковываем SDK Platform tools. В составе SDK Platform tools идет новый adb и fastboot. Если у Вас есть ADB и Вы умеете им пользоватся переходим к пункту 6.
2. Скачиваем драйвера под телефон(это можно сделать в профильной ветке 4pda/xda).
3. Переходим в папку, где находится ADB (по дефолту \platform-tools_r28.0.2-windows\platform-tools).
4. Для запуска можно использовать 2 метода:
   1. Powershell: удобнее, т.к. можно запустить прям из папки с помощью сочетания "Shift + ПКМ" - "Открыть окно Powershell здесь". Но для запуска ADB в Powershell нужно добавлять ".\"перед...

Всем привет!

Работая с LaZagne и обновлять Python (а я всегда только последними версиями движков пользуюсь) после обновлений бывают ошибки и при первой работе с LaZagne тоже.

Рассмотрим те ошибки с которыми я столкнулся при работе с LaZagne на другой ОС (Windows 10).

Первая ошибка которая у меня возникла это нехватка модулей в Python для работы LaZagne:

Если видим ошибку такого роду с недостачей модуля, то просто с помощью консоли (cmd) выполняем следующую команду:


Если видим, что "pip" говорит что ему нужно обновление то обновляем его командой как на скриншоте выше:
И запускаем еще раз LaZagne:


Видим, что не хватает модуля "rsa" и устанавливаем нужный модуль:


И запускаем еще раз...

Всем привет!
Попал мне в руки образ смартфона ZTE BLADE V8 сделанный с помощью UFED версии 7.36.0.109.
Файл образа сформированный с расширением UDF, но _7.18.0.106 может открывать файлы с расширением UFDR.
Для того чтобы экспортировать файл UDF в UFDR нам поможет .
Приступим первым делом открываем MOBILedit Forensic Express
Далее кликаем Start и видим следующее:
Так как физически смартфон не подключен и у нас есть только его образ то нужно как-то подгрузить его образ и переформатировать в нужный нам. Для этого выбираем пункт меню Import data и увидим следующее:

Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска.
PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+.
Командлеты

- платное ПО для поиска информации о подключаемых устройствах USB для Windows систем

• Обрабатывает артефакты USB-устройств от Windows XP до Windows 10
• Поддержка работающей системы, отдельных файлов, папок и обработки логических дисков
• Обрабатывает несколько версий всех принятых артефактов
• Источник каждого идентифицированного значения сохраняется для последующего представления отчетов и документации
• Используйте последние изменения в Windows 10, чтобы получить еще больше информации об устройстве
• Визуально представленные уровни согласованности меток времени

Введение - Форензика альтернативного потока данных (Zone.Identifier) в NTFS
Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.

Рассмотрим ПО которое поможет увидеть ADS:

Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery
Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля







Теперь полученный файл мы будем Атаковать программой Elcomsoft Distributed Password Recovery,
открываем полученный файл EDPR (Elcomsoft Distributed Password Recovery) мне известен пароль и по этому я оставил перебирать по маске только первый символ



иконка замочка уже зелёного цвета, это значит пароль подобран, в вкладке "Результат"



С этим рассмотрим еще...