Форензика - Forensics

Всем привет! В процессе работы с БД SQLite в таблицах Дата и Время хранится с типом данных integet:
Для преобразования Даты и времени в БД History(Opera) используем следующий код SQL в программе DB Browser for SQLite:
Значение в ячейке last_visit_time – это дата и время, которая хранится в 17 символах и исчисление идёт с 01.01.1601, поэтому для её преобразования потребуется нехитрая конструкция:
...

Всем привет! В продолжение к статьям: Способ изъятия сообщений из базы данных Telegram , Форензика Android, расшифровать и собрать данные из баз Viber , Способ изъятия сообщений из базы данных Telegram и Viber совместными силами с @Sunnych доработан модуль работы с БД WhatsApp.

После открытия программы переходим в контекстное меню "Работы с БД" меню и выбираем: "Работа с БД WhatsApp"


Файл БД WhatsApp находится:

/data/data/com.whatsapp/databases/msgstore.db

Для работы с БД звонков загружаем msgstore:

[SPOILER="Загрузка БД...

Существует множество способов определить, когда на компьютере установлена операционная система Windows. В этом посте вы найдете несколько примеров.
Дата установки очень важна во время судебной экспертизы.

Имейте в виду, что в Windows 10 эта дата может ссылаться на последнее крупное обновление (например, creators update).

1. Извлечение из реестра Windows с помощью Powershell:
Можно получить дату и время непосредственно из реестра: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ InstallDate
Значение ключа реестра «InstallDate» выражается как время UNIX, в количестве секунд с 1 января 1970 года.
Чтобы преобразовать его в читаемый человеком формат в той же Powershell, вы должны написать:
...

Механизм кэширования RDP уменьшает объем данных, которые необходимо отправить клиенту RDP. Это делается путем кэширования тех частей экрана, которые не изменились с момента последнего обновления дисплея.
Есть два типа файла кеша:

• *.bmc
• Cachennnn.bin (где nnnn - это 4-значное число)

Оба типа файлов можно найти в следующей папке


Кэш-файлы хранят сырые растровые изображения в виде плиток. Размер каждой плитки может...

Всем привет! В продолжение к статье: Способ изъятия сообщений из базы данных Telegram и статье: Форензика Android, расшифровать и собрать данные из баз Viber совместными силами с @Sunnych доработан модуль работы с БД Viber.

После открытия программы переходим в контекстное меню "Работы с БД" меню и выбираем: "Работа с БД Viber"

Файлы БД Viber находятся:
Сообщения Viber:

/data/data/com.viber.voip/databases/viber_messages

Звонки Viber:

/data/data/com.viber.voip/databases/viber_data

Для работы с БД звонков загружаем viber_data:

И выведем все звонки в Viber...

Криминалистический цифровой анализ USB включает в себя сохранение, сбор, проверку, идентификацию, анализ, интерпретацию, документацию и представление цифровых данных (улик), полученных из цифровых источников, с целью облегчения или дальнейшего восстановления событий, которые были признаны преступными.

Обработка образа диска – криминалистический анализ USB:

• Образ диска определяется как компьютерный файл, где имеется контент и структура устройства хранения данных, это может быть жесткий диск, CD-привод, телефон, планшет, оперативная память или USB-накопитель.
• Образ диска состоит из фактического контента устройства хранения данных, а также информации, необходимой для репликации структуры и компоновки содержимого устройства.
• Однако широкий ассортимент известных инструментов используется в суде для проведения анализа...

Всем привет. Совместно с @Sunnych возникла идея получить переписку телеграмма на рутированном смартфоне.
База данных Telegram, а именно файл cache4.db находиться в смартфоне по адресу:

/data/data/org.telegram.messenger/files/cache4.db

После получения файла БД было разработано приложение Receiver под Windows 7/8/10, приложение использует Microsoft .NET Framework 4.6
требует только распаковки и запуска файла Receiver.exe.
После запуска приложения требуется подключить БД:

При удачном подключении:
Так как в Telegram не все пользователи могут быть связаны с номером телефона для начала выведем таблицу пользователей с их:

• uid (уникальным идентификатором)...

Записи, поддерживаемые списками переходов, могут предоставить богатый источник доказательств хронологии действий пользователя для судебного эксперта. Структура и артефакты, записанные списками переходов, широко обсуждались в различных судебных сообществах с момента его дебюта в Microsoft Windows 7. Однако эта функция имеет больше возможностей для выявления доказательств в Windows 10 из-за своей измененной структуры. В структуре списков переходов в Windows 10 нет литературы, и однозначных инструментов, которые могут успешно разобрать списки переходов как в Windows 7/8, то что доступно (не учитывая специализированные коммерческие комплексы) не работает должным образом для Windows 10.
В этой статье мы определим (в дополнительной информации прикрепленной в наших ресурсах, ссылка ниже) структуру списков переходов в Windows 10 и сравним её с Windows 7/8.
Кроме того, инструмент доказательной концепции JumpListExt (Jump List Extractor) разработан на основе идентифицированной структуры...

Jump List (Списки переходов) – эта функция впервые появилась в Windows 7.
Списки похожи на ярлыки, за исключением того что списки создаться для файлов или каталогов которые используются регулярно.
В отличии от ярлыков они несут в себе больше информации.
Например, браузеры создают списки для просмотра часто посещаемых сайтов, текстовые редакторы (есть исключения) последние открытые документы, другие позволяют создавать для них задачи.


Для пользователя списки переходов упрощают поиск и работу, обеспечивая быстрый доступ к файлам и задачам, связанным с приложениями.
Для криминалиста списки переходов являются хорошим показателем какие файлы были открыты недавно...

Сетевая криминалистика является подразделением цифровой криминалистики, связанной с мониторингом и анализом трафика компьютерной сети в целях сбора информации, юридических данных или обнаружения вторжений.

В отличие от других областей , сетевые исследования касаются изменчивой и динамичной информации. Сетевой трафик передается и затем теряется, поэтому link removed часто является активным исследованием.

Что такое файл PCAP

В области администрирования компьютерной сети, pcap (захват пакетов) состоит из интерфейса прикладного программирования (API) для захвата сетевого трафика.

Unix-подобные системы реализуют pcap в библиотеке libpcap; Windows использует порт libpcap, известный как WinPcap.
Это файл данных, созданный Wireshark (ранее Ethereal), бесплатной...