• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Форензика и OSINT

"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.

Статья Comparison of file recovery programs usb mass storage device (Windows)

  • 4 966
  • 3
При расследовании инцидентов часто на экспертизу попадают usb накопители, но методы изъятия из ПК или ноутбуков делают эти устройства потом не читаемыми, как пример такого устройства pqi usb flash 256 мб, при подключении в систему выдает "форматировать диск"
error.jpg
Мы рассмотрим такие программы:
  • GetDataBack Simple
  • R-Studio
  • BlackLight 2018 Release 2
  • AccessData Forensic Toolkit FTK
  • X-Ways Forensics
  • Recovery Explorer Professional
  • 7-Data_Recovery
  • MiniToolPowerDataRecovery
  • OntrackEasyRecovery
  • Recover My Files
  • ForensicsMaster
  • DMDE - DM Disk Editor and Data Recovery Software
GetDataBack Simple программа нормально отобразила файлы и папки и была запущена
GetDataBack Simple-1f.jpg
[ATTACH type="full" alt="GetDataBack...

Статья Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)

  • 4 737
  • 3
В Форензике история посещений страниц в интернете это неотъемлемая часть экспертиз, в этот раз мы рассмотрим только явные следы (удаленные и.т.п это отдельные темы для рассмотрений).
Немного теории (места хранения не удаленных данных):
Код:
Microsoft Windows 7:
AppData\Local\Microsoft
C:\Users\{user}\AppData\Local\Microsoft\Internet Explorer\IECompatData\
C:\Users\{user}\AppData\Local\Microsoft\Feeds Cache\
C:\Users\{user}\AppData\Local\Microsoft\Windows\WebCache\
-> AppData\Local\Microsoft\Windows\History
C:\Users\{user}\AppData\Local\Microsoft\Windows\History\
-> AppData\local\Microsoft\Windows\Temporary Internet Files
C:\Users\{user}\AppData\Local\Microsoft\Windows\Temporary Internet Files\
-> AppData\Local
C:\Users\{user}\AppData\Local\Temp\
-> AppData\LocalLow
C:\Users\{user}\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore\
-> AppData\Roaming
C:\Users\{user}\AppData\Roaming\Microsoft\Internet Explorer\UserData\...

Статья Forensics Windows Registers all in one program

  • 3 584
  • 1
Продолжение статей:
[Начало] Forensics Windows Registry
[Продолжение] Forensics Windows Registry - ntuser.dat
Иногда для получения полной картины все данные реестра нужно собрать в одно цело с которым будет удобнее рассматривать все варианты произошедшего или исследования следов/артефактов.
Дано:
  1. ntuser.dat извлечён из криминалистического образа (dd, raw, e01, 001 и.т.д)
  2. файлы реестра SAM, SECURITY, SOFTWARE, SYSTEM, DEFAULT, DRIVERS полученные IREC или Triage или скопированы из...

Статья Forensics Windows Registry - ntuser.dat

  • 7 342
  • 0
...

Статья Forensics Windows Registry

  • 9 197
  • 9
В Форензике Реестр может выявить огромное количество информации о злоумышленнике.
Информация, которая может быть найдена в реестре, включает:
  • Пользователи и время последнего использования системы
  • Последнее используемое программное обеспечение
  • Любые устройства, подключенные к системе, включая уникальные идентификаторы флеш-накопителей, жестких дисков, телефонов, планшетов и.т.д.
  • Когда система подключена к определенной точке беспроводного доступа
  • Что и когда файлы были доступны
  • Список любых поисков, выполненных в системе
  • И многое, многое другое
Что такое Реестр Windows?
Согласно Microsoft, статья . Eще описание.
Реестр Windows - это «центральная иерархическая база данных», предназначенная "Для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.
Реестр...

Статья Forensics & Hack & Malware Analysis & Reverse Engineering - Free Tools Windows

  • 4 770
  • 5
Так вышло что общение с WebWare Team меня с подвигло к написанию данной статьи.

Характер взлома с предыдущим сбором информации и компьютерно техническая экспертиза да и подготовка malware и её же reverse engineering часто используют одни и те же параметры изучения.

Они все получают выгоду от знания методов друг друга. Все зависит от того в каких целях применяются инструменты, а многие из них применимы в всех перечисленных мною направлениях, только на разных этапах работы.

Хочу напомнить о многими забытых инструментах Марка Руссиновича, не зря Microsoft их купила у него, сделала на некоторые gui и на сегодняшний день их Updated: July 5, 2018 и ой как чувствую не зря.

Начал я из далека но разрешите Вам представить , а кому напомнить.

AccessChk - позволяет узнать, к каким типам пользователей и групп доступа относятся файлы...

Статья Форензика Prefetch в Windows

  • 5 383
  • 0
Недавно я писал о том как Виртуализировать криминалистические образы в Windows так вот один из вариантов исследования в живую это осмотр файлов *.pf - файлы
появилась данная служба в Windows XP и до сих пор включая Windows 10 и Server 2016 работает, смотрим состояние в Registry Keys
Код:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters
Значения:
  1. " 0" - Disabled
  2. "1" - Application launch prefetching enabled
  3. "2" - Boot prefetching enabled
  4. "3" - Application launch and boot enabled (default)
Prefetcher наблюдает за запуском каждого приложения в течение первых 10 секунд. Наблюдение за процессом загрузки системы ограничено по времени и прекращается в следующих случаях:
  • по истечении 30 секунд с момента...

Статья Виртуализация криминалистических образов в Windows

  • 7 164
  • 4
Сподвигло к написанию статьи то что в интернете множество статей как запустить образы в виртуальной среде, но по факту такие статьи как "How to create copy of Suspects Evidence Using (FTK Imager)", "Booting up evidence E01 image using free tools (FTK Imager & Virtualbox)" и.т.п просто не работоспособны на практике после обновлений самих виртуальных программ.

Начало, что дано и что нужно:

имеем toshiba.E01 (500 Гб) форматы могут отличаться (Ваш выбор или то что есть), данный файл / образ был получен FTK Imager;
требуется зайти именно в рабочую операционную систему и в ней произвести исследования; дополнительные ресурсы - (физическое место) для конвертации отсутствуют и время ограничено. Приступим, я выбрал для использования Arsenal Image Mounter могут отличаться (Ваш выбор) - выбираем программу FTK Imager, Mount Image Pro, OSFMount и.т.п - которая будет поддерживать монтирование Вашего образа (dd, raw, e01, 001 и.т.д) смотрим технические...

Статья [2 часть] Универсальный сборщик данных (IREC) с работающей системы Windows

  • 4 978
  • 0
Иногда при доступе к ПК нужно максимально и оперативно снять информацию, мы рассмотрим универсальный сборщик доказательств
Полная. Собирает изображение ОЗУ, $ MFT как CSV, журналы событий, информацию о спящем режиме, кеш DNS и многое другое,
Портативный. Не требуется установка,
Совместимость. Поддерживает все 32 и 64-битные версии Windows, начиная с XP,
Удобный. Создает простой для обмена отчетами HTML и JSON,
Молния быстро. Он собирает их всех через несколько минут!

На выходе получаем вот такой список данных (программа портабельна)):
IREC-1.jpg

и красивый отчет в виде файла
IREC-2.jpg
Я хотел показать один из инструментов, который Вы сами можете опробовать на своей ОС Windows и наглядно увидеть все что можно получить за очень короткий период времени.
P:S
Наверно это не тянет на статью, но мало кто знает вообще бесплатные...

Статья [1 часть] Универсальный сборщик данных (Triage) с работающей системы Windows

  • 6 105
  • 2
Иногда при доступе к ПК нужно максимально и оперативно снять информацию, мы рассмотрим автоматизированную утилиту ->
  • Gather Information on
    • System Information
    • Running Processes
    • Services Information
    • NTFS Information
    • Mounted Disks
    • Directory Structure
    • Scheduled Tasks
    • AutoRun
    • Account Settings
    • Logged in Users
    • IP Configuration
    • Routes
    • Active Connections
    • ARP
    • DNS
    • NETBIOS
    • Network Shares
    • Shared Files
    • Connected Sessions
    • Workgroup PCs
  • Capture Evidence
    • Prefetch
    • Recent Folder
    • Jump Lists (Windows 7)
    • SYSTEM hive
    • SECURITY hive
    • SAM hive
    • SOFTWARE hive
    • Current User NTUSER.DAT
    • All user's NTUSER.DAT
    • Random Access Memory
  • Preserve Data
    • MD5 Hashing
    • SHA1 Hashing
    ...