Форензика и OSINT

"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.

PcapXray – GUI сетевой криминалистический инструмент для анализа захвата пакетов оффлайн

  • 3 753
  • 0
Network-Forensics-Tool.jpg


Сетевой криминалистический инструмент (Network Forensics Tool) часто используется специалистами службы безопасности для проверки уязвимостей в сети. С помощью этого обучающего руководства, посвященного kali Linux, мы представляем комплексный инструмент PcapXray для анализа файла pcap.

Инструмент отображает хосты в сети, а также всевозможные трафики, а именно, сетевой трафик, выделяет важный трафик и трафик Tor, а также потенциально вредоносный трафик

Инструмент содержит следующие компоненты:
  • Диаграмма сети (Network Diagram).
  • Устройство/детали трафика и его анализ (Device/Traffic Details and Analysis).
  • Идентификация вредоносного трафика (Malicious Traffic Identification).
  • Трафик Tor (Tor Traffic)
  • GUI – GUI c опциями, чтобы загружать файл pcap (GUI – GUI with options to upload pcap file)
Обучающее руководство – Network Forensics...

Статья Forensics Windows tools in Web Browser Artifacts (history, cookie, cache)

  • 2 733
  • 0
Продолжение Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)
Ранее мы рассматривали бесплатные программы.
Тут будут показаны платные решения (надеюсь картинки покажут какой есть в них функционал).

Andriller
Andriller chrome history-1.jpg

Browser History Examiner
Browser History Examiner.jpg
P:S​
Данная статья будет дополняться и получать новые примеры существующих платных программ to by continued...

Browser Forensic Tool

  • 3 446
  • 0
Phrozen Browser Forensic Tool - это приложение безопасности, которое вы можете использовать для проверки различных браузеров, которые вы используете:
Microsoft Internet Explorer, Google Chrome, Comodo Dragon, RockMelt и Opera.
Приложение создаст отчет для истории навигации по ключевым словам и сопоставляет с вредоносными словами, которые позволяют аналитику безопасности извлекать информацию во время судебного анализа.
Это полезно для того, чтобы не создавать программу для каждого браузера, Вы будете иметь в одном интерфейсе всю информацию, необходимую для веб-браузеров.
21125
21126
Выходит такая мгновенная индексация по браузерам (и программа бесплатна).
пароль на архив с программой: codeby.net =...

Статья Форензика анализа Thumbs и Thumbcache в Windows

  • 4 903
  • 0
В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как thumbcache и .
В многих из этих случаев миниатюры это доказательства, дальнейший их анализ может найти дополнительную информацию, касающуюся миниатюры, например, возможность связать миниатюру с файлом изображения на носителе или найти информацию ведущую к исходному файлу, используемому для создания миниатюры, например полный путь и исходный файл имя.
Microsoft внедрила этот функционал с Windows 95 - сохранения уменьшенных изображений в файлах системных контейнеров, таких как Thumbs.db позже начиная с Windows Vista Thumbcache.db.
Эти системные файлы хранят такую информацию как:
  • исходное имя файла
  • даты и время
  • копию уменьшенного изображения
В этом месте находятся многочисленные файлы кеш-файлов эскизов; Thumbcache_32.db, Thumbcache_96.db, Thumbcache_256.db...

Статья [1 часть] WINHEX. Практический пример извлечения даты и времени, из файлов ярлыков Windows.

  • 4 382
  • 2
Пример извлечения даты и времени, из файлов ярлыков Windows по документу: The Meaning of Linkfiles In Forensic Examinations (en)
В ОС Windows при первом обращении к файлу на него в каталоге (по адресу: C:\Users\NAME_USER\AppData\Roaming\Microsoft\Windows\Recent) будет создана ссылка на него.

Вот эти ссылки мы и будем изучать

При первом открытии файла в ссылку запишется три даты, дата создания, изменения, открытия, при последующих обращения к файлу дата создания будет оставаться не изменой, даты изменения и открытия это дата последнего обращения к файлу.

1 ссылка.png
1 открыт несколько раз.png

В winhex открыв lnk файл, интересующие нас даты мы увидим в начале файла.

hex data.jpg
на фотографии даты выделены цветом, красным дата создания, синим дата...

Статья Forensics Windows Registry - история запуска программ

  • 7 543
  • 0
История запуска программ​
Дополнение статьи Forensics Windows Registry - ntuser.dat

Статья Форензика Android, расшифровать и собрать данные из баз Viber

  • 7 053
  • 3
Форензика Android, расшифровать сообщения баз данных в Viber В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер Viber. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.
  • Сообщения Viber
/data/data/com.viber.voip/databases/viber_messages
  • Звонки Viber
/data/data/com.viber.voip/databases/viber_data
Viber.jpg
Копируем всю папку с базами в удобное для нас место.
Для открытия viber_messages будем использовать программу Andriller - сразу оговорюсь, программа не...

Статья Анализ корзины Windows в компьютерной криминалистике

  • 5 380
  • 1
Практически во всех случаях цифровой криминалистики, где задействован компьютер Windows, нам необходимо обработать корзину для удаленных файлов.
Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход.
INFO2 и другие похожие файлы ссылок больше не доступны.
  • File name and full path of the deleted file (Имя файла и полный путь к удаленному файлу)
  • Size of the deleted file (Размер удалённого файла)
  • Date/Time at which the file was deleted (Дата/время, когда файл был удален)
C:\RECYCLER\SID*\INFO2
под папка (sub-folder) sid соответствует SID пользователя, который удалил файл. Под папка создается для данного пользователя при первом удалении файла, который отправляется в корзину (Recycle Bin)
Вместо этого есть два набора...

Статья Forensics Windows Registry - расшифровка и отображение всех записей UserAssist

  • 6 183
  • 0
Эта статья составляющий элемент статьи Forensics Windows Registry - ntuser.dat второго пункта "2. количество раз, когда был запущен пример calc.exe "
но с дополнительными программами и другим примером который проводится на виртуальной машине уже участвующей в статье Миф Анти-форензики ntuser.dat в ntuser.man
Теория:
UserAssist - Microsoft использует для заполнения пользовательского меню запуска с помощью часто используемых приложений.
Они существуют с Windows XP и последующих версиях.
Эти значения располагаются в кусте NTUSER.DAT каждого пользователя
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
  • идентификаторы SID
  • имена пользователей
  • индексы
  • имена приложений
  • количество запусков
  • сеанс и атрибуты времени последнего запуска
Для примера...

Статья Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp

  • 9 496
  • 9
Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер WatsApp. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.
  • Контакты WhatsApp
/data/data/com.whatsapp/databases/wa.db
  • Сообщения WhatsApp
/data/data/com.whatsapp/databases/msgstore.db
  • Ключ для криптования
/data/data/com.whatsapp/files/key
Screenshot_20180803-133825LeECO.jpg
Для расшифровки будем использовать программу Andriller...