Форензика и OSINT

Существует множество способов определить, когда на компьютере установлена операционная система Windows. В этом посте вы найдете несколько примеров.
Дата установки очень важна во время судебной экспертизы.

Имейте в виду, что в Windows 10 эта дата может ссылаться на последнее крупное обновление (например, creators update).

1. Извлечение из реестра Windows с помощью Powershell:
Можно получить дату и время непосредственно из реестра: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ InstallDate
Значение ключа реестра «InstallDate» выражается как время UNIX, в количестве секунд с 1 января 1970 года.
Чтобы преобразовать его в читаемый человеком формат в той же Powershell, вы должны написать:


2. Использование systeminfo с помощью CMD:
Systeminfo...

Механизм кэширования RDP уменьшает объем данных, которые необходимо отправить клиенту RDP. Это делается путем кэширования тех частей экрана, которые не изменились с момента последнего обновления дисплея.
Есть два типа файла кеша:

• *.bmc
• Cachennnn.bin (где nnnn - это 4-значное число)

Оба типа файлов можно найти в следующей папке


Кэш-файлы хранят сырые растровые изображения в виде плиток. Размер каждой плитки может варьироваться, но общий размер составляет 64 x 64 пикселя. Глубина цвета фрагментов в файле *.bmc обычно составляет 16 или 32 бит на пиксель (bpp). Плитки в файле Cachennnn.bin имеют глубину...

Всем привет! В продолжение к статье: Способ изъятия сообщений из базы данных Telegram и статье: Форензика Android, расшифровать и собрать данные из баз Viber совместными силами с @Sunnych доработан модуль работы с БД Viber.

После открытия программы переходим в контекстное меню "Работы с БД" меню и выбираем: "Работа с БД Viber"

Файлы БД Viber находятся:
Сообщения Viber:

/data/data/com.viber.voip/databases/viber_messages

Звонки Viber:

/data/data/com.viber.voip/databases/viber_data

Для работы с БД звонков загружаем viber_data:

И выведем все звонки в Viber, если поле: Номер телефона не заполнено то выведутся всё звонки:

Если указать номер телефона, получим список звонков указанного номера...

Криминалистический цифровой анализ USB включает в себя сохранение, сбор, проверку, идентификацию, анализ, интерпретацию, документацию и представление цифровых данных (улик), полученных из цифровых источников, с целью облегчения или дальнейшего восстановления событий, которые были признаны преступными.

Обработка образа диска – криминалистический анализ USB:

• Образ диска определяется как компьютерный файл, где имеется контент и структура устройства хранения данных, это может быть жесткий диск, CD-привод, телефон, планшет, оперативная память или USB-накопитель.
• Образ диска состоит из фактического контента устройства хранения данных, а также информации, необходимой для репликации структуры и компоновки содержимого устройства.
• Однако широкий ассортимент известных инструментов используется в суде для проведения анализа.
• Стандартные инструменты разрешены исключительно в соответствии с законом. Криминалистические эксперты не разрешают выполнять обработку образа с помощью неизвестных инструментов, или новых...

Всем привет. Совместно с @Sunnych возникла идея получить переписку телеграмма на рутированном смартфоне.
База данных Telegram, а именно файл cache4.db находиться в смартфоне по адресу:

/data/data/org.telegram.messenger/files/cache4.db

После получения файла БД было разработано приложение Receiver под Windows 7/8/10, приложение использует Microsoft .NET Framework 4.6
требует только распаковки и запуска файла Receiver.exe.
После запуска приложения требуется подключить БД:

При удачном подключении:
Так как в Telegram не все пользователи могут быть связаны с номером телефона для начала выведем таблицу пользователей с их:

• uid (уникальным идентификатором);
• name (именем);
• полем data (хранит информацию о пользователе в двоичном виде, нам важен в этом поле только номер телефона).

[SPOILER="Таблица с пользователями...

Записи, поддерживаемые списками переходов, могут предоставить богатый источник доказательств хронологии действий пользователя для судебного эксперта. Структура и артефакты, записанные списками переходов, широко обсуждались в различных судебных сообществах с момента его дебюта в Microsoft Windows 7. Однако эта функция имеет больше возможностей для выявления доказательств в Windows 10 из-за своей измененной структуры. В структуре списков переходов в Windows 10 нет литературы, и однозначных инструментов, которые могут успешно разобрать списки переходов как в Windows 7/8, то что доступно (не учитывая специализированные коммерческие комплексы) не работает должным образом для Windows 10.
В этой статье мы определим (в дополнительной информации прикрепленной в наших ресурсах, ссылка ниже) структуру списков переходов в Windows 10 и сравним её с Windows 7/8.
Кроме того, инструмент доказательной концепции JumpListExt (Jump List Extractor) разработан на основе идентифицированной структуры, которая может анализировать списки переходов в Windows 10 как индивидуально, так и совместно.
Было проведено несколько экспериментов по обнаружению попыток противодействия криминальному анализу, таких...

Jump List (Списки переходов) – эта функция впервые появилась в Windows 7.
Списки похожи на ярлыки, за исключением того что списки создаться для файлов или каталогов которые используются регулярно.
В отличии от ярлыков они несут в себе больше информации.
Например, браузеры создают списки для просмотра часто посещаемых сайтов, текстовые редакторы (есть исключения) последние открытые документы, другие позволяют создавать для них задачи.


Для пользователя списки переходов упрощают поиск и работу, обеспечивая быстрый доступ к файлам и задачам, связанным с приложениями.
Для криминалиста списки переходов являются хорошим показателем какие файлы были открыты недавно или какие сайты часто посещаются.

Файлы списков переходов находятся в каталогах:
C:\Users\User_NAME \AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
И...

Сетевая криминалистика является подразделением цифровой криминалистики, связанной с мониторингом и анализом трафика компьютерной сети в целях сбора информации, юридических данных или обнаружения вторжений.

В отличие от других областей цифровой криминалистики, сетевые исследования касаются изменчивой и динамичной информации. Сетевой трафик передается и затем теряется, поэтому link removed часто является активным исследованием.

Что такое файл PCAP

В области администрирования компьютерной сети, pcap (захват пакетов) состоит из интерфейса прикладного программирования (API) для захвата сетевого трафика.

Unix-подобные системы реализуют pcap в библиотеке libpcap; Windows использует порт libpcap, известный как WinPcap.
Это файл данных, созданный Wireshark (ранее Ethereal), бесплатной программой, которая используется для сетевого анализа; содержит сетевые пакетные данных, созданные во время захвата сети в реальном времени; используется для «наблюдения за пакетами» и анализа...

Продолжение: Форензика анализа Thumbs и Thumbcache в Windows
В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как thumbnamil
Иногда, когда редактируется фотография, исходное изображение редактируется, но эскиз нет.
Теория: все расширения файлов имеют свои собственные сигнатуры и ещё.
Мы рассмотрим сигнатуру *.jpg файла которая [FF D8 FF]
В примере у нас испорченный файл Viber3.jpg, запускаем WinHex и открываем в нем наш файл
Далее ищем второе вхождение (но это может быть и первое вхождение, если файл в начале испорчен) [FF D8 FF]
Ctr+Alt+X ставим...