Форензика и OSINT

• [Начало] Forensics Windows Registry
• [Продолжение] Forensics Windows Registry - ntuser.dat
• [Дополнение] Forensics Windows Registry - расшифровка и отображение всех записей UserAssist (к второму пункту статьи "Forensics Windows Registry - ntuser.dat")
• [Дополнение] Forensics Windows Registry - история запуска программ (дополнение к статье "Forensics Windows Registry - ntuser.dat")
• Продолжение этих статей: Forensics Windows Registers all in one program

...

В Форензике Реестр может выявить огромное количество информации о злоумышленнике.
Информация, которая может быть найдена в реестре, включает:

• Пользователи и время последнего использования системы
• Последнее используемое программное обеспечение
• Любые устройства, подключенные к системе, включая уникальные идентификаторы флеш-накопителей, жестких дисков, телефонов, планшетов и.т.д.
• Когда система подключена к определенной точке беспроводного доступа
• Что и когда файлы были доступны
• Список любых поисков, выполненных в системе
• И многое, многое другое

Что такое Реестр Windows?
Согласно Microsoft, статья . Eще описание.
Реестр Windows - это «центральная иерархическая база данных», предназначенная "Для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.
Реестр...

Так вышло что общение с WebWare Team меня с подвигло к написанию данной статьи.

Характер взлома с предыдущим сбором информации и компьютерно техническая экспертиза да и подготовка malware и её же reverse engineering часто используют одни и те же параметры изучения.

Они все получают выгоду от знания методов друг друга. Все зависит от того в каких целях применяются инструменты, а многие из них применимы в всех перечисленных мною направлениях, только на разных этапах работы.

Хочу напомнить о многими забытых инструментах Марка Руссиновича, не зря Microsoft их купила у него, сделала на некоторые gui и на сегодняшний день их Updated: July 5, 2018 и ой как чувствую не зря.

Начал я из далека но разрешите Вам представить , а кому напомнить.

AccessChk - позволяет узнать, к каким типам пользователей и групп доступа относятся файлы...

Недавно я писал о том как Виртуализировать криминалистические образы в Windows так вот один из вариантов исследования в живую это осмотр файлов *.pf - файлы
появилась данная служба в Windows XP и до сих пор включая Windows 10 и Server 2016 работает, смотрим состояние в Registry Keys
Значения:

1. " 0" - Disabled
2. "1" - Application launch prefetching enabled
3. "2" - Boot prefetching enabled
4. "3" - Application launch and boot enabled (default)

Prefetcher наблюдает за запуском каждого приложения в течение первых 10 секунд. Наблюдение за процессом загрузки системы ограничено по времени и прекращается в следующих случаях:

• по истечении 30 секунд с момента...

Сподвигло к написанию статьи то что в интернете множество статей как запустить образы в виртуальной среде, но по факту такие статьи как "How to create copy of Suspects Evidence Using (FTK Imager)", "Booting up evidence E01 image using free tools (FTK Imager & Virtualbox)" и.т.п просто не работоспособны на практике после обновлений самих виртуальных программ.

Начало, что дано и что нужно:

имеем toshiba.E01 (500 Гб) форматы могут отличаться (Ваш выбор или то что есть), данный файл / образ был получен FTK Imager;
требуется зайти именно в рабочую операционную систему и в ней произвести исследования; дополнительные ресурсы - (физическое место) для конвертации отсутствуют и время ограничено. Приступим, я выбрал для использования Arsenal Image Mounter могут отличаться (Ваш выбор) - выбираем программу FTK Imager, Mount Image Pro, OSFMount и.т.п - которая будет поддерживать монтирование Вашего образа (dd, raw, e01, 001 и.т.д) смотрим технические...

Иногда при доступе к ПК нужно максимально и оперативно снять информацию, мы рассмотрим универсальный сборщик доказательств

На выходе получаем вот такой список данных (программа портабельна)):

и красивый отчет в виде файла
Я хотел показать один из инструментов, который Вы сами можете опробовать на своей ОС Windows и наглядно увидеть все что можно получить за очень короткий период времени.
P:S
Наверно это не тянет на статью, но мало кто знает вообще бесплатные...

Иногда при доступе к ПК нужно максимально и оперативно снять информацию, мы рассмотрим автоматизированную утилиту ->

Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.


Рассмотрим один из альтернативных потоков данных Zone.Identifier. Файловая система NTFS может содержать в себе несколько альтернативных потоков данных и содержать дополнительную информацию про файл. Мы разберем только файл с секцией Zone.Identifier в которой указан идентификатор зоны передачи ZoneId, он принимает значения от "0" до "4", а так же свойство ZoneId определяет и помечает загрузку в соответствии с соответствующим...

Недавно стал сторонним наблюдателем душераздирающей драмы, поводом для которой послужило, увы, мое пристрастие к распутыванию различного рода загадок и головоломок.

Краткий очерк того, что здесь будет происходить (дабы незаинтересованные сразу могли покинуть тред): около 2-х недель назад ко мне обратился знакомый (далее "Боб") с просьбой о помощи в доказательстве факта измены своей подруги (далее "Алиса"), апеллируя к тому, что "ты ж программист". Согласен, довольно необычный аргумент в такой ситуации, но технари же всесильны, разве нет ? Конечно, я согласился, ибо предстояло интересное расследование компьютерной активности в поисках аномальных следов любовника на ноутбуке подруги друга (заковыристо!), что обещало хоть как-то разбавить мои серые буди. В этой статье поговорим об опенсорсной утилите usbrip, написанной энтузиастом-соотечественником (насколько я могу судить по...

1. WipeFile
является портативным приложением, которое быстро и безопасно стирает файлы и папки. Данное приложение поддерживает 14 различных методов очистки, например, два стандарта, которые использует ВМС США, стандарт Министерства обороны США, ВВС США и НАТО.
WipeFile полностью перезаписывает информацию, поэтому не существует какого-либо способа восстановить файлы либо их содержимое.

2. Eraser
навсегда удаляет файлы, папки и их ранее удаленные копии. Он перезаписывает файлы, которые были удалены, абсолютно случайными данными. В данном приложении имеется полностью настраиваемый планировщик (Scheduler). Существует несколько вариантов того, сколько раз удаляемые файлы перезаписываются случайными данными, включая две версии стандарта DOD 5220.22-M США (3-pass и 7-pass) и метод Гутмана (Gutmann method), который 35 раз...