Форензика и OSINT
"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.
Статья Форензика анализа Thumbs и Thumbcache в Windows
В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как thumbcache и
.
В многих из этих случаев миниатюры это доказательства, дальнейший их анализ может найти дополнительную информацию, касающуюся миниатюры, например, возможность связать миниатюру с файлом изображения на носителе или найти информацию ведущую к исходному файлу, используемому для создания миниатюры, например полный путь и исходный файл имя.
Microsoft внедрила этот функционал с Windows 95 - сохранения уменьшенных изображений в файлах системных контейнеров, таких как Thumbs.db позже начиная с Windows Vista Thumbcache.db.
Эти системные файлы хранят такую информацию как:
В многих из этих случаев миниатюры это доказательства, дальнейший их анализ может найти дополнительную информацию, касающуюся миниатюры, например, возможность связать миниатюру с файлом изображения на носителе или найти информацию ведущую к исходному файлу, используемому для создания миниатюры, например полный путь и исходный файл имя.
Microsoft внедрила этот функционал с Windows 95 - сохранения уменьшенных изображений в файлах системных контейнеров, таких как Thumbs.db позже начиная с Windows Vista Thumbcache.db.
Эти системные файлы хранят такую информацию как:
- исходное имя файла
- даты и время
- копию уменьшенного изображения
Статья [1 часть] WINHEX. Практический пример извлечения даты и времени, из файлов ярлыков Windows.
Пример извлечения даты и времени, из файлов ярлыков Windows по документу: The Meaning of Linkfiles In Forensic Examinations (en)
В ОС Windows при первом обращении к файлу на него в каталоге (по адресу:
Вот эти ссылки мы и будем изучать
При первом открытии файла в ссылку запишется три даты, дата создания, изменения, открытия, при последующих обращения к файлу дата создания будет оставаться не изменой, даты изменения и открытия это дата последнего обращения к файлу.
В winhex открыв lnk файл, интересующие нас даты мы увидим в начале файла.
на фотографии даты выделены цветом, красным дата создания, синим дата...
В ОС Windows при первом обращении к файлу на него в каталоге (по адресу:
C:\Users\NAME_USER\AppData\Roaming\Microsoft\Windows\Recent) будет создана ссылка на него.Вот эти ссылки мы и будем изучать
При первом открытии файла в ссылку запишется три даты, дата создания, изменения, открытия, при последующих обращения к файлу дата создания будет оставаться не изменой, даты изменения и открытия это дата последнего обращения к файлу.
В winhex открыв lnk файл, интересующие нас даты мы увидим в начале файла.
Статья Forensics Windows Registry - история запуска программ
История запуска программ
Дополнение статьи Forensics Windows Registry - ntuser.dat- [Начало] Forensics Windows Registry
- [Продолжение] Forensics Windows Registry - ntuser.dat
- [Дополнение] Forensics Windows Registry - расшифровка и отображение всех записей UserAssist (к второму пункту статьи "Forensics Windows Registry - ntuser.dat")
- [Дополнение] Forensics Windows Registry - история запуска программ (дополнение к статье "Forensics Windows Registry -...
Статья Форензика Android, расшифровать и собрать данные из баз Viber
Форензика Android, расшифровать сообщения баз данных в Viber В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер Viber. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.
Копируем всю папку с базами в удобное для нас место.
Для открытия viber_messages будем использовать программуAndriller - сразу оговорюсь, программа не...
Рассмотрим места нахождение нужных нам файлов и баз данных.
- Сообщения Viber
/data/data/com.viber.voip/databases/viber_messages - Звонки Viber
/data/data/com.viber.voip/databases/viber_data
Для открытия viber_messages будем использовать программу
Статья Анализ корзины Windows в компьютерной криминалистике
Практически во всех случаях цифровой криминалистики, где задействован компьютер Windows, нам необходимо обработать корзину для удаленных файлов.
Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход.
INFO2 и другие похожие файлы ссылок больше не доступны.
под папка (sub-folder) sid соответствует SID пользователя, который удалил файл. Под папка создается для данного пользователя при первом удалении файла, который отправляется в корзину (Recycle Bin)
Вместо этого есть два набора...
Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход.
INFO2 и другие похожие файлы ссылок больше не доступны.
- File name and full path of the deleted file (Имя файла и полный путь к удаленному файлу)
- Size of the deleted file (Размер удалённого файла)
- Date/Time at which the file was deleted (Дата/время, когда файл был удален)
C:\RECYCLER\SID*\INFO2под папка (sub-folder) sid соответствует SID пользователя, который удалил файл. Под папка создается для данного пользователя при первом удалении файла, который отправляется в корзину (Recycle Bin)
Статья Forensics Windows Registry - расшифровка и отображение всех записей UserAssist
Эта статья составляющий элемент статьи Forensics Windows Registry - ntuser.dat второго пункта "2. количество раз, когда был запущен пример calc.exe "
но с дополнительными программами и другим примером который проводится на виртуальной машине уже участвующей в статье Миф Анти-форензики ntuser.dat в ntuser.man
Теория:
UserAssist - Microsoft использует для заполнения пользовательского меню запуска с помощью часто используемых приложений.
Они существуют с Windows XP и последующих версиях.
Эти значения располагаются в кусте NTUSER.DAT каждого пользователя
но с дополнительными программами и другим примером который проводится на виртуальной машине уже участвующей в статье Миф Анти-форензики ntuser.dat в ntuser.man
Теория:
UserAssist - Microsoft использует для заполнения пользовательского меню запуска с помощью часто используемых приложений.
Они существуют с Windows XP и последующих версиях.
Эти значения располагаются в кусте NTUSER.DAT каждого пользователя
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist- идентификаторы SID
- имена пользователей
- индексы
- имена приложений
- количество запусков
- сеанс и атрибуты времени последнего запуска
Статья Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp
Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер WatsApp. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.
Для расшифровки будем использовать программу Andriller...
Рассмотрим места нахождение нужных нам файлов и баз данных.
- Контакты WhatsApp
/data/data/com.whatsapp/databases/wa.db- Сообщения WhatsApp
/data/data/com.whatsapp/databases/msgstore.db- Ключ для криптования
/data/data/com.whatsapp/files/key
Статья [2 часть] Восстановления данных с CD дисков.
Продолжение статьи [1 часть] Восстановления данных с CD дисков.
Логическая структура компакт диска прпедставляет собой три зоны,
зона ввода (lead-in), зона данных (user data) и зона вывтода (lead-out). Располагаются они в названном порядке, начиная от внутренней части диска.
Зона ввода предназначена для позиционирования считывающей системы на дорожке и синхронизации.
В этой зоне находится TOC - Table of Contents, если просто то таблица в которой записано расположение файлов на диске.
Вот как раз эту зону и повредили на втором диске.
Итак приступим к восстановлению:
Сначала найдем аналогичный диск (диск должен быть полностью идентичным), запишем на него файл аналогичный или большего объема.
Далее по тексту аналогичный диск будем именовать ДИСК1, поврежденный ДИСК2.
Разбираем привод (открываем ютуб и смотрим как разобрать) снимаем лицевую панель, раскручиваем корпус для облегчения доступа к...
Логическая структура компакт диска прпедставляет собой три зоны,
зона ввода (lead-in), зона данных (user data) и зона вывтода (lead-out). Располагаются они в названном порядке, начиная от внутренней части диска.
Зона ввода предназначена для позиционирования считывающей системы на дорожке и синхронизации.
В этой зоне находится TOC - Table of Contents, если просто то таблица в которой записано расположение файлов на диске.
Вот как раз эту зону и повредили на втором диске.
Итак приступим к восстановлению:
Сначала найдем аналогичный диск (диск должен быть полностью идентичным), запишем на него файл аналогичный или большего объема.
Далее по тексту аналогичный диск будем именовать ДИСК1, поврежденный ДИСК2.
Разбираем привод (открываем ютуб и смотрим как разобрать) снимаем лицевую панель, раскручиваем корпус для облегчения доступа к...
unlocking iOS 11's Gates with GrayKey and Magnet AXIOM
unlocking iOS 11's Gates with GrayKey and Magnet AXIOM - презентация программы, по приглашениям в вебинаре 01.08.2018
Новость у нас: Новая операционная система IOS 12 для iPhone может включать в себя защиту от разблокировки устройств
tweetlord: Элегантный дампер страничек Твиттера, жонглирующий авторизациями
[+ бонус в конце поста]
Приветствую случайных гостей и постояльцев форума!
Не так давно по долгу службы, потребовалось сдампить в оффлайн Твиттер-профиль одного пользователя. Признаться честно, с твиттеровским АПИ прежде не сталкивался, а вникать не очень хотелось ради написания одного скрипта (да и аккаунта у меня нет), поэтому побрел на поиски решения в сеть. Сказать, что существует целая куча готовых инструментов для подобных задач — значит не сказать ничего. За 10 минут была открыта целая галактика Твиттер-загрузчиков всех цветов и расцветок: от небольших самопальных Python-скриптов с довольно скудным функционалом, грубо выводящих результат прямо в консоль (романтично, но неудобно), до больших платных веб-сервисов, красиво заворачивающих результат в Excel-таблички. Однако на просторах Гитхаба (привет, Микрософт!) была найдена очень милая тулза, которой не смог не поделиться с Миром, к тому же, как выяснилось я...
Приветствую случайных гостей и постояльцев форума!
Не так давно по долгу службы, потребовалось сдампить в оффлайн Твиттер-профиль одного пользователя. Признаться честно, с твиттеровским АПИ прежде не сталкивался, а вникать не очень хотелось ради написания одного скрипта (да и аккаунта у меня нет), поэтому побрел на поиски решения в сеть. Сказать, что существует целая куча готовых инструментов для подобных задач — значит не сказать ничего. За 10 минут была открыта целая галактика Твиттер-загрузчиков всех цветов и расцветок: от небольших самопальных Python-скриптов с довольно скудным функционалом, грубо выводящих результат прямо в консоль (романтично, но неудобно), до больших платных веб-сервисов, красиво заворачивающих результат в Excel-таблички. Однако на просторах Гитхаба (привет, Микрософт!) была найдена очень милая тулза, которой не смог не поделиться с Миром, к тому же, как выяснилось я...