Форензика и OSINT

Ситуация: сотрудник решил прошить документы с помощью дрели и не проверил как
расположены диски, в итоге документы он подшил а мне на стол легли диски с отверстиями.
Диски выглядели следующим образом:
Фото взято с просторов, красным отмечены места повреждения.

Разберем диск номер 1, так как подход и реализация принципиально различаются.

На фотографии видно что повреждение приходится на конец записи, это могло бы обрадовать если на диске хранились бы различные данные, но к сожалению на диске лежал только один видеоролик. И разумеется в единственном экземпляре.
Изначально я решил попробовать просто вставить диск в дисковод и прочитать его на низких скоростях(что бы он не разлетелся, или не пошла трещина),
диск успешно определился, видео воспроизвелось, показ ролика прервался на половине, копирование (с помощью различных программ для восстановления CD и подобных)
прерывалось на 60% данных, и на выходе ролик даже не...

Файлы LNK являются относительно простым, но ценным артефактом для исследователя судебной экспертизы. Это ярлыки, которые ссылаются на приложение или файл, обычно встречающиеся на рабочем столе пользователя или во всей системе, и заканчиваются расширением .lnk. Файлы LNK могут быть созданы пользователем или автоматически операционной системой Windows. У каждого есть своя ценность и смысл. Созданные Windows файлы LNK генерируются, когда пользователь открывает локальный или удаленный файл или документ, предоставляя следователям ценную информацию о деятельности подозреваемого при исследовании операционной системы криминалистом.

• Исходный путь файла/объекта и временные метки объекта, на который ссылается ярлык
• Идентификатор тома, с которого был открыт файл (программный серийный номер файловой системы – весьма переменчивая величина, задаётся при форматировании раздела)
• Информация об объеме и системе, в которых хранится файл LNK. Это будет включать в себя имя...

В Windows системах файл ntuser.dat - это файл реестра, для каждого пользователя он индивидуален более подробно Forensics Windows Registry - ntuser.dat

Много статей и описаний что при смене расширения ntuser.dat на ntuser.man, профиль пользователя будет защищен от изменения и некоторым советуют это как средство анти-форензик, и еще множество описаний какие файлы системы удалить и у каких групп забрать права и изменить права в ветках реестра - это бредово, так как если менять права веток реестра, то нет надобности изменять файл ntuser.dat.

Приведу пример:

Теория - ntuser.dat его ветка HKEY_CURRENT_USER
Создана виртуальная машина с Win10x64


мы видим наш стандартный ntuser.dat, перегружаемся с загрузочного WinPE
меняем расширение нашего файла ntuser.dat в ntuser.man

Фреймворки

• Forensic Framework Volatility
• Autopsy - цифровая криминалистическая платформа

Реал-тайм утилиты

Работа с образами (создание, клонирование)

• Виртуализация криминалистических образов в Windows
• AccessData FTK Imager против Arsenal Image Mounter...

Иногда при доступе к ПК нужно максимально и оперативно снять информацию, мы рассмотрим автоматизированную утилиту FastIR Collector
запуск (на картинке в shell запущен был cmd от Администратора

На выходе получаем вот такой список данных (утилита портабельна)):
Не скажу что утилита хороша но папка evt с *.evtx и файлик USBHistory.csv очень даже нужные - но много го нет.
[1 часть] Универсальный...

Восстановление данных с помошью программы winhex.
Происшествие: Сотрудник работал с текстовым документом, удалил из него информацию и сохранил под тем же именем.
Задача: восстановить предыдущую редакцию документа без потери информации.

Для имитации будем использовать текстовый документ формата docx. Создаем документ на флешки, и заполняем его информацией, для примера в исходный файл я ввел одной строкой единицы, сохранил документ, далее ввел двойки, сохранил, и так далее до пяти.
Задача восстановить документ до исходного состояния с единицами.

Запускаем программу Winhex с правами администратора, заходим Tools->open disk или клавиша F9.

Выбираем физический носитель на котором находится документ.

Откроется редактор данных, заходим Tools->Disk Tools -> File Recovery by Type,
...

Уже была статья бесплатные программы в Windows по нахождению данных в веб-браузерах (история, cookie, кеш) Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)
Сейчас мы рассмотрим универсальный инструмент DB Browser for SQLite, с его помощью разберем данные артефакты в ручную и определим откуда программы берут такие данные как история, кеш, cookie.

Mozilla Firefox в которой есть вот такие (пример картинка) базы данных

• С помощью DB Browser for SQLite откроем файл базы данных places.sqlite который хранит аннотации, закладки, любимые значки, историю ввода, ключевые слова и историю просмотров (запись посещенных страниц).

...

При расследовании инцидентов часто на экспертизу попадают usb накопители, но методы изъятия из ПК или ноутбуков делают эти устройства потом не читаемыми, как пример такого устройства pqi usb flash 256 мб, при подключении в систему выдает "форматировать диск"
Мы рассмотрим такие программы:

• GetDataBack Simple
• R-Studio
• BlackLight 2018 Release 2
• AccessData Forensic Toolkit FTK
• X-Ways Forensics
• Recovery Explorer Professional
• 7-Data_Recovery
• MiniToolPowerDataRecovery
• OntrackEasyRecovery
• Recover My Files
• ForensicsMaster
• DMDE - DM Disk Editor and Data Recovery Software

GetDataBack Simple программа нормально отобразила файлы и папки и была запущена

В Форензике история посещений страниц в интернете это неотъемлемая часть экспертиз, в этот раз мы рассмотрим только явные следы (удаленные и.т.п это отдельные темы для рассмотрений).
Немного теории (места хранения не удаленных данных):

Продолжение статей:
[Начало] Forensics Windows Registry
[Продолжение] Forensics Windows Registry - ntuser.dat
Иногда для получения полной картины все данные реестра нужно собрать в одно цело с которым будет удобнее рассматривать все варианты произошедшего или исследования следов/артефактов.
Дано:

1. ntuser.dat извлечён из криминалистического образа (dd, raw, e01, 001 и.т.д)
2. файлы реестра SAM, SECURITY, SOFTWARE, SYSTEM, DEFAULT, DRIVERS полученные IREC или Triage или скопированы из...