Форензика и OSINT

"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.

Статья [2 часть] Восстановления данных с CD дисков.

  • 3 478
  • 0
Продолжение статьи [1 часть] Восстановления данных с CD дисков.

Логическая структура компакт диска прпедставляет собой три зоны,
зона ввода (lead-in), зона данных (user data) и зона вывтода (lead-out). Располагаются они в названном порядке, начиная от внутренней части диска.
Зона ввода предназначена для позиционирования считывающей системы на дорожке и синхронизации.
В этой зоне находится TOC - Table of Contents, если просто то таблица в которой записано расположение файлов на диске.
Вот как раз эту зону и повредили на втором диске.

Итак приступим к восстановлению:
Сначала найдем аналогичный диск (диск должен быть полностью идентичным), запишем на него файл аналогичный или большего объема.
Далее по тексту аналогичный диск будем именовать ДИСК1, поврежденный ДИСК2.
Разбираем привод (открываем ютуб и смотрим как разобрать) снимаем лицевую панель, раскручиваем корпус для облегчения доступа к...

unlocking iOS 11's Gates with GrayKey and Magnet AXIOM

  • 2 702
  • 0
unlocking iOS 11's Gates with GrayKey and Magnet AXIOM - презентация программы, по приглашениям в вебинаре 01.08.2018

Новость у нас: Новая операционная система IOS 12 для iPhone может включать в себя защиту от разблокировки устройств

tweetlord: Элегантный дампер страничек Твиттера, жонглирующий авторизациями

  • 3 423
  • 1
[+ бонус в конце поста]
Приветствую случайных гостей и постояльцев форума!

Не так давно по долгу службы, потребовалось сдампить в оффлайн Твиттер-профиль одного пользователя. Признаться честно, с твиттеровским АПИ прежде не сталкивался, а вникать не очень хотелось ради написания одного скрипта (да и аккаунта у меня нет), поэтому побрел на поиски решения в сеть. Сказать, что существует целая куча готовых инструментов для подобных задач — значит не сказать ничего. За 10 минут была открыта целая галактика Твиттер-загрузчиков всех цветов и расцветок: от небольших самопальных Python-скриптов с довольно скудным функционалом, грубо выводящих результат прямо в консоль (романтично, но неудобно), до больших платных веб-сервисов, красиво заворачивающих результат в Excel-таблички. Однако на просторах Гитхаба (привет, Микрософт!) была найдена очень милая тулза, которой не смог не поделиться с Миром, к тому же, как выяснилось я...

Статья [1 часть] Восстановления данных с CD дисков

  • 5 113
  • 6
Ситуация: сотрудник решил прошить документы с помощью дрели и не проверил как
расположены диски, в итоге документы он подшил а мне на стол легли диски с отверстиями.
Диски выглядели следующим образом:
2.jpg
Фото взято с просторов, красным отмечены места повреждения.

Разберем диск номер 1, так как подход и реализация принципиально различаются.

На фотографии видно что повреждение приходится на конец записи, это могло бы обрадовать если на диске хранились бы различные данные, но к сожалению на диске лежал только один видеоролик. И разумеется в единственном экземпляре.
Изначально я решил попробовать просто вставить диск в дисковод и прочитать его на низких скоростях(что бы он не разлетелся, или не пошла трещина),
диск успешно определился, видео воспроизвелось, показ ролика прервался на половине, копирование (с помощью различных программ для восстановления CD и подобных)
прерывалось на 60% данных, и на выходе ролик даже не...

Статья Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk

  • 5 861
  • 2
Файлы LNK являются относительно простым, но ценным артефактом для исследователя судебной экспертизы. Это ярлыки, которые ссылаются на приложение или файл, обычно встречающиеся на рабочем столе пользователя или во всей системе, и заканчиваются расширением .lnk. Файлы LNK могут быть созданы пользователем или автоматически операционной системой Windows. У каждого есть своя ценность и смысл. Созданные Windows файлы LNK генерируются, когда пользователь открывает локальный или удаленный файл или документ, предоставляя следователям ценную информацию о деятельности подозреваемого при исследовании операционной системы криминалистом.
  • Исходный путь файла/объекта и временные метки объекта, на который ссылается ярлык
  • Идентификатор тома, с которого был открыт файл (программный серийный номер файловой системы – весьма переменчивая величина, задаётся при форматировании раздела)
  • Информация об объеме и системе, в которых хранится файл LNK. Это будет включать в себя имя...

Статья Миф Анти-форензики ntuser.dat в ntuser.man

  • 6 033
  • 2
В Windows системах файл ntuser.dat - это файл реестра, для каждого пользователя он индивидуален более подробно Forensics Windows Registry - ntuser.dat

Много статей и описаний что при смене расширения ntuser.dat на ntuser.man, профиль пользователя будет защищен от изменения и некоторым советуют это как средство анти-форензик, и еще множество описаний какие файлы системы удалить и у каких групп забрать права и изменить права в ветках реестра - это бредово, так как если менять права веток реестра, то нет надобности изменять файл ntuser.dat.

Приведу пример:

Теория - ntuser.dat его ветка HKEY_CURRENT_USER
Создана виртуальная машина с Win10x64


мы видим наш стандартный ntuser.dat, перегружаемся с загрузочного WinPE
статья-2.jpg
меняем расширение нашего файла ntuser.dat в ntuser.man
[SPOILER="ntuser.dat в...​

Каталог Компьютерная криминалистика (Форензика - Forensics): каталог статей "list of articles".

Статья [3 часть] Универсальный сборщик данных (FastIR Collector) с работающей системы Windows

  • 5 245
  • 0
Иногда при доступе к ПК нужно максимально и оперативно снять информацию, мы рассмотрим автоматизированную утилиту FastIR Collector
Этот инструмент собирает различные артефакты в живой Windows и записывает результаты в файлы csv или json.
При анализе этих артефактов может быть обнаружено раннее нарушение.
Код:
C:\Users\Toor\Downloads\Fastir_Collector>FastIR_x64.exe --packages fast
запуск (на картинке в shell запущен был cmd от Администратора
[​

На выходе получаем вот такой список данных (утилита портабельна)):
20723
Не скажу что утилита хороша но папка evt с *.evtx и файлик USBHistory.csv очень даже нужные - но много го нет.
P:S​
[1 часть] Универсальный...

Статья Восстановление замененных файлов с помощью Winhex

  • 13 029
  • 6
Восстановление данных с помошью программы winhex.
Происшествие: Сотрудник работал с текстовым документом, удалил из него информацию и сохранил под тем же именем.
Задача: восстановить предыдущую редакцию документа без потери информации.

Для имитации будем использовать текстовый документ формата docx. Создаем документ на флешки, и заполняем его информацией, для примера в исходный файл я ввел одной строкой единицы, сохранил документ, далее ввел двойки, сохранил, и так далее до пяти.
Задача восстановить документ до исходного состояния с единицами.

Запускаем программу Winhex с правами администратора, заходим Tools->open disk или клавиша F9.
1.png

Выбираем физический носитель на котором находится документ.
2.png

Откроется редактор данных, заходим Tools->Disk Tools -> File Recovery by Type,
3-.png
...

Статья Forensics Web Browser Artifacts (history, cookie, cache) Windows - search handmade

  • 4 125
  • 2
Уже была статья бесплатные программы в Windows по нахождению данных в веб-браузерах (история, cookie, кеш) Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)
Сейчас мы рассмотрим универсальный инструмент DB Browser for SQLite, с его помощью разберем данные артефакты в ручную и определим откуда программы берут такие данные как история, кеш, cookie.

Mozilla Firefox в которой есть вот такие (пример картинка) базы данных
Статья-1.jpg

  • С помощью DB Browser for SQLite откроем файл базы данных places.sqlite который хранит аннотации, закладки, любимые значки, историю ввода, ключевые слова и историю просмотров (запись посещенных страниц).
...