Форензика и OSINT
"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.
Статья [3 часть] Универсальный сборщик данных (FastIR Collector) с работающей системы Windows
Иногда при доступе к ПК нужно максимально и оперативно снять информацию, мы рассмотрим автоматизированную утилиту FastIR Collector
запуск (на картинке в shell запущен был cmd от Администратора
На выходе получаем вот такой список данных (утилита портабельна)):
Не скажу что утилита хороша но папка evt с *.evtx и файлик USBHistory.csv очень даже нужные - но много го нет.
[2 часть] Универсальный...
Этот инструмент собирает различные артефакты в живой Windows и записывает результаты в файлы csv или json.
При анализе этих артефактов может быть обнаружено раннее нарушение.
При анализе этих артефактов может быть обнаружено раннее нарушение.
Код:
C:\Users\Toor\Downloads\Fastir_Collector>FastIR_x64.exe --packages fast[
На выходе получаем вот такой список данных (утилита портабельна)):
P:S
[1 часть] Универсальный сборщик данных (Triage) с работающей системы Windows[2 часть] Универсальный...
Статья Восстановление замененных файлов с помощью Winhex
Восстановление данных с помошью программы winhex.
Происшествие: Сотрудник работал с текстовым документом, удалил из него информацию и сохранил под тем же именем.
Задача: восстановить предыдущую редакцию документа без потери информации.
Для имитации будем использовать текстовый документ формата docx. Создаем документ на флешки, и заполняем его информацией, для примера в исходный файл я ввел одной строкой единицы, сохранил документ, далее ввел двойки, сохранил, и так далее до пяти.
Задача восстановить документ до исходного состояния с единицами.
Запускаем программу Winhex с правами администратора, заходим Tools->open disk или клавиша F9.
Выбираем физический носитель на котором находится документ.
Откроется редактор данных, заходим Tools->Disk Tools -> File Recovery by Type,
Вам будет предложено выбрать типы файлов, которые вы хотите восстановить, так как у нас документ Docx то его мы и выберем, заходим в
Documents и ставим галочку напротив MS Office 2007+.
[SPOILER="File...
Происшествие: Сотрудник работал с текстовым документом, удалил из него информацию и сохранил под тем же именем.
Задача: восстановить предыдущую редакцию документа без потери информации.
Для имитации будем использовать текстовый документ формата docx. Создаем документ на флешки, и заполняем его информацией, для примера в исходный файл я ввел одной строкой единицы, сохранил документ, далее ввел двойки, сохранил, и так далее до пяти.
Задача восстановить документ до исходного состояния с единицами.
Запускаем программу Winhex с правами администратора, заходим Tools->open disk или клавиша F9.
Выбираем физический носитель на котором находится документ.
Откроется редактор данных, заходим Tools->Disk Tools -> File Recovery by Type,
Вам будет предложено выбрать типы файлов, которые вы хотите восстановить, так как у нас документ Docx то его мы и выберем, заходим в
Documents и ставим галочку напротив MS Office 2007+.
[SPOILER="File...
Статья Forensics Web Browser Artifacts (history, cookie, cache) Windows - search handmade
Уже была статья бесплатные программы в Windows по нахождению данных в веб-браузерах (история, cookie, кеш) Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)
Сейчас мы рассмотрим универсальный инструмент DB Browser for SQLite, с его помощью разберем данные артефакты в ручную и определим откуда программы берут такие данные как история, кеш, cookie.
Mozilla Firefox в которой есть вот такие (пример картинка) базы данных
мы видим 13 таблиц, посмотрим поближе одну из них, переходим в пункт "Данные" в пункте "Table:" выберем таблицу...
Сейчас мы рассмотрим универсальный инструмент DB Browser for SQLite, с его помощью разберем данные артефакты в ручную и определим откуда программы берут такие данные как история, кеш, cookie.
Mozilla Firefox в которой есть вот такие (пример картинка) базы данных
- С помощью DB Browser for SQLite откроем файл базы данных places.sqlite который хранит аннотации, закладки, любимые значки, историю ввода, ключевые слова и историю просмотров (запись посещенных страниц).
Статья Comparison of file recovery programs usb mass storage device (Windows)
При расследовании инцидентов часто на экспертизу попадают usb накопители, но методы изъятия из ПК или ноутбуков делают эти устройства потом не читаемыми, как пример такого устройства pqi usb flash 256 мб, при подключении в систему выдает "форматировать диск"
Мы рассмотрим такие программы:
R-Studio программа вообще не смогла отобразить хоть какую то информацию, но дала возможность запустить восстановление
- GetDataBack Simple
- R-Studio
- BlackLight 2018 Release 2
- AccessData Forensic Toolkit FTK
- X-Ways Forensics
- Recovery Explorer Professional
- 7-Data_Recovery
- MiniToolPowerDataRecovery
- OntrackEasyRecovery
- Recover My Files
- ForensicsMaster
- DMDE - DM Disk Editor and Data Recovery Software
R-Studio программа вообще не смогла отобразить хоть какую то информацию, но дала возможность запустить восстановление
[ATTACH type="full"...
Статья Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)
В Форензике история посещений страниц в интернете это неотъемлемая часть экспертиз, в этот раз мы рассмотрим только явные следы (удаленные и.т.п это отдельные темы для рассмотрений).
Немного теории (места хранения не удаленных данных):
Немного теории (места хранения не удаленных данных):
Код:
Microsoft Windows 7:
AppData\Local\Microsoft
C:\Users\{user}\AppData\Local\Microsoft\Internet Explorer\IECompatData\
C:\Users\{user}\AppData\Local\Microsoft\Feeds Cache\
C:\Users\{user}\AppData\Local\Microsoft\Windows\WebCache\
-> AppData\Local\Microsoft\Windows\History
C:\Users\{user}\AppData\Local\Microsoft\Windows\History\
-> AppData\local\Microsoft\Windows\Temporary Internet Files
C:\Users\{user}\AppData\Local\Microsoft\Windows\Temporary Internet Files\
-> AppData\Local
C:\Users\{user}\AppData\Local\Temp\
-> AppData\LocalLow
C:\Users\{user}\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore\
-> AppData\Roaming
C:\Users\{user}\AppData\Roaming\Microsoft\Internet Explorer\UserData\
C:\Users\{user}\AppData\Roaming\Microsoft\Internet Explorer\UserData\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\Cookies\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\Cookies\Low\...Статья Forensics Windows Registers all in one program
Продолжение статей:
[Начало] Forensics Windows Registry
[Продолжение] Forensics Windows Registry - ntuser.dat
Иногда для получения полной картины все данные реестра нужно собрать в одно цело с которым будет удобнее рассматривать все варианты произошедшего или исследования следов/артефактов.
Дано:
Сразу оговорюсь что у нашего suspect не...
[Начало] Forensics Windows Registry
[Продолжение] Forensics Windows Registry - ntuser.dat
Иногда для получения полной картины все данные реестра нужно собрать в одно цело с которым будет удобнее рассматривать все варианты произошедшего или исследования следов/артефактов.
Дано:
- ntuser.dat извлечён из криминалистического образа (dd, raw, e01, 001 и.т.д)
- файлы реестра SAM, SECURITY, SOFTWARE, SYSTEM, DEFAULT, DRIVERS полученные IREC или Triage или скопированы из криминалистического образа так же как и ntuser.dat
Сразу оговорюсь что у нашего suspect не...
Статья Forensics Windows Registry - ntuser.dat
- [Начало] Forensics Windows Registry
- [Продолжение] Forensics Windows Registry - ntuser.dat
- [Дополнение] Forensics Windows Registry - расшифровка и отображение всех записей UserAssist (к второму пункту статьи "Forensics Windows Registry - ntuser.dat")
- [Дополнение] Forensics Windows Registry - история запуска программ (дополнение к статье "Forensics Windows Registry - ntuser.dat")
- Продолжение этих статей: Forensics Windows Registers all in one program
Статья Forensics Windows Registry
В Форензике Реестр может выявить огромное количество информации о злоумышленнике.
Информация, которая может быть найдена в реестре, включает:
Согласно Microsoft, статья 256986. Eще описание.
Реестр Windows - это «центральная иерархическая база данных», предназначенная "Для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.
Реестр Windows представляет собой двоичную структуру данных, для замены используемых файлов конфигурации и инициализации (.ini) в старых системах.
Реестр Windows 5 корневых ключей реестра (root keys)
Информация, которая может быть найдена в реестре, включает:
- Пользователи и время последнего использования системы
- Последнее используемое программное обеспечение
- Любые устройства, подключенные к системе, включая уникальные идентификаторы флеш-накопителей, жестких дисков, телефонов, планшетов и.т.д.
- Когда система подключена к определенной точке беспроводного доступа
- Что и когда файлы были доступны
- Список любых поисков, выполненных в системе
- И многое, многое другое
Согласно Microsoft, статья 256986. Eще описание.
Реестр Windows - это «центральная иерархическая база данных», предназначенная "Для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.
Реестр Windows представляет собой двоичную структуру данных, для замены используемых файлов конфигурации и инициализации (.ini) в старых системах.
Реестр Windows 5 корневых ключей реестра (root keys)
- ...
Статья Forensics & Hack & Malware Analysis & Reverse Engineering - Free Tools Windows
Так вышло что общение с WebWare Team меня с подвигло к написанию данной статьи.
Характер взлома с предыдущим сбором информации и компьютерно техническая экспертиза да и подготовка malware и её же reverse engineering часто используют одни и те же параметры изучения.
Они все получают выгоду от знания методов друг друга. Все зависит от того в каких целях применяются инструменты, а многие из них применимы в всех перечисленных мною направлениях, только на разных этапах работы.
Хочу напомнить о многими забытых инструментах Марка Руссиновича, не зря Microsoft их купила у него, сделала на некоторые gui и на сегодняшний день их Updated: July 5, 2018 и ой как чувствую не зря.
Начал я из далека но разрешите Вам представить Sysinternals Suite, а кому напомнить.
AccessChk - позволяет узнать, к каким типам пользователей и групп доступа относятся файлы, каталоги, ключи реестра и т. Д.
AccessEnum - полный просмотр настроек файловой системы и реестра.
AdExplorer - средство просмотра и редактор Active Directory.
AdInsight - инструмент...
Характер взлома с предыдущим сбором информации и компьютерно техническая экспертиза да и подготовка malware и её же reverse engineering часто используют одни и те же параметры изучения.
Они все получают выгоду от знания методов друг друга. Все зависит от того в каких целях применяются инструменты, а многие из них применимы в всех перечисленных мною направлениях, только на разных этапах работы.
Хочу напомнить о многими забытых инструментах Марка Руссиновича, не зря Microsoft их купила у него, сделала на некоторые gui и на сегодняшний день их Updated: July 5, 2018 и ой как чувствую не зря.
Начал я из далека но разрешите Вам представить Sysinternals Suite, а кому напомнить.
AccessChk - позволяет узнать, к каким типам пользователей и групп доступа относятся файлы, каталоги, ключи реестра и т. Д.
AccessEnum - полный просмотр настроек файловой системы и реестра.
AdExplorer - средство просмотра и редактор Active Directory.
AdInsight - инструмент...
Статья Форензика Prefetch в Windows
Недавно я писал о том как Виртуализировать криминалистические образы в Windows так вот один из вариантов исследования в живую это осмотр файлов *.pf - файлы Prefetch
появилась данная служба в Windows XP и до сих пор включая Windows 10 и Server 2016 работает, смотрим состояние в Registry Keys
Значения:
появилась данная служба в Windows XP и до сих пор включая Windows 10 и Server 2016 работает, смотрим состояние в Registry Keys
Код:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters- " 0" - Disabled
- "1" - Application launch prefetching enabled
- "2" - Boot prefetching enabled
- "3" - Application launch and boot enabled (default)
- по истечении 30 секунд с момента запуска пользовательской оболочки
- по истечении 60 секунд с момента завершения инициализации всех служб
- по истечении 120 секунд с момента начала загрузки системы