Форензика и OSINT

Попадаются модели Apple iPad Model MD519E/A iOS 10.3.4(14G61) которые ещё 32 битные и версий эксплоитов которыми можно получить Jailbreak не так и много, а методы которые сразу должны дать желаемый результат не срабатываю, это я говорю про Impactor 0.9.52 в связке с установкой "insecure SSL" + "Install Package". Т.е такие действия как писалось ранее в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver) не работают.

Наше первое действие получить Jailbreak, для этого мы будем использовать вигдядит подключение и запуск нужной нам операции вот так
Flash & JB -> Run Jailbreak


теперь у нас есть приложение...

Мне попалась задача извлечь из android приложения Mamba.ru переписку между пользователями. Стандартный софт для работы с мобильными телефонами, который был у меня в наличии, мне не помог и по этому я решил покопаться сам. Первое, вот что я получил из папки по пути(/Data/data/ru.mamba.client/databases)



В папке находятся 2 базы данных которые нас интересуют - "MambaDatabase.db" и “mamba_database_06.12.2018”(у вас может быть похожее название). С помощью DB Browser for SQLite(скачать ) открываем "MambaDatabase.db."

Переходим...

Попал мне в руки iPhone 6 А1549 с iOS 12.4.9, проблем с checkra1n для получения jailbreak не возникает, но как всегда есть но, вот эти версии трехзначные с мелкими исправлениями безопасности типа Пример - 12.4.5 … 12.4.9 несут в себе всякие не понятные моменты с которыми не весь софт или устройства хотят работать.

Как проявляется не хотение и не понимание некоторого ПО к таким версиям.

Первое с чем я столкнулся UFED Touch2 не отработал эту модель, жаль но факт, дальше интереснее.
iOS-Toolkit-6.52-Win снял как положенно физику и Keychain и Phone Breaker замечательно расшифровал пароли



Так же без вопросов и нареканий сработал и Phone Viewer


Хоть UFED Touch2 не отработал за то софт Cellebrite Physical Analyzer справился с образом сделанным Elcomsoft справился просто на Ура

Magnet AXIOM к сожалению себя не проявил, но зато он умеет восстанавливать удаленные из...

При расследовании компьютерных инцидентов, время от времени, возникает необходимость восстановления удаленных записей из файлов системного реестра. И тут возникает два варианта развития событий:

1. Необходимо восстановить записи из существующих файлов системного реестра (т.е. записи системного реестра текущей операционной системы);
2. Необходимо восстановить записи системного реестра из предыдущей операционной системы.

Для восстановления удаленных записей из существующих файлов системного реестра можно использовать бесплатную утилиту Registry Explorer ( ), которая в удобном графическом интерфейсе отображает удаленные записи (утилита в автоматическом режиме восстанавливает удаленные записи, при открытии необходимого файла системного реестра):

Кроме указанной выше утилиты, для восстановления удаленных записей из существующих файлов системного реестра, можно использовать Python-скрипт...

Осваиваем Nmap: Базовые принципы сетевого сканирования без лишних кнопок​

Hello friend, прежде всего тебе стоит забыть о такой "ерунде", как графический интерфейс. Его не будет даже в этой статье, привыкай, друг. В этом руководстве по Nmap ты научишься сканировать сети на доступном языке.

Зачем нужен Nmap: Поиск уязвимостей и анализ инфраструктуры​

Для чего вообще это нужно? Сканирование сети с помощью Nmap прежде всего необходимо для выявления потенциальных уязвимостей сервера, на котором расположен сайт. Мы можем найти открытые порты, определить программное обеспечение, которое стоит за этими портами, а также получить почти полную информацию об аппаратной части. Зная это, мы можем попробовать найти эксплойт или CVE, с помощью которых провести дальнейший анализ безопасности. В общем, Nmap — крайне полезная штука...

Привет всем!
Решил я тут сделать краткий обзор инструмента (Puppy). Этот инструмент предназначен для детального исследования файлов. В конце статьи будут полезные ссылки

Начнём с теории, а дальше исследуем 1 exe файл. Все параметры PE файла я описывать не буду. Только часто используемые. Они будут выделены жёлтым цветом. Их можно посмотреть перейдя ссылкам в конце обзора.

Описание с сайта разработчика

Puppy - это легкий, но мощный инструмент для статического исследования интересующих нас файлов. Также предоставляются два сопутствующих плагина.
FileInfo - чтобы запросить файл в известных хранилищах вредоносных программ и взять в один клик техническую информацию о файле, такую как его размер, энтропия, атрибуты, хэши, информация о версии и так далее...

Связка ключей Apple (англ: Keychain) — функция (другими словами — технология), с помощью которой, в одном месте операционных системах macOS и iOS, в защищённом виде, сохраняются личные данные пользователя (логины и пароли).

Советую к прочтению теории " "
Рассмотрим что же мы можем получить из связки ключей Keychain

Примером будет: Hardware model: D321AP, OS version: 13.3.1 предварительно я осуществил jail как ранее описывалось в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)
далее мне было удобно (и так как был этот инструмент в руках) получить файл связки ключей в формате "*.xml"

Загрузив полученный образ и связку ключей я увидел всего ничего вот этим...

Предложенный вариант демонстрирует что может хранится в резервной копии коротая сделана ПО вендора телефона. Если у Вас нет доступа к телефону, и вы не знаете, как его получить, то этот метод вам не подойдет. В любом случае советую проверять полученные данные дополнительно. Для работы нам понадобится питон, если он у вас уже установлен переходите к пункту №3.

• Первое что нам понадобится это установить питон, рекомендую скачать с
  Ссылка скрыта от гостей
• Устанавливаем питон:
  • Даблклик по скачанному файлу
  • Отмечаем чекбокс отмеченный на картинке, прежде чем нажимать “install now” обязательно проверить что бы все совпадало с
    изображением

    
• Могу порекомендовать проверить обновления питон:
  Код:

  python -m pip install -- upgrade pip

• Перезагрузка
• Следующим шагом ставим библиотеку...

Утро. Звенит будильник. Некоторые делают зарядку, завтракают, одеваются и идут на работу. После работы идут домой. День Игоря прошёл также. За исключением одного, во время беседы с неестественным в той компании коллегой, речь зашла о дампах памяти. Имя того служащего — Николай. В той беседе решено было вечерком встретиться у Игоря дома и обсудить форензику. Главная тема их беседы - The Volatility Framework. Николай и Игорь договорились о плане для их беседы:

• Изучаем дамп памяти Windows
• Переходим к Linux
• Немножко сетевой форензики

Загрузили они один из дампов памяти. Конкретно Jackcr-dfir-challenge для windows и начали осмотр используя справку по volatility (-h).

Некоторые опции не получилось использовать, так как дамп памяти самой новой системы был сделан с Windows 2003...

Задача востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 11.3.1
К нам в руки попала такая модель Model A1533 Версия iOS 11.3.1 к ней не применим checkra1n

Нам нужно:

1. Читаем статью "
   Ссылка скрыта от гостей
   "
2. Читаем статью как руководство пользователя "
   Ссылка скрыта от гостей
   "
3. В данном случаем нам нужен Elcomsoft iOS Forensic Toolkit