Форензика и OSINT
"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.
Elcomsoft System Recovery (сброс и восстановление оригинальных паролей)
Рассмотрим как работают платные решения для восстановление доступа к учётным записям и не только.
Возможности Elcomsoft System Recovery:
Дисковые утилиты, инструмент "Создания образа диска" и многое другое, но лучше один раз увидить чем сто раз услышать, далее начнём по порядку.
Первое что нам нужно будет сделать это создать свою загрузочную или флешку или сохранить образ на устройство загрузки типа IODD2531
...
Возможности Elcomsoft System Recovery:
- Сброс паролей к учётным записям Windows и Microsoft Account
- Извлечение хэшей из SAM/SYSTEM и Active Directory для последующей атаки в режиме офлайн
- Извлечение метаданных шифрования TrueCrypt, VeraCrypt, Bitlocker, FileVault (HFS+/APFS), PGP Disk и LUKS
- Создание образов дисков для последующего анализа
- Восстановление как локальных паролей, так и паролей к учётным записям Microsoft Account
- Доработанная среда Windows PE с расширенной поддержкой аппаратного обеспечения и полной поддержкой всех версий FAT и NTFS
Дисковые утилиты, инструмент "Создания образа диска" и многое другое, но лучше один раз увидить чем сто раз услышать, далее начнём по порядку.
Первое что нам нужно будет сделать это создать свою загрузочную или флешку или сохранить образ на устройство загрузки типа IODD2531
Статья Jailbreak и установка SSH оффлайн (3uTools, h3lix, Cydia, OpenSSL, OpenSSH)
Попадаются модели Apple iPad Model MD519E/A iOS 10.3.4(14G61) которые ещё 32 битные и версий эксплоитов которыми можно получить Jailbreak не так и много, а методы которые сразу должны дать желаемый результат не срабатываю, это я говорю про Impactor 0.9.52 в связке с установкой "insecure SSL" + "Install Package". Т.е такие действия как писалось ранее в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver) не работают.
Наше первое действие получить Jailbreak, для этого мы будем использовать 3uTools вигдядит подключение и запуск нужной нам операции вот так
Flash & JB -> Run Jailbreak
теперь у нас есть приложение
Далее возникшие проблемы с подключением к удалённому серверу для валидации цифровой подписи, без этого у нас...
Наше первое действие получить Jailbreak, для этого мы будем использовать 3uTools вигдядит подключение и запуск нужной нам операции вот так
теперь у нас есть приложение
Извлечение сообщений из android приложения Mamba.ru
Мне попалась задача извлечь из android приложения Mamba.ru переписку между пользователями. Стандартный софт для работы с мобильными телефонами, который был у меня в наличии, мне не помог и по этому я решил покопаться сам. Первое, вот что я получил из папки по пути(/Data/data/ru.mamba.client/databases)
В папке находятся 2 базы данных которые нас интересуют - "MambaDatabase.db" и “mamba_database_06.12.2018”(у вас может быть похожее название). С помощью DB Browser for SQLite(скачать тут) открываем "MambaDatabase.db."
Переходим на таблицу “app_statistics” и смотрим значение “anketaId”
В папке находятся 2 базы данных которые нас интересуют - "MambaDatabase.db" и “mamba_database_06.12.2018”(у вас может быть похожее название). С помощью DB Browser for SQLite(скачать тут) открываем "MambaDatabase.db."
Переходим на таблицу “app_statistics” и смотрим значение “anketaId”
[ATTACH type="full"...
Статья Мастерство OSINT в CTF: Откройте Секреты Информации
Бамжур, молодой, и не очень, человек. Хочу взять флаг в свои руки и продолжить обмен опытом, который ещё в далёком 2018 году начал мой коллега @sinner67
Сегодня я затрону раздел в CTF, который с первого взгляда не имеет особых трудностей. Однако, многие всё равно совершают серьёзные ошибки при решении, порой, лёгких тасков. Мы разбирёмся, с чем связаны многие трудности, разбирём несколько примеров, поговорим, как можно повысить свой скилл в данном разделе и, какие ресурсы могут помочь при решении данного типа заданий.
Сегодня я затрону раздел в CTF, который с первого взгляда не имеет особых трудностей. Однако, многие всё равно совершают серьёзные ошибки при решении, порой, лёгких тасков. Мы разбирёмся, с чем связаны многие трудности, разбирём несколько примеров, поговорим, как можно повысить свой скилл в данном разделе и, какие ресурсы могут помочь при решении данного типа заданий.
1. Философия OSINT
1. Философия OSINT
OSINT, в capture the flag соревнованиях, можно назвать разделом, в котором важно интуитивное понимание задания, основанное на опыте нарешивания. Нет какого-либо определённого шаблона...
OSINT и Геолокация: Анализ Открытых Данных
Существуют специально созданные, открытые и бесплатные сервисы по анализу данных геолокации пользователей.
Такие сервисы работают примерно по одному и тому же принципу, данные собираются с размещенных пользователем в социальной сети публикации. Для использования необходимо выбрать местоположение, радиус и дату, а сервис вам выдает профиль в социальной сети, пост (видео, твит, фото и т.д.) и время публикации (если информация содержится в базе данных).
Ознакомить со всеми сервисами в данной статье можно путем нажатия на их название.
Такие сервисы работают примерно по одному и тому же принципу, данные собираются с размещенных пользователем в социальной сети публикации. Для использования необходимо выбрать местоположение, радиус и дату, а сервис вам выдает профиль в социальной сети, пост (видео, твит, фото и т.д.) и время публикации (если информация содержится в базе данных).
Ознакомить со всеми сервисами в данной статье можно путем нажатия на их название.
SnRadar
На данный момент сервис работает только через VK, детальнее с проектом можно ознакомиться по ссылке. Планируется работоспособность с множеством социальных сетей.- Указываем точку на карте.
- Выбираем нужный нам радиус.
...
Статья Особенности работы программ с iOS 12.4.9
Попал мне в руки iPhone 6 А1549 с iOS 12.4.9, проблем с checkra1n для получения jailbreak не возникает, но как всегда есть но, вот эти версии трехзначные с мелкими исправлениями безопасности типа Пример - 12.4.5 … 12.4.9 несут в себе всякие не понятные моменты с которыми не весь софт или устройства хотят работать.
Как проявляется не хотение и не понимание некоторого ПО к таким версиям.
Первое с чем я столкнулся UFED Touch2 не отработал эту модель, жаль но факт, дальше интереснее.
iOS-Toolkit-6.52-Win снял как положенно физику и Keychain и Phone Breaker замечательно расшифровал пароли
Так же без вопросов и нареканий сработал и Phone Viewer
Хоть UFED Touch2 не отработал за то софт Cellebrite Physical Analyzer справился с образом сделанным Elcomsoft справился просто на Ура
Magnet AXIOM к сожалению себя не проявил, но зато он умеет восстанавливать удаленные из системы windows логи (event logs)
...
Как проявляется не хотение и не понимание некоторого ПО к таким версиям.
Первое с чем я столкнулся UFED Touch2 не отработал эту модель, жаль но факт, дальше интереснее.
iOS-Toolkit-6.52-Win снял как положенно физику и Keychain и Phone Breaker замечательно расшифровал пароли
Так же без вопросов и нареканий сработал и Phone Viewer
Хоть UFED Touch2 не отработал за то софт Cellebrite Physical Analyzer справился с образом сделанным Elcomsoft справился просто на Ура
Magnet AXIOM к сожалению себя не проявил, но зато он умеет восстанавливать удаленные из системы windows логи (event logs)
Статья Восстановление системного реестра Windows
При расследовании компьютерных инцидентов, время от времени, возникает необходимость восстановления удаленных записей из файлов системного реестра. И тут возникает два варианта развития событий:
Кроме указанной выше утилиты, для восстановления удаленных записей из существующих файлов системного реестра, можно использовать Python-скрипт yarp-print (msuhanov/yarp) с параметром --deleted и далее указывает полный путь до файла, из которого необходимо восстановить удаленные записи:
[ATTACH...
- Необходимо восстановить записи из существующих файлов системного реестра (т.е. записи системного реестра текущей операционной системы);
- Необходимо восстановить записи системного реестра из предыдущей операционной системы.
Кроме указанной выше утилиты, для восстановления удаленных записей из существующих файлов системного реестра, можно использовать Python-скрипт yarp-print (msuhanov/yarp) с параметром --deleted и далее указывает полный путь до файла, из которого необходимо восстановить удаленные записи:
[ATTACH...
Soft Snoop Project инструмент разведки на основе открытых данных (OSINT world)
Snoop Project один из самых перспективных OSINT-инструментов по поиску никнеймов.
Snoop — это исследовательская работа (собственная база данных/закрытые багбаунти)
в области поиска и обработки публичных данных в сети интернет.
По части специализированного поиска Snoop способен конкурировать с традиционными поисковыми системами.
Сравнение индексаций БД-никнеймов подобных инструментов:
Платформы:
| Платформа | Поддержка |
|---|---|
| GNU/Linux |  |
| Windows 7/10 (32/64) | |
| Android (Termux) | |
| macOS |  ️ |
| IOS |  |
| WSL | |
Snoop Local database
Обзор PPEE, Инструмент для детального изучения файлов
Привет всем!
Решил я тут сделать краткий обзор инструмента PPEE (Puppy). Этот инструмент предназначен для детального исследования файлов. В конце статьи будут полезные ссылки
Начнём с теории, а дальше исследуем 1 exe файл. Все параметры PE файла я описывать не буду. Только часто используемые. Они будут выделены жёлтым цветом. Их можно посмотреть перейдя ссылкам в конце обзора.
Описание с сайта разработчика
Puppy - это легкий, но мощный инструмент для статического исследования интересующих нас файлов. Также предоставляются два сопутствующих плагина.
FileInfo - чтобы запросить файл в известных хранилищах вредоносных программ и взять в один клик техническую информацию о файле, такую как его размер, энтропия, атрибуты, хэши, информация о версии и так далее.
YaraPlugin - чтобы проверить правила Yara (помогают нам идентифицировать и классифицировать образцы вредоносных программ) против открытого файла.
[COLOR=rgb(243, 121...
Решил я тут сделать краткий обзор инструмента PPEE (Puppy). Этот инструмент предназначен для детального исследования файлов. В конце статьи будут полезные ссылки
Начнём с теории, а дальше исследуем 1 exe файл. Все параметры PE файла я описывать не буду. Только часто используемые. Они будут выделены жёлтым цветом. Их можно посмотреть перейдя ссылкам в конце обзора.
Описание с сайта разработчика
Puppy - это легкий, но мощный инструмент для статического исследования интересующих нас файлов. Также предоставляются два сопутствующих плагина.
FileInfo - чтобы запросить файл в известных хранилищах вредоносных программ и взять в один клик техническую информацию о файле, такую как его размер, энтропия, атрибуты, хэши, информация о версии и так далее.
YaraPlugin - чтобы проверить правила Yara (помогают нам идентифицировать и классифицировать образцы вредоносных программ) против открытого файла.
[COLOR=rgb(243, 121...