Форензика и OSINT

Привет всем!
Решил я тут сделать краткий обзор инструмента (Puppy). Этот инструмент предназначен для детального исследования файлов. В конце статьи будут полезные ссылки

Начнём с теории, а дальше исследуем 1 exe файл. Все параметры PE файла я описывать не буду. Только часто используемые. Они будут выделены жёлтым цветом. Их можно посмотреть перейдя ссылкам в конце обзора.

Описание с сайта разработчика

Puppy - это легкий, но мощный инструмент для статического исследования интересующих нас файлов. Также предоставляются два сопутствующих плагина.
FileInfo - чтобы запросить файл в известных хранилищах вредоносных программ и взять в один клик техническую информацию о файле, такую как его размер, энтропия, атрибуты, хэши, информация о версии и так далее...

Связка ключей Apple (англ: Keychain) — функция (другими словами — технология), с помощью которой, в одном месте операционных системах macOS и iOS, в защищённом виде, сохраняются личные данные пользователя (логины и пароли).

Советую к прочтению теории " "
Рассмотрим что же мы можем получить из связки ключей Keychain

Примером будет: Hardware model: D321AP, OS version: 13.3.1 предварительно я осуществил jail как ранее описывалось в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)
далее мне было удобно (и так как был этот инструмент в руках) получить файл связки ключей в формате "*.xml"

Загрузив полученный образ и связку ключей я увидел всего ничего вот этим...

Предложенный вариант демонстрирует что может хранится в резервной копии коротая сделана ПО вендора телефона. Если у Вас нет доступа к телефону, и вы не знаете, как его получить, то этот метод вам не подойдет. В любом случае советую проверять полученные данные дополнительно. Для работы нам понадобится питон, если он у вас уже установлен переходите к пункту №3.

• Первое что нам понадобится это установить питон, рекомендую скачать с
  Ссылка скрыта от гостей
• Устанавливаем питон:
  • Даблклик по скачанному файлу
  • Отмечаем чекбокс отмеченный на картинке, прежде чем нажимать “install now” обязательно проверить что бы все совпадало с
    изображением

    
• Могу порекомендовать проверить обновления питон:
  Код:

  python -m pip install -- upgrade pip

• Перезагрузка
• Следующим шагом ставим библиотеку...

Утро. Звенит будильник. Некоторые делают зарядку, завтракают, одеваются и идут на работу. После работы идут домой. День Игоря прошёл также. За исключением одного, во время беседы с неестественным в той компании коллегой, речь зашла о дампах памяти. Имя того служащего — Николай. В той беседе решено было вечерком встретиться у Игоря дома и обсудить форензику. Главная тема их беседы - The Volatility Framework. Николай и Игорь договорились о плане для их беседы:

• Изучаем дамп памяти Windows
• Переходим к Linux
• Немножко сетевой форензики

Загрузили они один из дампов памяти. Конкретно Jackcr-dfir-challenge для windows и начали осмотр используя справку по volatility (-h).

Некоторые опции не получилось использовать, так как дамп памяти самой новой системы был сделан с Windows 2003...

Задача востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 11.3.1
К нам в руки попала такая модель Model A1533 Версия iOS 11.3.1 к ней не применим checkra1n

Нам нужно:

1. Читаем статью "
   Ссылка скрыта от гостей
   "
2. Читаем статью как руководство пользователя "
   Ссылка скрыта от гостей
   "
3. В данном случаем нам нужен Elcomsoft iOS Forensic Toolkit

Поставленная задача довольно востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 13.5.1

Способ с iPhone OS version: 13.5 "unc0ver" iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit

Для решения такой задачи вот с такой прелестью:

Нам нужно:

1. Читаем статью iOS Device Acquisition with checkra1n Jailbreak
   Ссылка скрыта от гостей
2. Скачиваем "checkra1n" - читаем
   Ссылка скрыта от гостей
   (с данной моделью телефона мы потерпим неудачу)
3. Скачиваем
   Ссылка скрыта от гостей
   для 64-х битного...

Всем привет)
Попалась мне в руки папка с данными приложения Instagram (com.instagram.android) с ОС Android и логин пользователя который использовал это приложения но информация о нем есть в двух файлах :

• com.instagram.android/app_webview/Default/IndexedDB/https_i.instagram.com_0.indexeddb.leveldb/000003.log;
• com.instagram.android/app_browser_proc_webview/Default/IndexedDB/https_www.instagram.com_0.indexeddb.leveldb/000003.log.

И больше никаких следов по "нику" пользователя в корне папки приложения не было. В интернете по этому поводу я ничего не нашел, да и не пытался особо.
Первым делом сразу отправился смотреть информацию в файлах БД:

• com.instagram.android\databases\direct.db;
• com.instagram.android\databases\fileregistry.db;
• com.instagram.android\databases\transactions.db...

Представьте: вы только что нашли критическую SQL-инъекцию на сайте крупной компании через Bug Bounty программу. Награда? $5000. Метод обнаружения? Всего 3 минуты фаззинга с правильным инструментом.

В этом руководстве я покажу реальные техники фаззинга, которые использую в пентестах уже 8 лет. Вы узнаете про лучшие инструменты (Burp Suite, OWASP ZAP, ffuf), увидите практические примеры эксплуатации и получите готовые payloads для поиска уязвимостей.

Содержание​

1. Что такое фаззинг и почему он критически важен
2. Топ-7 инструментов для фаззинга в 2025...

Поставленная задача довольно востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 13.5

Большинству своих знаний в области iOS я обязан Владимиру Каталову и блогу их компании

Ссылка скрыта от гостей

(это не реклама, это факт, что elcomsoft лидер гонки с apple).

Нажмите, чтобы раскрыть...

Для решения такой задачи вот с такой прелестью:



Нам нужно:

1. Читаем статью Full File System and Keychain Acquisition with unc0ver jailbreak: iOS 13.1 to 13.5
   Ссылка скрыта от гостей
2. Регистрируем аккаунт разработчика
   Ссылка скрыта от гостей
3. Скачиваем...

Данная статья является переводом. Оригинал вот

Ссылка скрыта от гостей

Нажмите, чтобы раскрыть...

В этой статье мы рассмотрим корпоративную структуру компании Mindgeek - лидера в области доставки контента, SEO, рекламы, хостинга и общих технологических инноваций. Они работают по всему миру, а принадлежащие им сайты создают сотни миллионов посещений в день и имеют большую пропускную способность, чем Twitter, Amazon или Facebook. Может быть, вы не знаете эту компанию, но я уверен, что они знают вас.

Если вы пропустили предыдущую часть, то можете ознакомиться с ней ниже


Примечание

MindGeek работает в сфере развлечений для взрослых...