• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Форензика и OSINT

"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.

Статья Cellebrite Reader не освобождает от проверки вручную файлов смартфона.

  • 5 975
  • 4
Всем привет!
Попал мне в руки образ смартфона ZTE BLADE V8 сделанный с помощью UFED версии 7.36.0.109.
Файл образа сформированный с расширением UDF, но _7.18.0.106 может открывать файлы с расширением UFDR.
Для того чтобы экспортировать файл UDF в UFDR нам поможет .
Приступим первым делом открываем MOBILedit Forensic Express
Далее кликаем Start и видим следующее:
30147
Так как физически смартфон не подключен и у нас есть только его образ то нужно как-то подгрузить его образ и переформатировать в нужный нам. Для этого выбираем пункт меню Import data и увидим следующее:
[ATTACH type="full"...

PowerForensics - криминалистический анализ жесткого диска

  • 7 561
  • 10
Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска.
PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+.
Командлеты
Get-ForensicMasterBootRecord - gets the MasterBootRecord from the first sector of the hard drive
Get-ForensicGuidPartitionTable - gets the GuidPartitionTable from the first sector of the hard drive
Get-ForensicBootSector - gets the appropriate boot sector (MBR or GPT) from the specified drive
Get-ForensicPartitionTable - gets the partition table for the specified drive
Get-ForensicSuperblock - returns the ext4 SuperBlock object
Get-ForensicBlockGroupDescriptor -...

USB Detective - поиск артефактов подключаемых устройств USB

  • 5 165
  • 0
- платное ПО для поиска информации о подключаемых устройствах USB для Windows систем
  • Обрабатывает артефакты USB-устройств от Windows XP до Windows 10
  • Поддержка работающей системы, отдельных файлов, папок и обработки логических дисков
  • Обрабатывает несколько версий всех принятых артефактов
  • Источник каждого идентифицированного значения сохраняется для последующего представления отчетов и документации
  • Используйте последние изменения в Windows 10, чтобы получить еще больше информации об устройстве
  • Визуально представленные уровни согласованности меток времени
  • Создание электронных таблиц Excel для высокоуровневых отчетов по истории USB-устройств.
  • Создавайте подробные отчеты для более глубокого анализа и исследований
  • Создайте временные графики, включая все уникальные временные метки подключения / отключения и удаления для каждого устройства.
  • Создайте отдельные...

Альтернативный поток данных (Zone.Identifier) в NTFS

  • 4 313
  • 1
Введение - Форензика альтернативного потока данных (Zone.Identifier) в NTFS
Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.

Рассмотрим ПО которое поможет увидеть ADS:




29966



29967
29968


29969
29970


29971


P:S
Очень надеюсь, что эта тема будет дополняться желающими, делитесь теми ПО которые...​

Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker

  • 11 541
  • 9
Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery
Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля

29926


29927


29928


Теперь полученный файл мы будем Атаковать программой Elcomsoft Distributed Password Recovery,
открываем полученный файл EDPR (Elcomsoft Distributed Password Recovery) мне известен пароль и по этому я оставил перебирать по маске только первый символ

29930


иконка замочка уже зелёного цвета, это значит пароль подобран, в вкладке "Результат"

29931


С этим рассмотрим еще...

Статья AccessData FTK Imager против Arsenal Image Mounter

  • 8 113
  • 5
При работе с образами всегда нужен максимально хороший (приближенный к работе самого оригинала) способ монтирования криминалистического образа - полностью бесшовный.
Сравним FTK Imager (бесплатен, многофункционален) с Arsenal Image (только монтирование образа).
  1. Иногда нужно Виртуализировать криминалистический образ в Windows тем самым запустив систему из криминалистического образа (статья с примером как это работает и в ней не случайно используется Arsenal Image Mounter надёжно и 100% работоспособно);
  2. В примере участвует образ в котором 4ре раздела и один из них зашифрован Bitlocker (пароль у нас есть - вот пример каким ПО можно попытаться и его пройти Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на...

Статья Криминалистическая экспертиза мобильных устройств - порядок проведения

  • 27 195
  • 14
Содержание статьи:
  1. Представление объекта на экспертизу
  2. Идентификация объекта
  3. Подготовка к исследованию
  4. Изоляция объекта
  5. Извлечение данных
    • Ручное извлечение данных
    • Извлечение данных на логическом уровне
    • Извлечение данных на физическом уровне
    • Извлечение данных из интегральной схемы памяти или «Chip-off»
    • Извлечение данных на микроуровне
  6. Верификация полученных результатов
  7. Составление заключения
Трудно переоценить значимость криминалистического исследования мобильных устройств. Буквально каждые полгода на рынок выходят всё новые и новые модели, многие из которых хранят массу данных о пользователе и его действиях. Эти данные могут представлять интерес для следственных органов, органов дознания и суда при расследовании самых разнообразных правонарушений.

Мобильные устройства, в частности сотовые телефоны, используются при совершении преступлений достаточно давно. Однако криминалистический анализ данных...

Статья ProcDump encryption *.dmp с помощью Mimikatz

  • 5 599
  • 0
Уже не впервой хакеры используют для разведки и сбора готовые программы как пример ProcDump.
Инструмент который будем использовать для раскрытия файла дампа - Mimikatz
У нас на форуме есть статья Ох уж этот Mimikatz

В нашем конкретном примере хакер использовал для сбора информации ProcDump и сделал дамп процеса lsass (сервис проверки подлинности локальной системы безопасности (англ. Local Security Authority Subsystem Service, LSASS) — часть операционной системы Windows, отвечающая за авторизацию локальных пользователей отдельного компьютера).

Начнем сразу с ошибки, если у Вас результат будет как на картинке ниже, то Вы просто не угадали с разрядностью Mimikatz (на PrtSc запущена версия х64)
Запускаем cmd или PowerShell заранее я скопировал в папку с Mimikatz файл "lsass.dmp" который был создам хакером с помощью ProcDump,
далее указаны команды:
Код:
.\mimikatz.exe...

Статья TeamViewer encryption tvr.cfg или разбор конфигурации TeamSpy

  • 5 216
  • 0
Уже не впервой хакеры используют для взлома и удаленного управления готовые программы, которые модернизируют для своих задач, раньше да и сейчас это:

Radmin, DameWare, Omniquad Instant Remote Control, Remote Desktop Control, Remote Desktop Professional, Hidden Administrator, Activity Monitor, Ideal Administrator, Atelier Web Remote Commander, Удаленный рабочий стол Chrome, RDP Wrapper, RMS, AeroAdmin, AnyDesk, Supremo Remote Desktop, Splashtop Streamer, RemotePC, Access Remote PC, Remote Utilities, RealVNC, UltraVnc, TightVNC for Windows, Ammyy Admin, TeamViewer и.т.д

Так же и вирусо-писатели не отстают, и так как в программах уже предусмотрены и VPN подключения им остается только направить соединения своих детищ к C&C servers или спрятаться в vpn на dedicated server или любом VDS (на арендованном или захваченном чужом оборудовании).

Вопрос возникает как можно увидеть в программе удаленного доступа конфигурацию для соединения с сервером C&C (командным).
Рассмотрим...