Форензика и OSINT

"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.

Альтернативный поток данных (Zone.Identifier) в NTFS

  • 4 349
  • 1
Введение - Форензика альтернативного потока данных (Zone.Identifier) в NTFS
Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.

Рассмотрим ПО которое поможет увидеть ADS:




29966



29967
29968


29969
29970


29971


P:S
Очень надеюсь, что эта тема будет дополняться желающими, делитесь теми ПО которые...​

Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker

  • 11 702
  • 9
Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery
Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля

29926


29927


29928


Теперь полученный файл мы будем Атаковать программой Elcomsoft Distributed Password Recovery,
открываем полученный файл EDPR (Elcomsoft Distributed Password Recovery) мне известен пароль и по этому я оставил перебирать по маске только первый символ

29930


иконка замочка уже зелёного цвета, это значит пароль подобран, в вкладке "Результат"

29931


С этим рассмотрим еще...

Статья AccessData FTK Imager против Arsenal Image Mounter

  • 8 169
  • 5
При работе с образами всегда нужен максимально хороший (приближенный к работе самого оригинала) способ монтирования криминалистического образа - полностью бесшовный.
Сравним FTK Imager (бесплатен, многофункционален) с Arsenal Image (только монтирование образа).
  1. Иногда нужно Виртуализировать криминалистический образ в Windows тем самым запустив систему из криминалистического образа (статья с примером как это работает и в ней не случайно используется Arsenal Image Mounter надёжно и 100% работоспособно);
  2. В примере участвует образ в котором 4ре раздела и один из них зашифрован Bitlocker (пароль у нас есть - вот пример каким ПО можно попытаться и его пройти Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на...

Статья Криминалистическая экспертиза мобильных устройств - порядок проведения

  • 27 300
  • 14
Содержание статьи:
  1. Представление объекта на экспертизу
  2. Идентификация объекта
  3. Подготовка к исследованию
  4. Изоляция объекта
  5. Извлечение данных
    • Ручное извлечение данных
    • Извлечение данных на логическом уровне
    • Извлечение данных на физическом уровне
    • Извлечение данных из интегральной схемы памяти или «Chip-off»
    • Извлечение данных на микроуровне
  6. Верификация полученных результатов
  7. Составление заключения
Трудно переоценить значимость криминалистического исследования мобильных устройств. Буквально каждые полгода на рынок выходят всё новые и новые модели, многие из которых хранят массу данных о пользователе и его действиях. Эти данные могут представлять интерес для следственных органов, органов дознания и суда при расследовании самых разнообразных правонарушений.

Мобильные устройства, в частности сотовые телефоны, используются при совершении преступлений достаточно давно. Однако криминалистический анализ данных...

Статья ProcDump encryption *.dmp с помощью Mimikatz

  • 5 615
  • 0
Уже не впервой хакеры используют для разведки и сбора готовые программы как пример ProcDump.
Инструмент который будем использовать для раскрытия файла дампа - Mimikatz
У нас на форуме есть статья Ох уж этот Mimikatz

В нашем конкретном примере хакер использовал для сбора информации ProcDump и сделал дамп процеса lsass (сервис проверки подлинности локальной системы безопасности (англ. Local Security Authority Subsystem Service, LSASS) — часть операционной системы Windows, отвечающая за авторизацию локальных пользователей отдельного компьютера).

Начнем сразу с ошибки, если у Вас результат будет как на картинке ниже, то Вы просто не угадали с разрядностью Mimikatz (на PrtSc запущена версия х64)
Запускаем cmd или PowerShell заранее я скопировал в папку с Mimikatz файл "lsass.dmp" который был создам хакером с помощью ProcDump,
далее указаны команды:
Код:
.\mimikatz.exe...

Статья TeamViewer encryption tvr.cfg или разбор конфигурации TeamSpy

  • 5 230
  • 0
Уже не впервой хакеры используют для взлома и удаленного управления готовые программы, которые модернизируют для своих задач, раньше да и сейчас это:

Radmin, DameWare, Omniquad Instant Remote Control, Remote Desktop Control, Remote Desktop Professional, Hidden Administrator, Activity Monitor, Ideal Administrator, Atelier Web Remote Commander, Удаленный рабочий стол Chrome, RDP Wrapper, RMS, AeroAdmin, AnyDesk, Supremo Remote Desktop, Splashtop Streamer, RemotePC, Access Remote PC, Remote Utilities, RealVNC, UltraVnc, TightVNC for Windows, Ammyy Admin, TeamViewer и.т.д

Так же и вирусо-писатели не отстают, и так как в программах уже предусмотрены и VPN подключения им остается только направить соединения своих детищ к C&C servers или спрятаться в vpn на dedicated server или любом VDS (на арендованном или захваченном чужом оборудовании).

Вопрос возникает как можно увидеть в программе удаленного доступа конфигурацию для соединения с сервером C&C (командным).
Рассмотрим...

Zeebsploit Framework: комплексный инструмент для тестирования безопасности веб-ресурсов

  • 4 830
  • 8
zeebsploit.png
Добрый день,Уважаемые Форумчане и Друзья.
Сегодня рассмотрим в работе инструмент,созданный jaxBCD
Это г.Сурабая индонезийского острова Ява.

Zeebsploit Framework-web scanner с возможностью тестировать ресурс на уязвимости SQL,LFI,XSS.
Функционал с элементарными разведывательными возможностями в него включён,что замечательно.
Зависимостями для нормальной работы является наличие следующих компонентов:
requests
asyncio
aiohttp
python-whois
bs4
dirhunt
colorlog


В Kali Linux он работает на python3 и установка немногим будет отличаться от авторской.
Все зависимости Zeebsploit старается докачать самостоятельно при установке.
Установка:
Код:
# git clone https://github.com/jaxBCD/Zeebsploit.git
# cd Zeebsploit/
# chmod +x zsf.py
# pip3 install -r requirements.txt
# python3 zsf.py
После каждого запуска предлагается обновить версию,но у нас всё в норме,поэтому сейчас этого не требуется.
Функционал можно...

7-Zip plugins Forensic7z - открытие и просмотр образов ASR, E01, L01, AFF, AD1

  • 4 095
  • 0
Forensic7z - это plugin для популярного архиватора 7-Zip

Вы можете использовать Forensic7z для открытия и просмотра образов дисков, созданных специализированным программным обеспечением для криминалистического анализа, таким как Encase, FTK Imager, X-Ways.


На данный момент плагин Forensic7z поддерживает изображения в следующих форматах:
  • Экспертный формат сжатия свидетелей ASR (.S01)
  • Encase Формат файла изображения (.E01, .Ex01)
  • Encase Логический формат файла изображения (.L01, .Lx01)
  • Расширенный формат криминалистики (.AFF)
  • AccessData FTK Imager Логическое изображение (.AD1)
Зашифрованные изображения в настоящее время не поддерживаются.

Установка Forensic7z

Дистрибутив Forensic7z представляет собой обычный Zip-архив, который содержит следующие три файла:
  • Forensic7z.64.dll - 64-битная версия плагина
  • Forensic7z.32.dll...