Форензика и OSINT

Всем привет!

Работая с LaZagne и обновлять Python (а я всегда только последними версиями движков пользуюсь) после обновлений бывают ошибки и при первой работе с LaZagne тоже.

Рассмотрим те ошибки с которыми я столкнулся при работе с LaZagne на другой ОС (Windows 10).

Первая ошибка которая у меня возникла это нехватка модулей в Python для работы LaZagne:

Если видим ошибку такого роду с недостачей модуля, то просто с помощью консоли (cmd) выполняем следующую команду:


Если видим, что "pip" говорит что ему нужно обновление то обновляем его командой как на скриншоте выше:
И запускаем еще раз LaZagne:


Видим, что не хватает модуля "rsa" и устанавливаем нужный модуль:


И запускаем еще раз...

Всем привет!
Попал мне в руки образ смартфона ZTE BLADE V8 сделанный с помощью UFED версии 7.36.0.109.
Файл образа сформированный с расширением UDF, но _7.18.0.106 может открывать файлы с расширением UFDR.
Для того чтобы экспортировать файл UDF в UFDR нам поможет .
Приступим первым делом открываем MOBILedit Forensic Express
Далее кликаем Start и видим следующее:
Так как физически смартфон не подключен и у нас есть только его образ то нужно как-то подгрузить его образ и переформатировать в нужный нам. Для этого выбираем пункт меню Import data и увидим следующее:

Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска.
PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+.
Командлеты

- платное ПО для поиска информации о подключаемых устройствах USB для Windows систем

• Обрабатывает артефакты USB-устройств от Windows XP до Windows 10
• Поддержка работающей системы, отдельных файлов, папок и обработки логических дисков
• Обрабатывает несколько версий всех принятых артефактов
• Источник каждого идентифицированного значения сохраняется для последующего представления отчетов и документации
• Используйте последние изменения в Windows 10, чтобы получить еще больше информации об устройстве
• Визуально представленные уровни согласованности меток времени

Введение - Форензика альтернативного потока данных (Zone.Identifier) в NTFS
Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.

Рассмотрим ПО которое поможет увидеть ADS:

Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery
Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля







Теперь полученный файл мы будем Атаковать программой Elcomsoft Distributed Password Recovery,
открываем полученный файл EDPR (Elcomsoft Distributed Password Recovery) мне известен пароль и по этому я оставил перебирать по маске только первый символ



иконка замочка уже зелёного цвета, это значит пароль подобран, в вкладке "Результат"



С этим рассмотрим еще...

При работе с образами всегда нужен максимально хороший (приближенный к работе самого оригинала) способ монтирования криминалистического образа - полностью бесшовный.
Сравним FTK Imager (бесплатен, многофункционален) с Arsenal Image (только монтирование образа).

1. Иногда нужно Виртуализировать криминалистический образ в Windows тем самым запустив систему из криминалистического образа (статья с примером как это работает и в ней не случайно используется Arsenal Image Mounter надёжно и 100% работоспособно);
2. В примере участвует образ в котором 4ре раздела и один из них зашифрован Bitlocker (пароль у нас есть - вот пример каким ПО можно попытаться и его пройти Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на...

Содержание статьи:

1. Представление объекта на экспертизу
2. Идентификация объекта
3. Подготовка к исследованию
4. Изоляция объекта
5. Извлечение данных
   • Ручное извлечение данных
   • Извлечение данных на логическом уровне
   • Извлечение данных на физическом уровне
   • Извлечение данных из интегральной схемы памяти или «Chip-off»
   • Извлечение данных на микроуровне
6. Верификация полученных результатов
7. Составление заключения

Трудно переоценить значимость криминалистического исследования мобильных устройств. Буквально каждые полгода на рынок выходят всё новые и новые модели, многие из которых хранят массу данных о пользователе и его действиях. Эти данные могут представлять интерес для следственных органов, органов дознания и суда при расследовании самых разнообразных правонарушений.

Мобильные устройства, в частности сотовые телефоны, используются при совершении преступлений достаточно давно. Однако криминалистический анализ данных...