Форензика и OSINT
"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.
Статья ProcDump encryption *.dmp с помощью Mimikatz
Уже не впервой хакеры используют для разведки и сбора готовые программы как пример ProcDump.
Инструмент который будем использовать для раскрытия файла дампа - Mimikatz
У нас на форуме есть статья Ох уж этот Mimikatz
В нашем конкретном примере хакер использовал для сбора информации ProcDump и сделал дамп процеса lsass (сервис проверки подлинности локальной системы безопасности (англ. Local Security Authority Subsystem Service, LSASS) — часть операционной системы Windows, отвечающая за авторизацию локальных пользователей отдельного компьютера).
Начнем сразу с ошибки, если у Вас результат будет как на картинке ниже, то Вы просто не угадали с разрядностью Mimikatz (на PrtSc запущена версия х64)
Запускаем cmd или PowerShell заранее я скопировал в папку с Mimikatz файл "lsass.dmp" который был создам хакером с помощью ProcDump,
далее указаны команды:
Инструмент который будем использовать для раскрытия файла дампа - Mimikatz
У нас на форуме есть статья Ох уж этот Mimikatz
В нашем конкретном примере хакер использовал для сбора информации ProcDump и сделал дамп процеса lsass (сервис проверки подлинности локальной системы безопасности (англ. Local Security Authority Subsystem Service, LSASS) — часть операционной системы Windows, отвечающая за авторизацию локальных пользователей отдельного компьютера).
Начнем сразу с ошибки, если у Вас результат будет как на картинке ниже, то Вы просто не угадали с разрядностью Mimikatz (на PrtSc запущена версия х64)
Запускаем cmd или PowerShell заранее я скопировал в папку с Mimikatz файл "lsass.dmp" который был создам хакером с помощью ProcDump,
далее указаны команды:
Код:
.\mimikatz.exe...Статья TeamViewer encryption tvr.cfg или разбор конфигурации TeamSpy
Уже не впервой хакеры используют для взлома и удаленного управления готовые программы, которые модернизируют для своих задач, раньше да и сейчас это:
Radmin, DameWare, Omniquad Instant Remote Control, Remote Desktop Control, Remote Desktop Professional, Hidden Administrator, Activity Monitor, Ideal Administrator, Atelier Web Remote Commander, Удаленный рабочий стол Chrome, RDP Wrapper, RMS, AeroAdmin, AnyDesk, Supremo Remote Desktop, Splashtop Streamer, RemotePC, Access Remote PC, Remote Utilities, RealVNC, UltraVnc, TightVNC for Windows, Ammyy Admin, TeamViewer и.т.д
Так же и вирусо-писатели не отстают, и так как в программах уже предусмотрены и VPN подключения им остается только направить соединения своих детищ к C&C servers или спрятаться в vpn на dedicated server или любом VDS (на арендованном или захваченном чужом оборудовании).
Вопрос возникает как можно увидеть в программе удаленного доступа конфигурацию для соединения с сервером C&C (командным).
Рассмотрим...
Radmin, DameWare, Omniquad Instant Remote Control, Remote Desktop Control, Remote Desktop Professional, Hidden Administrator, Activity Monitor, Ideal Administrator, Atelier Web Remote Commander, Удаленный рабочий стол Chrome, RDP Wrapper, RMS, AeroAdmin, AnyDesk, Supremo Remote Desktop, Splashtop Streamer, RemotePC, Access Remote PC, Remote Utilities, RealVNC, UltraVnc, TightVNC for Windows, Ammyy Admin, TeamViewer и.т.д
Так же и вирусо-писатели не отстают, и так как в программах уже предусмотрены и VPN подключения им остается только направить соединения своих детищ к C&C servers или спрятаться в vpn на dedicated server или любом VDS (на арендованном или захваченном чужом оборудовании).
Вопрос возникает как можно увидеть в программе удаленного доступа конфигурацию для соединения с сервером C&C (командным).
Рассмотрим...
Zeebsploit Framework: комплексный инструмент для тестирования безопасности веб-ресурсов
Добрый день,Уважаемые Форумчане и Друзья.
Сегодня рассмотрим в работе инструмент,созданный jaxBCD
Это г.Сурабая индонезийского острова Ява.
Zeebsploit Framework-web scanner с возможностью тестировать ресурс на уязвимости SQL,LFI,XSS.
Функционал с элементарными разведывательными возможностями в него включён,что замечательно.
Зависимостями для нормальной работы является наличие следующих компонентов:
requests
asyncio
aiohttp
python-whois
bs4
dirhunt
colorlog
В Kali Linux он работает на python3 и установка немногим будет отличаться от авторской.
Все зависимости Zeebsploit старается докачать самостоятельно при установке.
Установка:
Код:
# git clone https://github.com/jaxBCD/Zeebsploit.git
# cd Zeebsploit/
# chmod +x zsf.py
# pip3 install -r requirements.txt
# python3 zsf.pyФункционал можно...
7-Zip plugins Forensic7z - открытие и просмотр образов ASR, E01, L01, AFF, AD1
Forensic7z - это plugin для популярного архиватора 7-Zip
Вы можете использовать Forensic7z для открытия и просмотра образов дисков, созданных специализированным программным обеспечением для криминалистического анализа, таким как Encase, FTK Imager, X-Ways.
На данный момент плагин Forensic7z поддерживает изображения в следующих форматах:
Установка Forensic7z
Дистрибутив Forensic7z представляет собой обычный Zip-архив, который содержит следующие три файла:
Вы можете использовать Forensic7z для открытия и просмотра образов дисков, созданных специализированным программным обеспечением для криминалистического анализа, таким как Encase, FTK Imager, X-Ways.
На данный момент плагин Forensic7z поддерживает изображения в следующих форматах:
- Экспертный формат сжатия свидетелей ASR (.S01)
- Encase Формат файла изображения (.E01, .Ex01)
- Encase Логический формат файла изображения (.L01, .Lx01)
- Расширенный формат криминалистики (.AFF)
- AccessData FTK Imager Логическое изображение (.AD1)
Установка Forensic7z
Дистрибутив Forensic7z представляет собой обычный Zip-архив, который содержит следующие три файла:
- Forensic7z.64.dll - 64-битная версия плагина
- Forensic7z.32.dll...
Статья Vulners: Ваш Главный Инструмент для Глубокого Анализа Уязвимостей и Кибербезопасности
Этот сайт ещё называют Гугл для “хакеров”. Это постоянно обновляемая база данных с более чем 70 источниками: CVE, эксплойты, статьи, скрипты.
Также вы можете получать ежедневные новости. Уязвимости нулевого дня повторяются день за днём,год от года. Некоторые из них появляются так быстро, что специалисты не успевают их исправить. Знания - это сила! Будьте первым, кто получитет новости о новой уязвимости, как только она появится!
Приложения от Vulners:
Vulners-Scanner - это сканер уязвимостей на основе PoC, использующий API vulners.com. Обнаруживает операционную систему, собирает установленные пакеты и проверяет уязвимости в ней. В настоящее время он поддерживает сбор пакетов для операционных систем на основе Debian (debian, kali, kali) и Rhel (redhat, centos, fedora).
Плагин Vulners NSE - это отличное решение для полной скорости сканирования уязвимостей с использованием...
Также вы можете получать ежедневные новости. Уязвимости нулевого дня повторяются день за днём,год от года. Некоторые из них появляются так быстро, что специалисты не успевают их исправить. Знания - это сила! Будьте первым, кто получитет новости о новой уязвимости, как только она появится!
Приложения от Vulners:
Vulners-Scanner - это сканер уязвимостей на основе PoC, использующий API vulners.com. Обнаруживает операционную систему, собирает установленные пакеты и проверяет уязвимости в ней. В настоящее время он поддерживает сбор пакетов для операционных систем на основе Debian (debian, kali, kali) и Rhel (redhat, centos, fedora).
Плагин Vulners NSE - это отличное решение для полной скорости сканирования уязвимостей с использованием...
EventFinder2 - экспорт всех журналов Windows EVTX за указанный промежуток времени
Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования. Иногда требуется получить логи событий за определенный момент времени, и уже в этом отрезке времени изучать события, именно для этого и написана программа EventFinder2.
EventFinder2 от Mike Peterson of Nullsec.us. Эта утилита, написанная на C #, позволит следователю быстро получить дружественный к Excel экспорт всех журналов Windows EVTX в течение указанного промежутка времени, отсортированных по временному порядку. Затем данные могут быть легко отсортированы и отфильтрованы для облегчения быстрого анализа.
EventFinder2 дает возможность искать по заданному временому отрезку как в работающей ОС так же и в сохраненных файлах *.evtx с других систем (Read From Directory Path)
Пример запущеной программы:
Результат появится на рабочем столи в виде файла...
EventFinder2 от Mike Peterson of Nullsec.us. Эта утилита, написанная на C #, позволит следователю быстро получить дружественный к Excel экспорт всех журналов Windows EVTX в течение указанного промежутка времени, отсортированных по временному порядку. Затем данные могут быть легко отсортированы и отфильтрованы для облегчения быстрого анализа.
EventFinder2 дает возможность искать по заданному временому отрезку как в работающей ОС так же и в сохраненных файлах *.evtx с других систем (Read From Directory Path)
Пример запущеной программы:
Результат появится на рабочем столи в виде файла...
Hacker Lab
Категории
Наши курсы
