Форум информационной безопасности - Codeby.net

Начало

• с чего начать свой путь?

Статьи

• 10 полезных инструментов для OSINT
• Дорога к OSCP или мотивация к Try Harder!
• Дорога к OSCP - утилиты и ссылки
• OSCP умер?! Да здравствует PNPT?! (Отзыв о сертификации PNPT)
• Docker: 10 Security Best Practices

Framework...

Особенности

• Сведения о DNS
• Визуальное отображение DNS с использованием корзины DNS
• Информация WHOIS
• TLS Поддерживаемые данными шифры, версии TLS, данные сертификата и SAN
• Сканирование портов
• Сканирование служб и скриптов
• Устранение URL-адресов и обнаружение dir / файлов
• Перечисление поддоменов - использует Google dorking, DNS-контейнер, запросы SAN и bruteforce
• Получение данных веб-приложений:
  • Обнаружение CMS
  • Информация о веб-сервере и X-Powered-By
  • robots.txt и извлечение карты сайта
  • Проверка файлов cookie
  • Извлекает все нечеткие URL-адреса
  • Обнаруживает формы HTML
  • Получает все адреса электронной почты
  • Сканирует целевую аудиторию для уязвимых ведер S3 и перечисляет их для файлов с конфиденциальной информацией
• Обнаруживает известные WAF...

Продолжение Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)
Ранее мы рассматривали бесплатные программы.
Тут будут показаны платные решения (надеюсь картинки покажут какой есть в них функционал).

Andriller

Browser History Examiner
Данная статья будет дополняться и получать новые примеры существующих платных программ to by continued...

Phrozen Browser Forensic Tool - это приложение безопасности, которое вы можете использовать для проверки различных браузеров, которые вы используете:
Microsoft Internet Explorer, Google Chrome, Comodo Dragon, RockMelt и Opera.
Приложение создаст отчет для истории навигации по ключевым словам и сопоставляет с вредоносными словами, которые позволяют аналитику безопасности извлекать информацию во время судебного анализа.
Это полезно для того, чтобы не создавать программу для каждого браузера, Вы будете иметь в одном интерфейсе всю информацию, необходимую для веб-браузеров.
Выходит такая мгновенная индексация по браузерам (и программа бесплатна).
пароль на архив с программой: codeby.net =...

В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как thumbcache и .
В многих из этих случаев миниатюры это доказательства, дальнейший их анализ может найти дополнительную информацию, касающуюся миниатюры, например, возможность связать миниатюру с файлом изображения на носителе или найти информацию ведущую к исходному файлу, используемому для создания миниатюры, например полный путь и исходный файл имя.
Microsoft внедрила этот функционал с Windows 95 - сохранения уменьшенных изображений в файлах системных контейнеров, таких как Thumbs.db позже начиная с Windows Vista Thumbcache.db.
Эти системные файлы хранят такую информацию как:

• исходное имя файла
• даты и время
• копию уменьшенного изображения

В этом месте находятся многочисленные файлы кеш-файлов эскизов; Thumbcache_32.db, Thumbcache_96.db, Thumbcache_256.db...

Пример извлечения даты и времени, из файлов ярлыков Windows по документу: The Meaning of Linkfiles In Forensic Examinations (en)
В ОС Windows при первом обращении к файлу на него в каталоге (по адресу: C:\Users\NAME_USER\AppData\Roaming\Microsoft\Windows\Recent) будет создана ссылка на него.

Вот эти ссылки мы и будем изучать

При первом открытии файла в ссылку запишется три даты, дата создания, изменения, открытия, при последующих обращения к файлу дата создания будет оставаться не изменой, даты изменения и открытия это дата последнего обращения к файлу.


В winhex открыв lnk файл, интересующие нас даты мы увидим в начале файла.

на фотографии даты выделены цветом, красным дата создания, синим дата...

Дополнение статьи Forensics Windows Registry - ntuser.dat

• [Начало] Forensics Windows Registry
• [Продолжение] Forensics Windows Registry - ntuser.dat
• [Дополнение] Forensics Windows Registry - расшифровка и отображение всех записей UserAssist (к второму пункту статьи "Forensics Windows Registry - ntuser.dat")
• [Дополнение] Forensics Windows Registry - история запуска программ (дополнение к статье "Forensics Windows Registry -...

Форензика Android, расшифровать сообщения баз данных в Viber В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер Viber. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.

• Сообщения Viber

/data/data/com.viber.voip/databases/viber_messages

• Звонки Viber

/data/data/com.viber.voip/databases/viber_data
Копируем всю папку с базами в удобное для нас место.
Для открытия viber_messages будем использовать программу Andriller - сразу оговорюсь, программа не...

Практически во всех случаях цифровой криминалистики, где задействован компьютер Windows, нам необходимо обработать корзину для удаленных файлов.
Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход.
INFO2 и другие похожие файлы ссылок больше не доступны.
Вместо этого есть два набора...