Форум информационной безопасности - Codeby.net
Статья Forensics Windows Registry - история запуска программ
История запуска программ
Дополнение статьи Forensics Windows Registry - ntuser.dat- [Начало] Forensics Windows Registry
- [Продолжение] Forensics Windows Registry - ntuser.dat
- [Дополнение] Forensics Windows Registry - расшифровка и отображение всех записей UserAssist (к второму пункту статьи "Forensics Windows Registry - ntuser.dat")
- [Дополнение] Forensics Windows Registry - история запуска программ (дополнение к статье "Forensics Windows Registry - ntuser.dat")
- Продолжение этих статей: Forensics Windows Registers all in one program
Файл...
Статья Форензика Android, расшифровать и собрать данные из баз Viber
Форензика Android, расшифровать сообщения баз данных в Viber В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер Viber. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.
Копируем всю папку с базами в удобное для нас место.
Для открытия viber_messages будем использовать программуAndriller - сразу оговорюсь, программа не смогла вскрыть сообщения, все обновляется.
Важно: но в продолжении мне помогает Unison который распарсит эту базу и создаст её читаемый вид...
Рассмотрим места нахождение нужных нам файлов и баз данных.
- Сообщения Viber
/data/data/com.viber.voip/databases/viber_messages - Звонки Viber
/data/data/com.viber.voip/databases/viber_data
Для открытия viber_messages будем использовать программу
Важно: но в продолжении мне помогает Unison который распарсит эту базу и создаст её читаемый вид...
Статья Анализ корзины Windows в компьютерной криминалистике
Практически во всех случаях цифровой криминалистики, где задействован компьютер Windows, нам необходимо обработать корзину для удаленных файлов.
Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход.
INFO2 и другие похожие файлы ссылок больше не доступны.
под папка (sub-folder) sid соответствует SID пользователя, который удалил файл. Под папка создается для данного пользователя при первом удалении файла, который отправляется в корзину (Recycle Bin)
Вместо этого есть два набора файлов, занявших свое место.
Когда файл будет удален из корзины на компьютере с файловой системой NTFS, произойдет несколько вещей. Сначала запись NTFS $ MFT обновляется с новым номером записи для...
Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход.
INFO2 и другие похожие файлы ссылок больше не доступны.
- File name and full path of the deleted file (Имя файла и полный путь к удаленному файлу)
- Size of the deleted file (Размер удалённого файла)
- Date/Time at which the file was deleted (Дата/время, когда файл был удален)
C:\RECYCLER\SID*\INFO2под папка (sub-folder) sid соответствует SID пользователя, который удалил файл. Под папка создается для данного пользователя при первом удалении файла, который отправляется в корзину (Recycle Bin)
Когда файл будет удален из корзины на компьютере с файловой системой NTFS, произойдет несколько вещей. Сначала запись NTFS $ MFT обновляется с новым номером записи для...
Статья Shell-scan Поиск backdoor shell на ресурсе
Приветствую вновь Уважаемых Форумчан и Друзей.
Скрипт, который вам представлю, пытается найти оставленный или залитый backdoor shell на ресурсе. На роль основного сканера по таким файлам он не претендует. А вот в качестве вспомогательного дополнительного инструмента сойдёт вполне.
Написан скрипт индонезийцем PosiX (Rhi7)
Работает скрипт на python3
В директории инструмента имеется файл wordlist.txt, который надо указать при запуске.
Плюс в том ,что вы можете сами придумать текстовый файл и также указать его затем при сканировании. Можно и этот же файл допилить при надобности. Вот так выглядит содержимое такого файла (всё не уместилось конечно,файл объёмный).
Установка:
Команда для проверки проста до безобразия:
Пример работы. Ничего подобного не было в начале обнаружено на одном из тестируемых ресурсов. Чтобы долго не ждать, скрипт был остановлен.
[ATTACH type="full"...
Скрипт, который вам представлю, пытается найти оставленный или залитый backdoor shell на ресурсе. На роль основного сканера по таким файлам он не претендует. А вот в качестве вспомогательного дополнительного инструмента сойдёт вполне.
Написан скрипт индонезийцем PosiX (Rhi7)
Работает скрипт на python3
В директории инструмента имеется файл wordlist.txt, который надо указать при запуске.
Плюс в том ,что вы можете сами придумать текстовый файл и также указать его затем при сканировании. Можно и этот же файл допилить при надобности. Вот так выглядит содержимое такого файла (всё не уместилось конечно,файл объёмный).
Установка:
Код:
# git clone https://github.com/Rhi7/shell-scan.git
# cd shell-scan/
# chmod +x shell.py
# python3 shell.py --help -запуск с выводом справки.
Код:
# python3 -u example.com -w wordlist.txt (либо ваш текстовый файл)[ATTACH type="full"...
Статья RSA принцип работы алгоритма на примерах python. Шифрование в интернете. Часть 1.
Приветствую, это статья является введением и отправной точкой к другим различным сериям статей о криптографии, поэтому она будет необычно короткой. Я специально не буду нагружать вас математическими формулами.
Для защиты ваших данных в интернете используется шифрование, когда вы заходите на сайт вы можете увидеть значок замка:
Если же шифрование не используется, то ваши данные смогут попасть не в те руки. Наиболее распространенный способ это MITM атака. Несмотря на то, что https можно атаковать различными способами и в итоге прослушивать трафик, все же рекомендуется использовать данный протокол. HSTS - это механизм, активирующий защищённое соединение. Например если ваш HSTS настроен не правильно, то, если вы вобьете вместо https://codeby, http://codeby, то сайт откроется через HTTP протокол. Для активации HSTS нужно прописать:
Код:
Strict-Transport-Security: max-age=31536000;Статья Mega vs Dropbox: самая важная проблема с кибербезопасностью в облаке
Mega vs Dropbox, если история – это что-то, откуда мы черпаем опыт, тогда мы наверняка можем утверждать, что нет 100% гарантии киберзащиты от взлома или DDoS атак. Когда мы покупаем облачные сервисы, мы переживаем о двойниках или тройниках, поскольку мы должны полагаться на поставщиков с третьей стороны, предлагающих нам безопасность данных с беспрепятственным доступом.
Что касается сегодняшнего обсуждения, мы выбрали анализ безопасности, предложенный Dropbox против безопасности, предложенной Mega. Мы выбрали первое, потому что он пользуется мировой славой, а наша отдельная концентрация на последнем объясняется тем, что специалисты утверждают, что он занимает топовую позицию в отделе безопасности.
Mega vs Dropbox – новичок встречает ветерана
Mega – один из новичков в данной сфере, и мы рекомендуем почитать, по крайней мере, обзор о Mega облачном хранилище, чтобы увидеть его сильные стороны, планы и цены, а также другие технические характеристики. Облачный сервис также поставляется с...
Статья Forensics Windows Registry - расшифровка и отображение всех записей UserAssist
Эта статья составляющий элемент статьи Forensics Windows Registry - ntuser.dat второго пункта "2. количество раз, когда был запущен пример calc.exe "
но с дополнительными программами и другим примером который проводится на виртуальной машине уже участвующей в статье Миф Анти-форензики ntuser.dat в ntuser.man
Теория:
UserAssist - Microsoft использует для заполнения пользовательского меню запуска с помощью часто используемых приложений.
Они существуют с Windows XP и последующих версиях.
Эти значения располагаются в кусте NTUSER.DAT каждого пользователя
но с дополнительными программами и другим примером который проводится на виртуальной машине уже участвующей в статье Миф Анти-форензики ntuser.dat в ntuser.man
Теория:
UserAssist - Microsoft использует для заполнения пользовательского меню запуска с помощью часто используемых приложений.
Они существуют с Windows XP и последующих версиях.
Эти значения располагаются в кусте NTUSER.DAT каждого пользователя
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist- идентификаторы SID
- имена пользователей
- индексы
- имена приложений
- количество запусков
- сеанс и атрибуты времени последнего запуска
(Я заранее скопировал на...
Статья Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp
Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер WatsApp. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.
Для расшифровки будем использовать программу Andriller
Получили отчет Andriller
Ещё для расшифровки воспользуемся программой WhatsApp Viewer...
Рассмотрим места нахождение нужных нам файлов и баз данных.
- Контакты WhatsApp
/data/data/com.whatsapp/databases/wa.db- Сообщения WhatsApp
/data/data/com.whatsapp/databases/msgstore.db- Ключ для криптования
/data/data/com.whatsapp/files/key
Ещё для расшифровки воспользуемся программой WhatsApp Viewer...
Статья [2 часть] Восстановления данных с CD дисков.
Продолжение статьи [1 часть] Восстановления данных с CD дисков.
Логическая структура компакт диска прпедставляет собой три зоны,
зона ввода (lead-in), зона данных (user data) и зона вывтода (lead-out). Располагаются они в названном порядке, начиная от внутренней части диска.
Зона ввода предназначена для позиционирования считывающей системы на дорожке и синхронизации.
В этой зоне находится TOC - Table of Contents, если просто то таблица в которой записано расположение файлов на диске.
Вот как раз эту зону и повредили на втором диске.
Итак приступим к восстановлению:
Сначала найдем аналогичный диск (диск должен быть полностью идентичным), запишем на него файл аналогичный или большего объема.
Далее по тексту аналогичный диск будем именовать ДИСК1, поврежденный ДИСК2.
Разбираем привод (открываем ютуб и смотрим как разобрать) снимаем лицевую панель, раскручиваем корпус для облегчения доступа к диску.
Вставляем ДИСК1, ждем пока диск считается и остановиться по time out(примерно 5-6 минут).
Снимаем нижнюю крышку, снимаем верхнюю крышку, снимаем ДИСК1 кладем ДИСК2, собираем привод, обязательно...
Логическая структура компакт диска прпедставляет собой три зоны,
зона ввода (lead-in), зона данных (user data) и зона вывтода (lead-out). Располагаются они в названном порядке, начиная от внутренней части диска.
Зона ввода предназначена для позиционирования считывающей системы на дорожке и синхронизации.
В этой зоне находится TOC - Table of Contents, если просто то таблица в которой записано расположение файлов на диске.
Вот как раз эту зону и повредили на втором диске.
Итак приступим к восстановлению:
Сначала найдем аналогичный диск (диск должен быть полностью идентичным), запишем на него файл аналогичный или большего объема.
Далее по тексту аналогичный диск будем именовать ДИСК1, поврежденный ДИСК2.
Разбираем привод (открываем ютуб и смотрим как разобрать) снимаем лицевую панель, раскручиваем корпус для облегчения доступа к диску.
Вставляем ДИСК1, ждем пока диск считается и остановиться по time out(примерно 5-6 минут).
Снимаем нижнюю крышку, снимаем верхнюю крышку, снимаем ДИСК1 кладем ДИСК2, собираем привод, обязательно...
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
