• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Каталог Компьютерная криминалистика (Форензика - Forensics): каталог статей "list of articles".

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
19

Фреймворки
Реал-тайм утилиты

Работа с образами (создание, клонирование)

Извлечение данных, артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)
Работа с RAM
Анализ сетевой и не только
Hex редакторы
Мобильные устройства
Полезно знать
Библиотека
Новости
(Содержание в котором указанны инструменты или методы получения данных или доступа,
на прямую используется в Форензике,
Reverse engineering важен в криминалистических исследованиях.)

Софт
Полезные ссылки
  • (список инструментов и ресурсов с активными ссылками)
Данный список будет пополнятся ссылками на статьи написанные на нашем сайте&форуме, это дает Вам возможность общаться на прямую с автором,
и видеть не освещенные темы в разделе Форензик , интересующие направления есть в списке.

Важно: многие статьи дополняются описанием, инструментами и примерами (иногда стоит перечитать интересующую Вас статью).
 
Последнее редактирование:

Sengoku

Green Team
02.05.2018
112
95
BIT
0
Кстати, форензика. Есть прога Elcomsoft. Подбирает пароли к Truecrypt, BitLocker. Другими словами может достаточно глубоко залесть, да и на сайте написано, что для правоохранительных органов идет. Как от нее прикрыться ?
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
19
Кстати, форензика. Есть прога Elcomsoft. Подбирает пароли к Truecrypt, BitLocker. Другими словами может достаточно глубоко залесть, да и на сайте написано, что для правоохранительных органов идет. Как от нее прикрыться ?
есть целые комплексы, FTK, Encase, Elcomsoft, X-Way, Belkasoft - но реально перебором брутом паролей с участием видео адаптеров славится Elcomsoft и там есть метод отлома при наличии одного не зашифрованного файла и его же обязательное присутствие в зашифрованных данных, те вещи которые шифруются Truecrypt - главное что бы не сняли дамп с ОЗУ из которого могут извлечь инфу для получения ключей и не забывать что многое в системе кешируется и если она не заблокирована или ушла в спящий режим что бы не вытащили из файлов отвечающих и хранящих это. Т.е если в системе максимально ни что не кешируется, отключены индексации, файл подкачки отсутствует и настроено что при выключении (отключение драйвера мониторинга сетевой активности, очистка файла подкачки pagefile.sys при выключении Windows, фильтр записи Unified Write Filter (UWF) в Windows 10 - при включенном и настроенном фильтре все изменения с файлами и каталогами на дисках производятся в оперативной памяти и сбрасываются при перезагрузке компьютера, он защищает файловую систему выбранных разделов локальных дисков от изменений, прозрачно перенаправляя все операции записи на файловую систему в виртуальный оверлей в памяти, в котором накапливаются все файловые изменения и чистка файла Файл Windows.edb и.т.п.)
 
Последнее редактирование:

Sengoku

Green Team
02.05.2018
112
95
BIT
0
есть целые комплексы, FTK, Encase, Elcomsoft, X-Way, Belkasoft - но реально перебором брутом паролей с участием видио адаптеров славится Elcomsoft и там есть метод отлома при наличии одного не зашифрованного файла и его же обязательное присутствие в зашифрованных данных, те вещи которые фишруюся Truecrypt - главное что бы не сняли дамп с ОЗУ из которого могут извлечь инфу для получения ключей и не забывать что многое в системе кешируется и если она не заблокирована или ушла в спяший режим что бы не вытащили из файлов отвечающих и хранящих это. Т.е если в системе максимально ни что не кешируется, отключены индексации, файл подкачки отсутствует и настроено что при выключении (отключение драйвера мониторинга сетевой активности, очистка файла подкачки pagefile.sys при выключении Windows, и.т.п.)
Джва года ждал человека знающего про этот софт. Дамп с ОЗУ - заморозка, потом выкавыривание инфы ? Если юзать внешний накопитель, а на каком-нибудь линухе раздел с подкачкой не создавать, юзать для разделов онли btrfs и ext2 ? И что если иcпользовать LUKS Nuke? Его в арсенали Elcomsoft нет, вроде как.
 
Последнее редактирование модератором:
  • Нравится
Реакции: Vander

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
19
Джва года ждал человека знающего про этот софт. Дамп с ОЗУ - заморозка, потом выкавыривание инфы ? Если юзать внешний накопитель, а на каком-нибудь линухе раздел с подкачкой не создавать, юзать для разделов онли btrfs и ext2 ? И что если иcпользовать LUKS Nuke? Его в арсенали Elcomsoft нет, вроде как.
очень верное направление btrfs с включенным сжатием и всем возможным для шифрации в линукс - думаю что достать оттуда информацию будет ну очень проблематично :) это я про линукс системы, а про windows какае то своя WinPE и моунт раздела/диска на котором важная информация в контейнере шифрованном, надеюсь направление и мысль ясны.
И не зря тут есть Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid
 
Последнее редактирование:

ghost

Grey Team
12.05.2016
1 636
3 286
BIT
0
очень верное направление btrfs с включенным сжатием и всем возможным для шифрации в линукс - думаю что достать оттуда информацию будет ну очень проблематично :) это я про линукс системы, а про windows какае то своя WinPE и моунт раздела/диска на котором важная информация в контейнере шифрованном, надеюсь направление и мысль ясны.
И не зря тут есть Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid
В Курсе по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid подробно разобраны интересные методы контр-форензики.
А у Elcomsoft, Belkasoftи, etc. боюсь зубы не выросли с Luks тягаться...))
В третьей части курса будет разобран простой, но 100% действующий авторский метод защиты от снятия дампа с ОЗУ. Но это не для всех.
 

Rybinez

Green Team
28.11.2016
10
4
BIT
0
А у Elcomsoft, Belkasoftи, etc. боюсь зубы не выросли с Luks тягаться...
нуу вообще то Passware есть готовые решения решения по восстановлению LUKS ключей, и даже в утекшом в начале 2017 года Passware Kit Forensic они были, но только для 128-битного ключа, а уже в июльском обновлении добавили и 256 битные ключи
 

Urfin--Juice

Gold Team
14.11.2017
203
74
BIT
0
Товарищи, подскажите, книгу по форензике Windows. Лучшую на Ваш взгляд. Обязательно наличие разбора win10.

Да я, собственно, из них и выбираю)
 

Сергей Попов

Кодебай
30.12.2015
4 691
6 584
BIT
291
  • Нравится
Реакции: Urfin--Juice

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
19
Обязательно наличие разбора win10.
Если Вы посмотрите все публикации которые появлялись то заметите что только в публикациях есть описания новых моментов windows 8.1/10, если Вы найдёте название или isbn книги о forensic windows 10 то просто озвучите поищем, я кроме публикаций и обрывков закрытых курсов ни чего не видел, и само собой личные исследования.
Как разница этих моментов не случайно в названии указано [2 часть] Форензика списков переходов Jump Lists в Windows 10, а вот тут Forensics Windows Registry - история запуска программ "цитата: LastUpdateTime не существует в системах Win7/8/10"
и вот такие моменты у нас в статьях описаны "Важно: BAM - это служба Windows, которая контролирует активность фоновых приложений. Эта служба существует только в новых версиях в Windows 10 начиная с обновления Fall Creators 1709. "
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!