• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья Компьютерная криминалистика (форензика): каталог статей.

Sunnych

Mod. Forensics
Red Team
01.06.2018
122
445
#1

Фреймворки
Реал-тайм утилиты

Работа с образами (создание, клонирование)
Извлечение данных, артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)
Работа с RAM
Анализ сетевой и не только
Hex редакторы
Мобильные устройства
Полезно знать
Библиотека
Новости
(Содержание в котором указанны инструменты или методы получения данных или доступа,
на прямую используется в Форензике, Reverse engineering важен в криминалистических исследованиях.)

Софт


Данный список будет пополнятся ссылками на статьи написанные на нашем сайте&форуме, это дает Вам возможность общаться на прямую с автором,
и видеть не освещенные темы в разделе Форензик , интересующие направления есть в списке.

Важно: многие статьи дополняются описанием, инструментами и примерами (иногда стоит перечитать интересующую Вас статью).
 
Последнее редактирование:

Sengoku

Well-known member
02.05.2018
89
65
#3
Кстати, форензика. Есть прога Elcomsoft. Подбирает пароли к Truecrypt, BitLocker. Другими словами может достаточно глубоко залесть, да и на сайте написано, что для правоохранительных органов идет. Как от нее прикрыться ?
 

Sunnych

Mod. Forensics
Red Team
01.06.2018
122
445
#4
Кстати, форензика. Есть прога Elcomsoft. Подбирает пароли к Truecrypt, BitLocker. Другими словами может достаточно глубоко залесть, да и на сайте написано, что для правоохранительных органов идет. Как от нее прикрыться ?
есть целые комплексы, FTK, Encase, Elcomsoft, X-Way, Belkasoft - но реально перебором брутом паролей с участием видио адаптеров славится Elcomsoft и там есть метод отлома при наличии одного не зашифрованного файла и его же обязательное присутствие в зашифрованных данных, те вещи которые фишруюся Truecrypt - главное что бы не сняли дамп с ОЗУ из которого могут извлечь инфу для получения ключей и не забывать что многое в системе кешируется и если она не заблокирована или ушла в спяший режим что бы не вытащили из файлов отвечающих и хранящих это. Т.е если в системе максимально ни что не кешируется, отключены индексации, файл подкачки отсутствует и настроено что при выключении (отключение драйвера мониторинга сетевой активности, очистка файла подкачки pagefile.sys при выключении Windows, фильтр записи Unified Write Filter (UWF) в Windows 10 - при включенном и настроенном фильтре все изменения с файлами и каталогами на дисках производятся в оперативной памяти и сбрасываются при перезагрузке компьютера, он защищает файловую систему выбранных разделов локальных дисков от изменений, прозрачно перенаправляя все операции записи на файловую систему в виртуальный оверлей в памяти, в котором накапливаются все файловые изменения и чистка файла Файл Windows.edb и.т.п.)
 
Последнее редактирование:

Sengoku

Well-known member
02.05.2018
89
65
#5
есть целые комплексы, FTK, Encase, Elcomsoft, X-Way, Belkasoft - но реально перебором брутом паролей с участием видио адаптеров славится Elcomsoft и там есть метод отлома при наличии одного не зашифрованного файла и его же обязательное присутствие в зашифрованных данных, те вещи которые фишруюся Truecrypt - главное что бы не сняли дамп с ОЗУ из которого могут извлечь инфу для получения ключей и не забывать что многое в системе кешируется и если она не заблокирована или ушла в спяший режим что бы не вытащили из файлов отвечающих и хранящих это. Т.е если в системе максимально ни что не кешируется, отключены индексации, файл подкачки отсутствует и настроено что при выключении (отключение драйвера мониторинга сетевой активности, очистка файла подкачки pagefile.sys при выключении Windows, и.т.п.)
Джва года ждал человека знающего про этот софт. Дамп с ОЗУ - заморозка, потом выкавыривание инфы ? Если юзать внешний накопитель, а на каком-нибудь линухе раздел с подкачкой не создавать, юзать для разделов онли btrfs и ext2 ? И что если иcпользовать LUKS Nuke? Его в арсенали Elcomsoft нет, вроде как.
 
Симпатии: Понравилось Vander

Sunnych

Mod. Forensics
Red Team
01.06.2018
122
445
#6
Джва года ждал человека знающего про этот софт. Дамп с ОЗУ - заморозка, потом выкавыривание инфы ? Если юзать внешний накопитель, а на каком-нибудь линухе раздел с подкачкой не создавать, юзать для разделов онли btrfs и ext2 ? И что если иcпользовать LUKS Nuke? Его в арсенали Elcomsoft нет, вроде как.
очень верное направление btrfs с включенным сжатием и всем возможным для шифрации в линукс - думаю что достать оттуда информацию будет ну очень проблематично :) это я про линукс системы, а про windows какае то своя WinPE и моунт раздела/диска на котором важная информация в контейнере шифрованном, надеюсь направление и мысль ясны.
И не зря тут есть Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid
 
Последнее редактирование:

Литиум

Well-known member
13.12.2017
233
306
#7

Фреймворки
Реал-тайм утилиты

Работа с образами (создание, клонирование)
Извлечение данных, артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)
Работа с RAM
Анализ сетевой и не только
Hex редакторы
Мобильные устройства
Полезно знать
Библиотека

Данный список будет пополнятся ссылками на статьи написанные на нашем сайте&форуме, это дает Вам возможность общаться на прямую с автором,
и видеть не освещенные темы в разделе Форензик , интересующие направления есть в списке.
Отличная статья. Жду продолжение с нетерпением.
 

ghost

penetration testing
Red Team
12.05.2016
1 430
2 654
#8
очень верное направление btrfs с включенным сжатием и всем возможным для шифрации в линукс - думаю что достать оттуда информацию будет ну очень проблематично :) это я про линукс системы, а про windows какае то своя WinPE и моунт раздела/диска на котором важная информация в контейнере шифрованном, надеюсь направление и мысль ясны.
И не зря тут есть Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid
В Курсе по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid подробно разобраны интересные методы контр-форензики.
А у Elcomsoft, Belkasoftи, etc. боюсь зубы не выросли с Luks тягаться...))
В третьей части курса будет разобран простой, но 100% действующий авторский метод защиты от снятия дампа с ОЗУ. Но это не для всех.
 
Вверх Снизу