forensic

  1. Shinobi

    Нашел поддельную подпись

    Доброго времени суток, нашел на почте отправленный документ в гос учреждение. Некто просто отсканировал подпись, отфотошопил, и вставил в word и конвертировал в pdf. Файлы на руках, подпись при открытии документов легко "бегает" и выделяется на фоне. Проверил даже через stegsolve. Вобщем...
  2. Sunnych

    Статья Какой был публичный IP-адрес устройства с Windows 10?

    Статья не моя (оригинал) Иногда ставится вопрос о том какой публичный IP адрес использовался в системе. Мы рассмотрим Windows 10. Благодаря "dosvc", Wan IP может остаться в *.etl файлах, которые относятся к работе службы оптимизации доставки (DoSvc): В зависимости от версии Windows 10...
  3. Sunnych

    Статья ProcDump encryption *.dmp с помощью Mimikatz

    Уже не впервой хакеры используют для разведки и сбора готовые программы как пример ProcDump. Инструмент который будем использовать для раскрытия файла дампа - Mimikatz У нас на форуме есть статья Ох уж этот Mimikatz В нашем конкретном примере хакер использовал для сбора информации ProcDump и...
  4. Sunnych

    Статья TeamViewer encryption tvr.cfg или разбор конфигурации TeamSpy

    Уже не впервой хакеры используют для взлома и удаленного управления готовые программы, которые модернизируют для своих задач, раньше да и сейчас это: Radmin, DameWare, Omniquad Instant Remote Control, Remote Desktop Control, Remote Desktop Professional, Hidden Administrator, Activity Monitor...
  5. Sunnych

    Soft 7-Zip plugins Forensic7z - открытие и просмотр образов ASR, E01, L01, AFF, AD1

    Forensic7z - это plugin для популярного архиватора 7-Zip Вы можете использовать Forensic7z для открытия и просмотра образов дисков, созданных специализированным программным обеспечением для криминалистического анализа, таким как Encase, FTK Imager, X-Ways. На данный момент плагин Forensic7z...
  6. Sunnych

    Soft EventFinder2 - экспорт всех журналов Windows EVTX за указанный промежуток времени

    Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования. Иногда требуется получить логи событий за определенный момент времени, и уже в этом...
  7. Sunnych

    Статья Punto Switcher снятие пароля с "Дневник" (diary.dat)

    Многие вирусописатели и хакеры используют Punto Switcher для задач кейлоггера (включая функцию дневник), не забывая установить пароль от лишних глаз. Стандартное место для punto-switcher-setup-4.4.3-bild-407 C:\Users\{USER}\AppData\Roaming\Yandex\Punto Switcher\User Data но файл Дневника -...
  8. Sunnych

    Soft Event Log Explorer for Windows event log analysis

    Event Log Explorer for Windows event log analysis Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования. Не всегда хватает инструмента...
  9. Sunnych

    Soft Fastir Collector - Author Sébastien Larinier

    FastIR Collector - это инструмент для сбора данных «Fast Forensic». Традиционная криминалистика достигла своего предела с постоянным развитием информационных технологий. С экспоненциально растущим размером жестких дисков их копирование может занять несколько часов, а объем данных может быть...
  10. Sunnych

    Soft Forensic Scanner - Author H.Carvey

    Forensic Scanner это мини комбайн содержащий в себе 44 готовых инструмента. Шаг 1. Смонтируйте файл образа. Первый шаг к использованию сканера Forensic - это монтирование файла образа как доступного тома. Есть ряд инструментов и методов, доступных для этого; Например, вы можете использовать FTK...
  11. Vander

    Статья DFIRTrack - Анализ и форензика систем

    Приветствую гостей и участников портала Codeby.net. В этой статье, я хочу описать и подробно рассказать о работе инструмента для форензики систем – DFIRTrack. DFIRTrack (приложение для цифровой криминалистики и отслеживания инцидентов) - это веб-приложение с открытым исходным кодом...
  12. Vander

    Статья Imago - Форензика изображений

    Приветствую гостей и участников портала Codeby.net. В этой статье, мы на примерах рассмотрим способ форензики изображений с помощью инструмента с открытым исходным кодом – Imago-forensics. Imago - это инструмент на Python, который рекурсивно извлекает цифровые доказательства из изображений...
  13. clevergod

    CTF CTF для новичков KHS 2018 (Part 1) - FTP

    Небольшое предисловие: В CTF forensic является одной из сложных категорий заданий, сравнимой с PWN. Эта категория охватывает довольно обширные категории знаний: Программирование ОС (Windows, *Nix,) ФС (FAT, NTFS, Ext, etc.) Специфика типов файлов (JPEG, ELF, WAV, etc.) Сети (как минимум стек...
  14. Sunnych

    Статья RDP forensic event logs - RDP в журналах событий ОС Windows 10

    RDP forensic event logs - RDP в журналах событий ОС Windows 10 (статья в стадии написания не окончена) Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой...
  15. K

    Forensic analytics harassment intrussion

    Привет спецам и просто прохожим! Хочется спросить совета в непростой ситуации. Дело в хакерской атаке через легитимные сервисы обновлений, а также заливку руткитов на мой комп и превразение всего ИТ зоопарка в доме в мутантов с оверлейным интерфесом и круглосуточной выгрузкой данных, фото звуков...
  16. Forgot

    Статья [1 часть] Восстановление MFT-зоны.

    Статьи будут посещены восстановлению восстановлению MFT зоны. В этой статья разберем что такое MFT. Итак, файловая система NTFS представляет собой две неравные части. Первая часть это 12 % диска отведенные под MFT-зону, которую может занимать, увеличиваясь в размере, главный служебный метафайл...
  17. AnnaDavydova

    Soft PcapXray – GUI сетевой криминалистический инструмент для анализа захвата пакетов оффлайн

    Сетевой криминалистический инструмент (Network Forensics Tool) часто используется специалистами службы безопасности для проверки уязвимостей в сети. С помощью этого обучающего руководства, посвященного kali Linux, мы представляем комплексный инструмент PcapXray для анализа файла pcap...
  18. Forgot

    Статья [1 часть] WINHEX. Практический пример извлечения даты и времени, из файлов ярлыков Windows.

    Пример извлечения даты и времени, из файлов ярлыков Windows по документу: The Meaning of Linkfiles In Forensic Examinations (en) В ОС Windows при первом обращении к файлу на него в каталоге (по адресу: C:\Users\NAME_USER\AppData\Roaming\Microsoft\Windows\Recent) будет создана ссылка на него...
  19. Sunnych

    Статья Анализ корзины Windows в компьютерной криминалистике

    Практически во всех случаях цифровой криминалистики, где задействован компьютер Windows, нам необходимо обработать корзину для удаленных файлов. Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход. INFO2 и другие похожие...
  20. Sunnych

    Статья Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk

    Файлы LNK являются относительно простым, но ценным артефактом для исследователя судебной экспертизы. Это ярлыки, которые ссылаются на приложение или файл, обычно встречающиеся на рабочем столе пользователя или во всей системе, и заканчиваются расширением .lnk. Файлы LNK могут быть созданы...