forensics

Задача из форензиики. Дан файл memdump, это образ памяти Описание таска: Оно же является небольшой подсказкой. Надо искать графические редакторы, просмотрщики картинок и тому подобное. Приступим, для работы с памятью нам поможет замечательный инструмент - volatility2/3 You must be registered...

Доброго времени суток! Во время дампа процессов, некоторые не удается сдампить. Пример ошибки ниже. И вот вопрос- как мне сдампить процесс в данном случае? Может кто-то сталкивался с таким делом и находил пути обхода. PID PPID ImageFileName Offset(V) Threads Handles...

You must be registered for see element. Введение Всем привет, Кодебай! Сегодня я хочу рассказать и показать, реальные примеры работы специалистов из области Форензики. Смотря фильмы или сериалы по IT-тематике, встречал такое, что главный герой открывает крышку своего системного блока и достает...

Подскажите люди добрые<3 на что можно обратить внимание при проверке образа диска с малварем. С реестром винды тоже нужно (помимо автозагрузки, что можно еще посмотреть???)

При расследовании инцидентов, связанных с популярными в настоящее время шифровальщиками ("вымогателями"), приходится сталкиваться с проблемой удаления записей из системных журналов операционной системы Microsoft Windows (т.н. "очистка" журналов), которое делается для того, чтобы увеличить время...

Information Gathering You must be registered for see element. Эти инструменты для разведки используются для сбора данных по целевой сети или устройствам. Инструменты охватывают от идентификаторов устройств до анализа используемых протоколов. Vulnerability Analysis You must be...

Цель You must be registered for see element. - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска. PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+. Командлеты...

You must be registered for see element. - это эффективная и настраиваемая программа сортировки, которая нацелена практически на любое устройство или место хранения, найдет криминалистически полезные артефакты и проанализирует их в течение нескольких минут. Очень интересный инструмент, но на него...

You must be registered for see element. - платное ПО для поиска информации о подключаемых устройствах USB для Windows систем Обрабатывает артефакты USB-устройств от Windows XP до Windows 10 Поддержка работающей системы, отдельных файлов, папок и обработки логических дисков Обрабатывает...

Введение - You must be registered for see element. Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS. Рассмотрим ПО которое поможет увидеть ADS: You must be registered for see element. You must be registered for see...

Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля You...

Загрузочный образ Windows 10 Version 1709 Redstone3 build 16299* This is a minimalist 32 WinPE/WinFE with a GUI shell (BBLean - based on BlackBox for Windows) - originally created for system deployment. Загрузка с защитой от записи на исследуемый объект программы: Linux Reader 3.4; FTK Imager...

zero-click forensic imaging (IO) - инструмент для криминалистической визуализации с нулевым кликом, разработанный для использования в условиях высокой нагрузки. IO автоматически включает программную блокировку записи, обнаруживает изменения на подключенных устройствах и начинает создавать...

Одна из первоочередных задач компьютерно-технической экспертизы это определение операционной системы, её версии, модификации, build. Зная версию ОС Вы сможете подготовить план действий для изучения артефактов, так как в разных версиях есть отличия - разные функции, ID event logs, ключи реестра...

Если Вы используете инструменты Эрика Циммермана или собираетесь использовать их, то их автор написал скрипт, который позволит Вам загрузить все инструменты разом и держать их в обновленном состоянии. Get-ZimmermanTools доступен для загрузки: https://github.com/EricZimmerman/Get-ZimmermanTools...

Finde the cat (Part 9) Продолжим разбор деталей по форензике на крупнейшей в Казахстане конференции на тему You must be registered for see element. Тем, кто пропустил что-то, задач было 11: You must be registered for see element., Finde the cat, You must be registered for see element., You...

Механизм кэширования RDP уменьшает объем данных, которые необходимо отправить клиенту RDP. Это делается путем кэширования тех частей экрана, которые не изменились с момента последнего обновления дисплея. Есть два типа файла кеша: *.bmc Cachennnn.bin (где nnnn - это 4-значное число) Оба типа...

Всем привет. Совместно с You must be registered for see element. возникла идея получить переписку телеграмма на рутированном смартфоне. База данных Telegram, а именно файл cache4.db находиться в смартфоне по адресу: /data/data/org.telegram.messenger/files/cache4.db После получения файла БД...

Записи, поддерживаемые списками переходов, могут предоставить богатый источник доказательств хронологии действий пользователя для судебного эксперта. Структура и артефакты, записанные списками переходов, широко обсуждались в различных судебных сообществах с момента его дебюта в Microsoft Windows...

Продолжение: You must be registered for see element. В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как You must be registered for see element. Иногда, когда редактируется фотография, исходное изображение...