forensics

  1. I

    Чем Windows 10 Timeline может быть полезен криминалисту

    Друзья, вот ссылка на мою новую статью "Время не ждет: чем Windows 10 Timeline может быть полезен криминалисту". В статье рассказывается как этот этот источник информации (Windows 10 Timeline) может быть полезен при расследовании инцидентов и утечек данных...
  2. Sunnych

    Soft PowerForensics - криминалистический анализ жесткого диска

    Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска. PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+. Командлеты Запуск программы (пошаговый)...
  3. Sunnych

    Soft KAPE (Kroll Artifact Parser and Extractor) - парсер и экстрактор артефактов

    KAPE (Kroll Artifact Parser and Extractor) - это эффективная и настраиваемая программа сортировки, которая нацелена практически на любое устройство или место хранения, найдет криминалистически полезные артефакты и проанализирует их в течение нескольких минут. Очень интересный инструмент, но на...
  4. Sunnych

    Soft USB Detective - поиск артефактов подключаемых устройств USB

    USB Detective - платное ПО для поиска информации о подключаемых устройствах USB для Windows систем Обрабатывает артефакты USB-устройств от Windows XP до Windows 10 Поддержка работающей системы, отдельных файлов, папок и обработки логических дисков Обрабатывает несколько версий всех принятых...
  5. Sunnych

    Soft Альтернативный поток данных (Zone.Identifier) в NTFS

    Введение - Форензика альтернативного потока данных (Zone.Identifier) в NTFS Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS. Рассмотрим ПО которое поможет увидеть ADS: Stream Detector v1.2 ADS Spy NTFS Stream...
  6. Sunnych

    Soft Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker

    Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля...
  7. Sunnych

    Soft WinPE Forensics

    Загрузочный образ Windows 10 Version 1709 Redstone3 build 16299* This is a minimalist 32 WinPE/WinFE with a GUI shell (BBLean - based on BlackBox for Windows) - originally created for system deployment. Загрузка с защитой от записи на исследуемый объект программы: Linux Reader 3.4; FTK Imager...
  8. Sunnych

    Статья zero-click forensic imaging - инструмент для криминалистической визуализации с нулевым кликом

    zero-click forensic imaging (IO) - инструмент для криминалистической визуализации с нулевым кликом, разработанный для использования в условиях высокой нагрузки. IO автоматически включает программную блокировку записи, обнаруживает изменения на подключенных устройствах и начинает создавать...
  9. Sunnych

    Статья Windows version detection (определение версии Windows)

    Одна из первоочередных задач компьютерно-технической экспертизы это определение операционной системы, её версии, модификации, build. Зная версию ОС Вы сможете подготовить план действий для изучения артефактов, так как в разных версиях есть отличия - разные функции, ID event logs, ключи реестра...
  10. Sunnych

    Статья Zimmerman Tools run download Get-ZimmermanTools.ps1

    Если Вы используете инструменты Эрика Циммермана или собираетесь использовать их, то их автор написал скрипт, который позволит Вам загрузить все инструменты разом и держать их в обновленном состоянии. Get-ZimmermanTools доступен для загрузки: https://github.com/EricZimmerman/Get-ZimmermanTools...
  11. clevergod

    CTF CTF для новичков KHS 2018 (Part 9) - Finde the cat

    Finde the cat (Part 9) Продолжим разбор деталей по форензике на крупнейшей в Казахстане конференции на тему ИБ — KazHackStan 2018 Тем, кто пропустил что-то, задач было 11: Brain, Finde the cat, FTP-authentication, Reversing Python, Steganography 2, Steganography 3, Steganography 4...
  12. Sunnych

    Статья RDP Cache Forensics на стороне клиента

    Механизм кэширования RDP уменьшает объем данных, которые необходимо отправить клиенту RDP. Это делается путем кэширования тех частей экрана, которые не изменились с момента последнего обновления дисплея. Есть два типа файла кеша: *.bmc Cachennnn.bin (где nnnn - это 4-значное число) Оба типа...
  13. Unison

    Статья [1 часть] Способ изъятия сообщений из базы данных Telegram

    Всем привет. Совместно с @Sunnych возникла идея получить переписку телеграмма на рутированном смартфоне. База данных Telegram, а именно файл cache4.db находиться в смартфоне по адресу: /data/data/org.telegram.messenger/files/cache4.db После получения файла БД было разработано приложение...
  14. Sunnych

    Статья [2 часть] Форензика списков переходов Jump Lists в Windows 10

    Записи, поддерживаемые списками переходов, могут предоставить богатый источник доказательств хронологии действий пользователя для судебного эксперта. Структура и артефакты, записанные списками переходов, широко обсуждались в различных судебных сообществах с момента его дебюта в Microsoft Windows...
  15. Sunnych

    A forensic insight into Windows 7/8.1/10 + Jump Lists 1.0

    A forensic insight into Windows 10 Jump Lists Forensic Examination of Windows 7 Jump Lists Jump Lists
  16. Sunnych

    Статья Форензика восстановления уменьшенных изображений thumbnamil из поврежденного файла с помощью WinHex

    Продолжение: Форензика анализа Thumbs и Thumbcache в Windows В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как thumbnamil Иногда, когда редактируется фотография, исходное изображение редактируется, но эскиз...
  17. Sunnych

    Статья Анализ социальных сетей - suspect web page facebook

    Рассмотрим использование информации социальной сети facebook в ходе предварительного расследования. Мы с Вами не будем рассматривать методы США (многое не известно - относительно распознавания лиц) и платного программного обеспечения в виде Belkasoft Social Profile Saver и к сожалению...
  18. Vander

    Статья Форензика мессенджеров. WhatsApp.

    Приветствую гостей и постояльцев Codeby.net! Совсем недавно, коллега @Sunnych вдохновил на создание такой статьи. Она послужит неплохим дополнением, этому материалу, и возможно позже выльется в отдельную, категорию «Форензика мессенджеров» но об этом чуть позже, вернемся к основной теме. Я...
  19. Sunnych

    Soft Browser Forensic Tool

    Phrozen Browser Forensic Tool - это приложение безопасности, которое вы можете использовать для проверки различных браузеров, которые вы используете: Microsoft Internet Explorer, Google Chrome, Comodo Dragon, RockMelt и Opera. Приложение создаст отчет для истории навигации по ключевым словам и...
  20. Sunnych

    Статья Форензика анализа Thumbs и Thumbcache в Windows

    В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как thumbcache и thumbs.db. В многих из этих случаев миниатюры это доказательства, дальнейший их анализ может найти дополнительную информацию, касающуюся...