forensics

  1. Exited3n

    Codeby Games Изображение кота / Forensics

    Задача из форензиики. Дан файл memdump, это образ памяти Описание таска: Оно же является небольшой подсказкой. Надо искать графические редакторы, просмотрщики картинок и тому подобное. Приступим, для работы с памятью нам поможет замечательный инструмент - volatility2/3...
  2. Dmitry__

    Volatility3 pslist dump Error outputting file

    Доброго времени суток! Во время дампа процессов, некоторые не удается сдампить. Пример ошибки ниже. И вот вопрос- как мне сдампить процесс в данном случае? Может кто-то сталкивался с таким делом и находил пути обхода. PID PPID ImageFileName Offset(V) Threads Handles...
  3. ConnectionDrill

    Реальные примеры Цифровой Криминалистики. Что происходит с Вашими устройствами?

    Введение Всем привет, Кодебай! Сегодня я хочу рассказать и показать, реальные примеры работы специалистов из области Форензики. Смотря фильмы или сериалы по IT-тематике, встречал такое, что главный герой открывает крышку своего системного блока и достает некоторые компоненты (процессор, жесткий...
  4. T

    Расследования инцидентов с вирусом

    Подскажите люди добрые<3 на что можно обратить внимание при проверке образа диска с малварем. С реестром винды тоже нужно (помимо автозагрузки, что можно еще посмотреть???)
  5. H

    Заметка Восстановление удаленных записей системных журналов Windows

    При расследовании инцидентов, связанных с популярными в настоящее время шифровальщиками ("вымогателями"), приходится сталкиваться с проблемой удаления записей из системных журналов операционной системы Microsoft Windows (т.н. "очистка" журналов), которое делается для того, чтобы увеличить время...
  6. B

    Обзор разделов инструментов Kali Linux 1.1.0

    Information Gathering Эти инструменты для разведки используются для сбора данных по целевой сети или устройствам. Инструменты охватывают от идентификаторов устройств до анализа используемых протоколов. Vulnerability Analysis Инструменты из этой секции фокусируются на оценке систем в...
  7. Sunnych

    Soft PowerForensics - криминалистический анализ жесткого диска

    Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска. PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+. Командлеты Запуск программы (пошаговый)...
  8. Sunnych

    Soft KAPE (Kroll Artifact Parser and Extractor) - парсер и экстрактор артефактов

    KAPE (Kroll Artifact Parser and Extractor) - это эффективная и настраиваемая программа сортировки, которая нацелена практически на любое устройство или место хранения, найдет криминалистически полезные артефакты и проанализирует их в течение нескольких минут. Очень интересный инструмент, но на...
  9. Sunnych

    Soft USB Detective - поиск артефактов подключаемых устройств USB

    USB Detective - платное ПО для поиска информации о подключаемых устройствах USB для Windows систем Обрабатывает артефакты USB-устройств от Windows XP до Windows 10 Поддержка работающей системы, отдельных файлов, папок и обработки логических дисков Обрабатывает несколько версий всех принятых...
  10. Sunnych

    Soft Альтернативный поток данных (Zone.Identifier) в NTFS

    Введение - Форензика альтернативного потока данных (Zone.Identifier) в NTFS Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS. Рассмотрим ПО которое поможет увидеть ADS: Stream Detector v1.2 ADS Spy NTFS Stream...
  11. Sunnych

    Soft Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker

    Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля...
  12. Sunnych

    Soft WinPE Forensics

    Загрузочный образ Windows 10 Version 1709 Redstone3 build 16299* This is a minimalist 32 WinPE/WinFE with a GUI shell (BBLean - based on BlackBox for Windows) - originally created for system deployment. Загрузка с защитой от записи на исследуемый объект программы: Linux Reader 3.4; FTK Imager...
  13. Sunnych

    Статья zero-click forensic imaging - инструмент для криминалистической визуализации с нулевым кликом

    zero-click forensic imaging (IO) - инструмент для криминалистической визуализации с нулевым кликом, разработанный для использования в условиях высокой нагрузки. IO автоматически включает программную блокировку записи, обнаруживает изменения на подключенных устройствах и начинает создавать...
  14. Sunnych

    Статья Windows version detection (определение версии Windows)

    Одна из первоочередных задач компьютерно-технической экспертизы это определение операционной системы, её версии, модификации, build. Зная версию ОС Вы сможете подготовить план действий для изучения артефактов, так как в разных версиях есть отличия - разные функции, ID event logs, ключи реестра...
  15. Sunnych

    Статья Zimmerman Tools run download Get-ZimmermanTools.ps1

    Если Вы используете инструменты Эрика Циммермана или собираетесь использовать их, то их автор написал скрипт, который позволит Вам загрузить все инструменты разом и держать их в обновленном состоянии. Get-ZimmermanTools доступен для загрузки: https://github.com/EricZimmerman/Get-ZimmermanTools...
  16. clevergod

    CTF CTF для новичков KHS 2018 (Part 9) - Finde the cat

    Finde the cat (Part 9) Продолжим разбор деталей по форензике на крупнейшей в Казахстане конференции на тему ИБ — KazHackStan 2018 Тем, кто пропустил что-то, задач было 11: Brain, Finde the cat, FTP-authentication, Reversing Python, Steganography 2, Steganography 3, Steganography 4...
  17. Sunnych

    Статья RDP Cache Forensics на стороне клиента

    Механизм кэширования RDP уменьшает объем данных, которые необходимо отправить клиенту RDP. Это делается путем кэширования тех частей экрана, которые не изменились с момента последнего обновления дисплея. Есть два типа файла кеша: *.bmc Cachennnn.bin (где nnnn - это 4-значное число) Оба типа...
  18. Unison

    Статья [1 часть] Получение сообщений из базы данных Telegram

    Всем привет. Совместно с @Sunnych возникла идея получить переписку телеграмма на рутированном смартфоне. База данных Telegram, а именно файл cache4.db находиться в смартфоне по адресу: /data/data/org.telegram.messenger/files/cache4.db После получения файла БД было разработано приложение...
  19. Sunnych

    Статья [2 часть] Форензика списков переходов Jump Lists в Windows 10

    Записи, поддерживаемые списками переходов, могут предоставить богатый источник доказательств хронологии действий пользователя для судебного эксперта. Структура и артефакты, записанные списками переходов, широко обсуждались в различных судебных сообществах с момента его дебюта в Microsoft Windows...
  20. Sunnych

    Статья Форензика восстановления уменьшенных изображений thumbnamil из поврежденного файла с помощью WinHex

    Продолжение: Форензика анализа Thumbs и Thumbcache в Windows В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как thumbnamil Иногда, когда редактируется фотография, исходное изображение редактируется, но эскиз...