• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Каталог Компьютерная криминалистика (Форензика - Forensics): каталог статей "list of articles".

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
220
1 016

Фреймворки
Реал-тайм утилиты

Работа с образами (создание, клонирование)

Извлечение данных, артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)
Работа с RAM
Анализ сетевой и не только
Hex редакторы
Мобильные устройства
Полезно знать
Библиотека
Новости
(Содержание в котором указанны инструменты или методы получения данных или доступа,
на прямую используется в Форензике,
Reverse engineering важен в криминалистических исследованиях.)

Софт
Данный список будет пополнятся ссылками на статьи написанные на нашем сайте&форуме, это дает Вам возможность общаться на прямую с автором,
и видеть не освещенные темы в разделе Форензик , интересующие направления есть в списке.

Важно: многие статьи дополняются описанием, инструментами и примерами (иногда стоит перечитать интересующую Вас статью).
 
Последнее редактирование:
Dr.Lafa

Dr.Lafa

Mod. Hardware
Gold Team
30.12.2016
510
1 037
Рад, что раздел форензики стал активно развиваться. В рунете об этом не не часто информацию встретишь
 
Sengoku

Sengoku

Well-known member
02.05.2018
112
91
Кстати, форензика. Есть прога Elcomsoft. Подбирает пароли к Truecrypt, BitLocker. Другими словами может достаточно глубоко залесть, да и на сайте написано, что для правоохранительных органов идет. Как от нее прикрыться ?
 
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
220
1 016
Кстати, форензика. Есть прога Elcomsoft. Подбирает пароли к Truecrypt, BitLocker. Другими словами может достаточно глубоко залесть, да и на сайте написано, что для правоохранительных органов идет. Как от нее прикрыться ?
есть целые комплексы, FTK, Encase, Elcomsoft, X-Way, Belkasoft - но реально перебором брутом паролей с участием видио адаптеров славится Elcomsoft и там есть метод отлома при наличии одного не зашифрованного файла и его же обязательное присутствие в зашифрованных данных, те вещи которые фишруюся Truecrypt - главное что бы не сняли дамп с ОЗУ из которого могут извлечь инфу для получения ключей и не забывать что многое в системе кешируется и если она не заблокирована или ушла в спяший режим что бы не вытащили из файлов отвечающих и хранящих это. Т.е если в системе максимально ни что не кешируется, отключены индексации, файл подкачки отсутствует и настроено что при выключении (отключение драйвера мониторинга сетевой активности, очистка файла подкачки pagefile.sys при выключении Windows, фильтр записи Unified Write Filter (UWF) в Windows 10 - при включенном и настроенном фильтре все изменения с файлами и каталогами на дисках производятся в оперативной памяти и сбрасываются при перезагрузке компьютера, он защищает файловую систему выбранных разделов локальных дисков от изменений, прозрачно перенаправляя все операции записи на файловую систему в виртуальный оверлей в памяти, в котором накапливаются все файловые изменения и чистка файла Файл Windows.edb и.т.п.)
 
Последнее редактирование:
Sengoku

Sengoku

Well-known member
02.05.2018
112
91
есть целые комплексы, FTK, Encase, Elcomsoft, X-Way, Belkasoft - но реально перебором брутом паролей с участием видио адаптеров славится Elcomsoft и там есть метод отлома при наличии одного не зашифрованного файла и его же обязательное присутствие в зашифрованных данных, те вещи которые фишруюся Truecrypt - главное что бы не сняли дамп с ОЗУ из которого могут извлечь инфу для получения ключей и не забывать что многое в системе кешируется и если она не заблокирована или ушла в спяший режим что бы не вытащили из файлов отвечающих и хранящих это. Т.е если в системе максимально ни что не кешируется, отключены индексации, файл подкачки отсутствует и настроено что при выключении (отключение драйвера мониторинга сетевой активности, очистка файла подкачки pagefile.sys при выключении Windows, и.т.п.)
Джва года ждал человека знающего про этот софт. Дамп с ОЗУ - заморозка, потом выкавыривание инфы ? Если юзать внешний накопитель, а на каком-нибудь линухе раздел с подкачкой не создавать, юзать для разделов онли btrfs и ext2 ? И что если иcпользовать LUKS Nuke? Его в арсенали Elcomsoft нет, вроде как.
 
Последнее редактирование модератором:
  • Нравится
Реакции: Vander
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
220
1 016
Джва года ждал человека знающего про этот софт. Дамп с ОЗУ - заморозка, потом выкавыривание инфы ? Если юзать внешний накопитель, а на каком-нибудь линухе раздел с подкачкой не создавать, юзать для разделов онли btrfs и ext2 ? И что если иcпользовать LUKS Nuke? Его в арсенали Elcomsoft нет, вроде как.
очень верное направление btrfs с включенным сжатием и всем возможным для шифрации в линукс - думаю что достать оттуда информацию будет ну очень проблематично :) это я про линукс системы, а про windows какае то своя WinPE и моунт раздела/диска на котором важная информация в контейнере шифрованном, надеюсь направление и мысль ясны.
И не зря тут есть Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid
 
Последнее редактирование:
  • Нравится
Реакции: ghost и Глюк
Литиум

Литиум

Well-known member
13.12.2017
337
600

Фреймворки
Реал-тайм утилиты

Работа с образами (создание, клонирование)
Извлечение данных, артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)
Работа с RAM
Анализ сетевой и не только
Hex редакторы
Мобильные устройства
Полезно знать
Библиотека

Данный список будет пополнятся ссылками на статьи написанные на нашем сайте&форуме, это дает Вам возможность общаться на прямую с автором,
и видеть не освещенные темы в разделе Форензик , интересующие направления есть в списке.
Отличная статья. Жду продолжение с нетерпением.
 
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
очень верное направление btrfs с включенным сжатием и всем возможным для шифрации в линукс - думаю что достать оттуда информацию будет ну очень проблематично :) это я про линукс системы, а про windows какае то своя WinPE и моунт раздела/диска на котором важная информация в контейнере шифрованном, надеюсь направление и мысль ясны.
И не зря тут есть Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid
В Курсе по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid подробно разобраны интересные методы контр-форензики.
А у Elcomsoft, Belkasoftи, etc. боюсь зубы не выросли с Luks тягаться...))
В третьей части курса будет разобран простой, но 100% действующий авторский метод защиты от снятия дампа с ОЗУ. Но это не для всех.
 
Rybinez

Rybinez

Happy New Year
28.11.2016
10
4
А у Elcomsoft, Belkasoftи, etc. боюсь зубы не выросли с Luks тягаться...
нуу вообще то Passware есть готовые решения решения по восстановлению LUKS ключей, и даже в утекшом в начале 2017 года Passware Kit Forensic они были, но только для 128-битного ключа, а уже в июльском обновлении добавили и 256 битные ключи
 
B

Bidjo111

Red Team
14.11.2017
198
73
Товарищи, подскажите, книгу по форензике Windows. Лучшую на Ваш взгляд. Обязательно наличие разбора win10.

Да я, собственно, из них и выбираю)
 
The Codeby

The Codeby

ООО Кодебай
30.12.2015
3 248
4 658
  • Нравится
Реакции: Bidjo111
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
220
1 016
Обязательно наличие разбора win10.
Если Вы посмотрите все публикации которые появлялись то заметите что только в публикациях есть описания новых моментов windows 8.1/10, если Вы найдёте название или isbn книги о forensic windows 10 то просто озвучите поищем, я кроме публикаций и обрывков закрытых курсов ни чего не видел, и само собой личные исследования.
Как разница этих моментов не случайно в названии указано [2 часть] Форензика списков переходов Jump Lists в Windows 10, а вот тут Forensics Windows Registry - история запуска программ "цитата: LastUpdateTime не существует в системах Win7/8/10"
и вот такие моменты у нас в статьях описаны "Важно: BAM - это служба Windows, которая контролирует активность фоновых приложений. Эта служба существует только в новых версиях в Windows 10 начиная с обновления Fall Creators 1709. "
 
  • Нравится
Реакции: Bidjo111
Мы в соцсетях: