• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Soft PowerForensics - криминалистический анализ жесткого диска

Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска.
PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+.
Командлеты
Get-ForensicMasterBootRecord - gets the MasterBootRecord from the first sector of the hard drive
Get-ForensicGuidPartitionTable - gets the GuidPartitionTable from the first sector of the hard drive
Get-ForensicBootSector - gets the appropriate boot sector (MBR or GPT) from the specified drive
Get-ForensicPartitionTable - gets the partition table for the specified drive
Get-ForensicSuperblock - returns the ext4 SuperBlock object
Get-ForensicBlockGroupDescriptor - returns the Block Group Descriptor Table entries
Get-ForensicInode - returns the Inode Table entries
Get-ForensicAttrDef - gets definitions of MFT Attributes (parses $AttrDef)
Get-ForensicBitmap - determines if a cluster is marked as in use (parses $Bitmap)
Get-ForensicFileRecord - gets Master File Table entries (parses $MFT)
Get-ForensicFileRecordIndex - gets a file's MFT record index number
Get-ForensicUsnJrnl - getss Usn Journal Entries (parses $UsnJrnl:$J)
Get-ForensicUsnJrnlInformation - getss UsnJrnl Metadata (parses $UsnJrnl:$Max)
Get-ForensicVolumeBootRecord - gets the VolumeBootRecord from the first sector of the volume (parses $Boot)
Get-ForensicVolumeInformation - gets the $Volume file's $VOLUME_INFORMATION attribute
Get-ForensicVolumeName - gets the $Volume file's $VOLUME_NAME attribute
Get-ForensicFileSlack - gets the specified volume's slack space
Get-ForensicMftSlack - gets the Master File Table (MFT) slack space for the specified volume
Get-ForensicUnallocatedSpace - gets the unallocated space on the specified partition/volume (parses $Bitmap)
Get-AlternateDataStream - gets the NTFS Alternate Data Streams on the specified volume
Get-ForensicEventLog - gets the events in an event log or in all event logs
Get-ForensicExplorerTypedPath - gets the file paths that have been typed into the Windows Explorer application
Get-ForensicNetworkList - gets a list of networks that the system has previously been connected to
Get-ForensicOfficeFileMru - gets a files that have been recently opened in Microsoft Office
Get-ForensicOfficeOutlookCatalog - gets a Outlook pst file paths Get-ForensicOfficePlaceMru - gets a directories that have recently been opened in Microsoft Office
Get-ForensicOfficeTrustRecord - gets files that have been explicitly trusted within MicrosoftOffice
Get-ForensicPrefetch - gets Windows Prefetch artifacts by parsing the file's binary structure
Get-ForensicRunKey - gets the persistence mechanism stored in registry run keys
Get-ForensicRunMostRecentlyUsed - gets the commands that were issued by the user to the run dialog
Get-ForensicScheduledJob - gets Scheduled Jobs (at jobs) by parsing the file's binary structures
Get-ForensicShellLink - gets ShellLink (.lnk) artifacts by parsing the file's binary structure
Get-ForensicSid - gets the machine Security Identifier from the SAM hive
Get-ForensicTimezone - gets the system's timezone based on the registry setting
Get-ForensicTypedUrl - gets the Universal Resource Locators (URL) that have been typed into Internet Explorer
Get-ForensicUserAssist - gets the UserAssist entries from the specified volume
Get-ForensicWindowsSearchHistory - gets the terms that have been searched for using the Windows Search feature
Get-ForensicAmcache - gets previously run commands from the Amcache.hve registry hive
Get-ForensicRecentFileCache - gets previously run commands from the RecentFileCache.bcf file
Get-ForensicShimcache - gets previously run commands from the AppCompatCache (AppCompatibility on XP) registry key
Get-ForensicRegistryKey - gets the keys of the specified registry hive
Get-ForensicRegistryValue - gets the values of the specified registry key
ConvertTo-ForensicTimeline - converts an object to a ForensicTimeline object
Get-ForensicTimeline - creates a forensic timeline
Copy-ForensicFile - creates a copy of a file from its raw bytes on disk
Get-ForensicChildItem - returns a directory's contents by parsing the MFT structures
Get-ForensicContent - gets the content of a file from its raw bytes on disk Invoke-ForensicDD - provides a bit for bit copy of a specified device

Запуск программы (пошаговый)
Код:
find-module -name *forensic*
30143

установка
Код:
Install-Module -Name PowerForensicsv2
Get-ChildItem 'C:\Program Files\WindowsPowerShell\Modules\'
30144


Import-Module для загрузки модуля в наш текущий сеанс и Get-Command с параметром -Module для вывода списка командлетов, представленных модулем
Код:
Import-Module PowerForensicsv2
Get-Command -Module PowerForensicsv2
30145


У нас в системе подключен (AccessData FTK Imager против Arsenal Image Mounter) криминалистический образ который был зашифрован BitLocker (Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker) в текущей системе интересующий раздел подключен буквой "F"

Invoke-ForensicDD имеет параметр -InFile, который следует использовать для указания на физический диск (\\. \PHYSICALDRIVE0) или логический том (\\. \ F :). Необязательный параметр -OutFile направляет вывод в файл вместо потока вывода PowerShell. Параметры -Offset, -BlockSize и -Count предоставляют инструкции относительно того, какие данные возвращать (-Offset и -BlockSize должны делиться на размер сектора физического диска, обычно 512 байт). Как и dd в Unix, -BlockSize представляет количество байтов для чтения за один раз, в то время как -Count представляет количество блоков BlockSize для чтения. По умолчанию -Offset имеет значение 0 (начало файла), а -BlockSize имеет значение 512 (наименьшее количество байтов, которое может быть прочитано одновременно).
Cчитаем 512 байт с начала физического диска (\\. \F:) и передаем вывод в Format-Hex
Код:
Invoke-ForensicDD -InFile \\.\F: -Count 1 | Format-Hex
30151


 
Последнее редактирование:

wizard76

Green Team
15.06.2018
106
103
BIT
0
Guidance EnCase и Oxygen Forensic Toolkit тоже неплохо себя зарекомендовали.
 

Igor_Mich

Green Team
13.05.2019
17
8
BIT
0
"Oxygen Forensic Toolkit тоже неплохо себя зарекомендовали " - я бы посмотрел как вы будете жесткий диск исследовать с помощью Oxygen Forensic Toolkit.
 
  • Нравится
Реакции: Sunnych

wizard76

Green Team
15.06.2018
106
103
BIT
0
"Oxygen Forensic Toolkit тоже неплохо себя зарекомендовали " - я бы посмотрел как вы будете жесткий диск исследовать с помощью Oxygen Forensic Toolkit.
Не, чисто как дополнение, а с винта дамп снять проще FTK Imager или взять дистр типа DEFT или CAINE, для форензики само то.
 
G

GTYU

уважаемые знатоки!
(спрошу тут, не хочу новую тему создавать из-за одного вопроса)

почему обязательно доставать жесткий диск из ноутбука для его анализа?
что делают, если производителем не предусмотрено "доставание"?
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
19
уважаемые знатоки!
(спрошу тут, не хочу новую тему создавать из-за одного вопроса)
почему обязательно доставать жесткий диск из ноутбука для его анализа?
что делают, если производителем не предусмотрено "доставание"?
Это делается для подключения к блокиратору или устройству дублирования - эти устройства с запретом возможности изменения информации, но есть моменты когда загружаются на устройстве с дистрибутивов которые запрещают запис
вот пример WinPE Forensics
 
  • Нравится
Реакции: GTYU

TwiSteR

One Level
03.06.2020
2
2
BIT
0
уважаемые знатоки!
(спрошу тут, не хочу новую тему создавать из-за одного вопроса)

почему обязательно доставать жесткий диск из ноутбука для его анализа?
что делают, если производителем не предусмотрено "доставание"?
Загружаются с внешнего носителя со встроенной блокировкой записи (SUMURI Paladin, CAINE, DEFT, WinFE, SAFE Block To Go) и делают образ ним.
 
  • Нравится
Реакции: Sunnych

belforensic

Member
30.10.2020
5
0
BIT
0
почему обязательно доставать жесткий диск из ноутбука для его анализа?
что делают, если производителем не предусмотрено "доставание"?
1. потому что включая ноут можно что-нибудь спалить, надо знать пароль, да и подключив винты напрямую к мощному ПЭВМ эксперта с кучей спецПО сподручнее работать.;)
2. тогда включают ноут :)

по теме: я так понял powerforensic больше не обновляется, закрываем тему, пойдем autoPSY щупать, из бесплатного он сейчас вроде зашевелился)
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
19
1. потому что включая ноут можно что-нибудь спалить, надо знать пароль, да и подключив винты напрямую к мощному ПЭВМ эксперта с кучей спецПО сподручнее работать.;)
2. тогда включают ноут :)

по теме: я так понял powerforensic больше не обновляется, закрываем тему, пойдем autoPSY щупать, из бесплатного он сейчас вроде зашевелился)
Всё обновляется, все что перечислено не претерпело изменений
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!