Форензика и OSINT

Сетевой криминалистический инструмент (Network Forensics Tool) часто используется специалистами службы безопасности для проверки уязвимостей в сети. С помощью этого обучающего руководства, посвященного kali Linux, мы представляем комплексный инструмент PcapXray для анализа файла pcap.

Инструмент отображает хосты в сети, а также всевозможные трафики, а именно, сетевой трафик, выделяет важный трафик и трафик Tor, а также потенциально вредоносный трафик

Инструмент содержит следующие компоненты:

• Диаграмма сети (Network Diagram).
• Устройство/детали трафика и его анализ (Device/Traffic Details and Analysis).
• Идентификация вредоносного трафика (Malicious Traffic Identification).
• Трафик Tor (Tor Traffic)
• GUI – GUI c опциями, чтобы загружать файл pcap (GUI – GUI with options to upload pcap file)

Обучающее руководство – Network Forensics Tool

Инструмент захвата пакетов может быть скачан из GitHub. Инструмент дает представителям службы безопасности первоначальный глюк (glitch) для расследования

git clone...

Продолжение Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)
Ранее мы рассматривали бесплатные программы.
Тут будут показаны платные решения (надеюсь картинки покажут какой есть в них функционал).

Andriller

Browser History Examiner
Данная статья будет дополняться и получать новые примеры существующих платных программ to by continued...

Phrozen Browser Forensic Tool - это приложение безопасности, которое вы можете использовать для проверки различных браузеров, которые вы используете:
Microsoft Internet Explorer, Google Chrome, Comodo Dragon, RockMelt и Opera.
Приложение создаст отчет для истории навигации по ключевым словам и сопоставляет с вредоносными словами, которые позволяют аналитику безопасности извлекать информацию во время судебного анализа.
Это полезно для того, чтобы не создавать программу для каждого браузера, Вы будете иметь в одном интерфейсе всю информацию, необходимую для веб-браузеров.
Выходит такая мгновенная индексация по браузерам (и программа бесплатна).
https://my-files.ru/pmiw8n пароль на архив с программой: yg140.servegame.com = mirror

В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как thumbcache и thumbs.db.
В многих из этих случаев миниатюры это доказательства, дальнейший их анализ может найти дополнительную информацию, касающуюся миниатюры, например, возможность связать миниатюру с файлом изображения на носителе или найти информацию ведущую к исходному файлу, используемому для создания миниатюры, например полный путь и исходный файл имя.
Microsoft внедрила этот функционал с Windows 95 - сохранения уменьшенных изображений в файлах системных контейнеров, таких как Thumbs.db позже начиная с Windows Vista Thumbcache.db.
Эти системные файлы хранят такую информацию как:

• исходное имя файла
• даты и время
• копию уменьшенного изображения

В этом месте находятся многочисленные файлы кеш-файлов эскизов; Thumbcache_32.db, Thumbcache_96.db, Thumbcache_256.db и Thumbcache_1024.db. Они содержат JPG, BMP и PNG-файлы в различных соответствующих размерах пикселей; 32x32, 96x96, 256x256 и 1024x1024. Также каждая миниатюра хранит уникальный идентификационный...

Пример извлечения даты и времени, из файлов ярлыков Windows по документу: The Meaning of Linkfiles In Forensic Examinations (en)
В ОС Windows при первом обращении к файлу на него в каталоге (по адресу: C:\Users\NAME_USER\AppData\Roaming\Microsoft\Windows\Recent) будет создана ссылка на него.

Вот эти ссылки мы и будем изучать

При первом открытии файла в ссылку запишется три даты, дата создания, изменения, открытия, при последующих обращения к файлу дата создания будет оставаться не изменой, даты изменения и открытия это дата последнего обращения к файлу.


В winhex открыв lnk файл, интересующие нас даты мы увидим в начале файла.

на фотографии даты выделены цветом, красным дата создания, синим дата открытия и зеленым дата изменения.
Если три даты одинаковы то это указывает на то, что исследуемый файл был открыт единожды (не всегда, объясню ниже).

В том случае если, после того как для целевого файла...

Дополнение статьи Forensics Windows Registry - ntuser.dat

• [Начало] Forensics Windows Registry
• [Продолжение] Forensics Windows Registry - ntuser.dat
• [Дополнение] Forensics Windows Registry - расшифровка и отображение всех записей UserAssist (к второму пункту статьи "Forensics Windows Registry - ntuser.dat")
• [Дополнение] Forensics Windows Registry - история запуска программ (дополнение к статье "Forensics Windows Registry - ntuser.dat")
• Продолжение этих статей: Forensics Windows Registers all in one program

Теория:
Файл...

Форензика Android, расшифровать сообщения баз данных в Viber В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер Viber. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.

• Сообщения Viber

/data/data/com.viber.voip/databases/viber_messages

• Звонки Viber

/data/data/com.viber.voip/databases/viber_data
Копируем всю папку с базами в удобное для нас место.
Для открытия viber_messages будем использовать программу Andriller - сразу оговорюсь, программа не смогла вскрыть сообщения, все обновляется.
Важно: но в продолжении мне помогает Unison который распарсит эту базу и создаст её читаемый вид...

Практически во всех случаях цифровой криминалистики, где задействован компьютер Windows, нам необходимо обработать корзину для удаленных файлов.
Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход.
INFO2 и другие похожие файлы ссылок больше не доступны.
Вместо этого есть два набора файлов, занявших свое место.
Когда файл будет удален из корзины на компьютере с файловой системой NTFS, произойдет несколько вещей. Сначала запись NTFS $ MFT обновляется с новым номером записи для...

Эта статья составляющий элемент статьи Forensics Windows Registry - ntuser.dat второго пункта "2. количество раз, когда был запущен пример calc.exe "
но с дополнительными программами и другим примером который проводится на виртуальной машине уже участвующей в статье Миф Анти-форензики ntuser.dat в ntuser.man
Теория:
UserAssist - Microsoft использует для заполнения пользовательского меню запуска с помощью часто используемых приложений.
Они существуют с Windows XP и последующих версиях.
Эти значения располагаются в кусте NTUSER.DAT каждого пользователя
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

• идентификаторы SID
• имена пользователей
• индексы
• имена приложений
• количество запусков
• сеанс и атрибуты времени последнего запуска

Для примера произвели такие действия: включили виртуальную машину, скопировали программы которые будем использовать, запустили Telegram, MicrosoftEdge

Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp В Форензике при сборе информации для доказательной базы требуется получить удобоваримый вид переписок мессенджера с мобильного устройства. Рассмотрим операционную систему android и мессенджер WatsApp. Для наших действий понадобятся root права для доступа в системную область файловой системы, способ получения привилегий и прав root в этой статье мы рассматривать не будем, считаем что у нас уже есть такие права и доступ.
Рассмотрим места нахождение нужных нам файлов и баз данных.

• Контакты WhatsApp

/data/data/com.whatsapp/databases/wa.db

• Сообщения WhatsApp

/data/data/com.whatsapp/databases/msgstore.db

• Ключ для криптования

/data/data/com.whatsapp/files/key
Для расшифровки будем использовать программу Andriller
Получили отчет Andriller

Ещё для расшифровки воспользуемся программой WhatsApp Viewer...