Форензика и OSINT
"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.
Статья Мастерство OSINT в CTF: Откройте Секреты Информации
Бамжур, молодой, и не очень, человек. Хочу взять флаг в свои руки и продолжить обмен опытом, который ещё в далёком 2018 году начал мой коллега @sinner67
Сегодня я затрону раздел в CTF, который с первого взгляда не имеет особых трудностей. Однако, многие всё равно совершают серьёзные ошибки при решении, порой, лёгких тасков. Мы разбирёмся, с чем связаны многие трудности, разбирём несколько примеров, поговорим, как можно повысить свой скилл в данном разделе и, какие ресурсы могут помочь при решении данного типа заданий.
Сегодня я затрону раздел в CTF, который с первого взгляда не имеет особых трудностей. Однако, многие всё равно совершают серьёзные ошибки при решении, порой, лёгких тасков. Мы разбирёмся, с чем связаны многие трудности, разбирём несколько примеров, поговорим, как можно повысить свой скилл в данном разделе и, какие ресурсы могут помочь при решении данного типа заданий.
1. Философия OSINT
1. Философия OSINT
OSINT, в capture the flag соревнованиях, можно назвать разделом, в котором важно интуитивное понимание задания, основанное на опыте нарешивания. Нет какого-либо определённого шаблона...
OSINT и Геолокация: Анализ Открытых Данных
Существуют специально созданные, открытые и бесплатные сервисы по анализу данных геолокации пользователей.
Такие сервисы работают примерно по одному и тому же принципу, данные собираются с размещенных пользователем в социальной сети публикации. Для использования необходимо выбрать местоположение, радиус и дату, а сервис вам выдает профиль в социальной сети, пост (видео, твит, фото и т.д.) и время публикации (если информация содержится в базе данных).
Ознакомить со всеми сервисами в данной статье можно путем нажатия на их название.
Такие сервисы работают примерно по одному и тому же принципу, данные собираются с размещенных пользователем в социальной сети публикации. Для использования необходимо выбрать местоположение, радиус и дату, а сервис вам выдает профиль в социальной сети, пост (видео, твит, фото и т.д.) и время публикации (если информация содержится в базе данных).
Ознакомить со всеми сервисами в данной статье можно путем нажатия на их название.
SnRadar
На данный момент сервис работает только через VK, детальнее с проектом можно ознакомиться по ссылке. Планируется работоспособность с множеством социальных сетей.- Указываем точку на карте.
- Выбираем нужный нам радиус.
...
Статья Особенности работы программ с iOS 12.4.9
Попал мне в руки iPhone 6 А1549 с iOS 12.4.9, проблем с checkra1n для получения jailbreak не возникает, но как всегда есть но, вот эти версии трехзначные с мелкими исправлениями безопасности типа Пример - 12.4.5 … 12.4.9 несут в себе всякие не понятные моменты с которыми не весь софт или устройства хотят работать.
Как проявляется не хотение и не понимание некоторого ПО к таким версиям.
Первое с чем я столкнулся UFED Touch2 не отработал эту модель, жаль но факт, дальше интереснее.
iOS-Toolkit-6.52-Win снял как положенно физику и Keychain и Phone Breaker замечательно расшифровал пароли
Так же без вопросов и нареканий сработал и Phone Viewer
Хоть UFED Touch2 не отработал за то софт Cellebrite Physical Analyzer справился с образом сделанным Elcomsoft справился просто на Ура
Magnet AXIOM к сожалению себя не проявил, но зато он умеет восстанавливать удаленные из системы windows логи (event logs)
...
Как проявляется не хотение и не понимание некоторого ПО к таким версиям.
Первое с чем я столкнулся UFED Touch2 не отработал эту модель, жаль но факт, дальше интереснее.
iOS-Toolkit-6.52-Win снял как положенно физику и Keychain и Phone Breaker замечательно расшифровал пароли
Так же без вопросов и нареканий сработал и Phone Viewer
Хоть UFED Touch2 не отработал за то софт Cellebrite Physical Analyzer справился с образом сделанным Elcomsoft справился просто на Ура
Magnet AXIOM к сожалению себя не проявил, но зато он умеет восстанавливать удаленные из системы windows логи (event logs)
Статья Восстановление системного реестра Windows
При расследовании компьютерных инцидентов, время от времени, возникает необходимость восстановления удаленных записей из файлов системного реестра. И тут возникает два варианта развития событий:
Кроме указанной выше утилиты, для восстановления удаленных записей из существующих файлов системного реестра, можно использовать Python-скрипт yarp-print (msuhanov/yarp) с параметром --deleted и далее указывает полный путь до файла, из которого необходимо восстановить удаленные записи:
[ATTACH...
- Необходимо восстановить записи из существующих файлов системного реестра (т.е. записи системного реестра текущей операционной системы);
- Необходимо восстановить записи системного реестра из предыдущей операционной системы.
Кроме указанной выше утилиты, для восстановления удаленных записей из существующих файлов системного реестра, можно использовать Python-скрипт yarp-print (msuhanov/yarp) с параметром --deleted и далее указывает полный путь до файла, из которого необходимо восстановить удаленные записи:
[ATTACH...
Soft Snoop Project инструмент разведки на основе открытых данных (OSINT world)
Snoop Project один из самых перспективных OSINT-инструментов по поиску никнеймов.
Snoop — это исследовательская работа (собственная база данных/закрытые багбаунти)
в области поиска и обработки публичных данных в сети интернет.
По части специализированного поиска Snoop способен конкурировать с традиционными поисковыми системами.
Сравнение индексаций БД-никнеймов подобных инструментов:
Платформы:
| Платформа | Поддержка |
|---|---|
| GNU/Linux |  |
| Windows 7/10 (32/64) | |
| Android (Termux) | |
| macOS |  ️ |
| IOS |  |
| WSL | |
Snoop Local database
Обзор PPEE, Инструмент для детального изучения файлов
Привет всем!
Решил я тут сделать краткий обзор инструмента PPEE (Puppy). Этот инструмент предназначен для детального исследования файлов. В конце статьи будут полезные ссылки
Начнём с теории, а дальше исследуем 1 exe файл. Все параметры PE файла я описывать не буду. Только часто используемые. Они будут выделены жёлтым цветом. Их можно посмотреть перейдя ссылкам в конце обзора.
Описание с сайта разработчика
Puppy - это легкий, но мощный инструмент для статического исследования интересующих нас файлов. Также предоставляются два сопутствующих плагина.
FileInfo - чтобы запросить файл в известных хранилищах вредоносных программ и взять в один клик техническую информацию о файле, такую как его размер, энтропия, атрибуты, хэши, информация о версии и так далее.
YaraPlugin - чтобы проверить правила Yara (помогают нам идентифицировать и классифицировать образцы вредоносных программ) против открытого файла.
[COLOR=rgb(243, 121...
Решил я тут сделать краткий обзор инструмента PPEE (Puppy). Этот инструмент предназначен для детального исследования файлов. В конце статьи будут полезные ссылки
Начнём с теории, а дальше исследуем 1 exe файл. Все параметры PE файла я описывать не буду. Только часто используемые. Они будут выделены жёлтым цветом. Их можно посмотреть перейдя ссылкам в конце обзора.
Описание с сайта разработчика
Puppy - это легкий, но мощный инструмент для статического исследования интересующих нас файлов. Также предоставляются два сопутствующих плагина.
FileInfo - чтобы запросить файл в известных хранилищах вредоносных программ и взять в один клик техническую информацию о файле, такую как его размер, энтропия, атрибуты, хэши, информация о версии и так далее.
YaraPlugin - чтобы проверить правила Yara (помогают нам идентифицировать и классифицировать образцы вредоносных программ) против открытого файла.
[COLOR=rgb(243, 121...
Статья Keychain в iOS - что внутри?
Связка ключей Apple (англ: Keychain) — функция (другими словами — технология), с помощью которой, в одном месте операционных системах macOS и iOS, в защищённом виде, сохраняются личные данные пользователя (логины и пароли).
Советую к прочтению теории "Extracting and Decrypting iOS Keychain"
Рассмотрим что же мы можем получить из связки ключей Keychain
Примером будет: Hardware model: D321AP, OS version: 13.3.1 предварительно я осуществил jail как ранее описывалось в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)
далее мне было удобно (и так как был этот инструмент в руках) получить файл связки ключей в формате "*.xml"
Загрузив полученный образ и связку ключей я увидел всего ничего вот этим софтом
Такой результат меня не устроил учитывая что связка ключей имеет размер 5 033 984 байт, а это много, где же всё?!
Пробуем посмотреть...
Советую к прочтению теории "Extracting and Decrypting iOS Keychain"
Рассмотрим что же мы можем получить из связки ключей Keychain
Примером будет: Hardware model: D321AP, OS version: 13.3.1 предварительно я осуществил jail как ранее описывалось в iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)
далее мне было удобно (и так как был этот инструмент в руках) получить файл связки ключей в формате "*.xml"
Загрузив полученный образ и связку ключей я увидел всего ничего вот этим софтом
Такой результат меня не устроил учитывая что связка ключей имеет размер 5 033 984 байт, а это много, где же всё?!
Пробуем посмотреть...
Статья Резервная копия телефонов LG (LG Bridge) и извлечения данных из резервной копии
Предложенный вариант демонстрирует что может хранится в резервной копии коротая сделана ПО вендора телефона. Если у Вас нет доступа к телефону, и вы не знаете, как его получить, то этот метод вам не подойдет. В любом случае советую проверять полученные данные дополнительно. Для работы нам понадобится питон, если он у вас уже установлен переходите к пункту №3.
- Первое что нам понадобится это установить питон, рекомендую скачать с офсайта
- Устанавливаем питон:
- Даблклик по скачанному файлу
- Отмечаем чекбокс отмеченный на картинке, прежде чем нажимать “install now” обязательно проверить что бы все совпадало с
- Могу порекомендовать проверить обновления питон:
Код:
python -m pip install -- upgrade pip - Перезагрузка
- Следующим шагом ставим библиотеку pycryptodome:
Код:
pip install pycryptodome - Ставим приложение LG Bridge на компьютер(я не выкладываю информацию по установке...
Статья Как Игорь Volatility framework изучал и сетевой дамп смотрел
Утро. Звенит будильник. Некоторые делают зарядку, завтракают, одеваются и идут на работу. После работы идут домой. День Игоря прошёл также. За исключением одного, во время беседы с неестественным в той компании коллегой, речь зашла о дампах памяти. Имя того служащего — Николай. В той беседе решено было вечерком встретиться у Игоря дома и обсудить форензику. Главная тема их беседы - The Volatility Framework. Николай и Игорь договорились о плане для их беседы:
Некоторые опции не получилось использовать, так как дамп памяти самой новой системы был сделан с Windows 2003.
Скриншотов для этой статьи было сделано больше чем максимум, но здесь их не будет
Максимум скриншотов на codeby...
- Изучаем дамп памяти Windows
- Переходим к Linux
- Немножко сетевой форензики
Некоторые опции не получилось использовать, так как дамп памяти самой новой системы был сделан с Windows 2003.
Небольшое отступление от статьи
Скриншотов для этой статьи было сделано больше чем максимум, но здесь их не будет
Максимум скриншотов на codeby...