Форензика и OSINT

Задача востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 11.3.1
К нам в руки попала такая модель Model A1533 Версия iOS 11.3.1 к ней не применим checkra1n

Нам нужно:

1. Читаем статью "Извлечение данных без джейлбрейка: iOS 13 и iPhone 11"
2. Читаем статью как руководство пользователя "Извлечение данных из iPhone без джейлбрейка (iOS 11-12)"
3. В данном случаем нам нужен Elcomsoft iOS Forensic Toolkit

Поставленная задача довольно востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 13.5.1

Способ с iPhone OS version: 13.5 "unc0ver" iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit

Для решения такой задачи вот с такой прелестью:

Нам нужно:

1. Читаем статью iOS Device Acquisition with checkra1n Jailbreak iOS Device Acquisition with checkra1n Jailbreak
2. Скачиваем "checkra1n" - читаем checkra1n (с данной моделью телефона мы потерпим неудачу)
3. Скачиваем checkn1x1.0.6x64.zip для 64-х битного процессора или checkn1x1.0.6x32.zip для 32-х битного...

Всем привет)
Попалась мне в руки папка с данными приложения Instagram (com.instagram.android) с ОС Android и логин пользователя который использовал это приложения но информация о нем есть в двух файлах :

• com.instagram.android/app_webview/Default/IndexedDB/https_i.instagram.com_0.indexeddb.leveldb/000003.log;
• com.instagram.android/app_browser_proc_webview/Default/IndexedDB/https_www.instagram.com_0.indexeddb.leveldb/000003.log.

И больше никаких следов по "нику" пользователя в корне папки приложения не было. В интернете по этому поводу я ничего не нашел, да и не пытался особо.
Первым делом сразу отправился смотреть информацию в файлах БД:

• com.instagram.android\databases\direct.db;
• com.instagram.android\databases\fileregistry.db;
• com.instagram.android\databases\transactions.db;
• com.instagram.android\app_webview\Default\databases\Databases.db;
• com.instagram.android\app_browser_proc_webview\Default\databases\Databases.db;

Информация о пользователях и переписке содержится в com.instagram.android\databases\direct.db...

Представьте: вы только что нашли критическую SQL-инъекцию на сайте крупной компании через Bug Bounty программу. Награда? $5000. Метод обнаружения? Всего 3 минуты фаззинга с правильным инструментом.

В этом руководстве я покажу реальные техники фаззинга, которые использую в пентестах уже 8 лет. Вы узнаете про лучшие инструменты (Burp Suite, OWASP ZAP, ffuf), увидите практические примеры эксплуатации и получите готовые payloads для поиска уязвимостей.

Содержание​

1. Что такое фаззинг и почему он критически важен
2. Топ-7 инструментов для фаззинга в 2025
3. Практические примеры поиска уязвимостей...

Поставленная задача довольно востребована - получение данных (документы, переписки - дело обычное - нужно ВСЁ) с iPhone OS version: 13.5

Большинству своих знаний в области iOS я обязан Владимиру Каталову и блогу их компании Блог Элкомсофт (это не реклама, это факт, что elcomsoft лидер гонки с apple).

Нажмите, чтобы раскрыть...

Для решения такой задачи вот с такой прелестью:



Нам нужно:

1. Читаем статью Full File System and Keychain Acquisition with unc0ver jailbreak: iOS 13.1 to 13.5 Full File System and Keychain Acquisition with unc0ver jailbreak: iOS 13.3.1 to 13.5
2. Регистрируем аккаунт разработчика Before You Enroll - Apple Developer Program - Apple Developer
3. Скачиваем "unc0ver" - читаем unc0ver
4. Скачиваем "Cydia Impactor"
5. Elcomsoft iOS Forensic Toolkit

Второй пункт нам нужен для подписания файла "unc0ver-v5.0.1.ipa"...

Данная статья является переводом. Оригинал вот тут

Нажмите, чтобы раскрыть...

В этой статье мы рассмотрим корпоративную структуру компании Mindgeek - лидера в области доставки контента, SEO, рекламы, хостинга и общих технологических инноваций. Они работают по всему миру, а принадлежащие им сайты создают сотни миллионов посещений в день и имеют большую пропускную способность, чем Twitter, Amazon или Facebook. Может быть, вы не знаете эту компанию, но я уверен, что они знают вас.

Если вы пропустили предыдущую часть, то можете ознакомиться с ней ниже


Примечание

MindGeek работает в сфере развлечений для взрослых, поэтому если вам неудобно читать о порноиндустрии, можете не читать статью.

Статья не является доказательством каких-либо неправомерных действий Mindgeek, я выбрал эту компанию в качестве...

Данная статья является переводом. Оригинал вот тут

Нажмите, чтобы раскрыть...

Это вторая часть моего расследования критической инфраструктуры по всему миру. Эта статья должна была стать презентацией на конференции ICS в Сингапуре, однако, благодаря коронавирусу это будет виртуальное мероприятие. Я не заинтересован в участии, и я остался с хорошим материалом, поэтому решил сделать об этом краткий пост в блоге.

Вы все еще можете прочитать мое первое исследование ICS "Intelligence Gathering on U.S. Critical Infrastructure" на сайте конференции.


Если вы пропустили последний эпизод о том, как искать дезинформацию в социальных сетях, вы можете найти ее здесь



OSINT и промышленные системы управления

Со времени...

Привет, комьюнити Codeby!

В этой части мы погрузимся в мир OSINT и рассмотрим реальную кампанию по дезинформации в одной из крупнейших польских социальных сетей – wykop.pl. Для тех, кто не знаком, Wykop очень похож на Reddit, но без сабреддитов, зато с тегами и микроблогом. Я покажу вам, как собирать информацию о пользователях, их "голосах" (положительных/отрицательных) и, конечно же, о самом контенте. Все будет максимально понятно, с диаграммами и графиками связей, чтобы вы могли визуализировать процесс.

Для новичков, только начинающих свое знакомство с OSINT, полезным стартом может стать изучение практических аспектов и доступных бесплатных ресурсов. Ознакомьтесь с подробным руководством «Как обучиться OSINT “для себя”: практический старт и бесплатные ресурсы» на нашем форуме.

Если вы пропустили прошлую статью, где мы деобфусцировали код и анализировали его для раскрытия сетей распространения нелегального контента, обязательно загляните...

Доброго времени суток, в данной статье я опишу, где хранятся IP адреса, которые получало устройство на android. Так же этот способ будет наглядным при демонстрации какие порты задействуются при подключении.

Данный способ будет работать при соблюдении некоторых условий:

• Телефон не перезагружался. При перезагрузке файл очищается, но если у вас есть возможность сделать физический дамп памяти телефона возможно поднять версии этого файла и получить адреса за бОльшее время.
• Информация в файле сохраняется некоторое время, т.е. все IP адреса за все время вы не получите, но за пару часов шанс есть.

Нас интересует файл tcp, который находится по пути \proc\net\tcp. Этот файл доступен без root до версии Android Q и открывается как обычный текстовый файл.

В нем будет таблица вида:



Где, local address – IP адрес устройства. Более полное описание этой таблицы есть по ссылке или в на рисунке ниже:



Записан IP адрес...

Бывают случаи когда нет возможности извлечь SSD, HDD из устройств macOS, то нужно распаивать экран или сложность разборки, а информацию получить для дальнейшей обработки нужно. Способы с загрузкой разных дистрибутивов особенно Linux для команды DD не дают результат или получаем образ системы который не может распознать: FTK, X-Ways, belkasoft, а программные продукты UFS Explorer, R-Studio так же результатов не дают, хотя тут я немного преувеличил так как программа DMDE (DM Disk Editor and Data Recovery Software) с такого не понятного образа восстанавливает файлы (жаль что без имён) но она всё таки даёт рабочие файлы.
Второй шаг

в операционной системе может быть включено шифрование "FileVault", в системе которая попала мне в руки все учетные записи были защищены паролем, но в самой системе не был включен FileVault.

Сброс пароля в Catalina 10.15.1 прошел очень просто:

Включите Mac и после того, как раздастся звук включения, зажмите на клавиатуре клавиши CMD+R.
Под значком яблока появится строка прогресса, компьютер загружается в режим восстановления Recovery Mode.
В Строке меню Apple выберите Utilities и затем Terminal.
В новом окне введите команду resetpassword и...

Нажмите, чтобы раскрыть...