forensic

Пример извлечения даты и времени, из файлов ярлыков Windows по документу: The Meaning of Linkfiles In Forensic Examinations (en) В ОС Windows при первом обращении к файлу на него в каталоге (по адресу: C:\Users\NAME_USER\AppData\Roaming\Microsoft\Windows\Recent) будет создана ссылка на него...

Практически во всех случаях цифровой криминалистики, где задействован компьютер Windows, нам необходимо обработать корзину для удаленных файлов. Начиная с Windows Vista и более новых операционных системах Microsoft переработала корзину и выбрала несколько иной подход. INFO2 и другие похожие...

Файлы LNK являются относительно простым, но ценным артефактом для исследователя судебной экспертизы. Это ярлыки, которые ссылаются на приложение или файл, обычно встречающиеся на рабочем столе пользователя или во всей системе, и заканчиваются расширением .lnk. Файлы LNK могут быть созданы...

Иногда при доступе к ПК нужно максимально и оперативно снять информацию, мы рассмотрим автоматизированную утилиту FastIR Collector C:\Users\Toor\Downloads\Fastir_Collector>FastIR_x64.exe --packages fast запуск (на картинке в shell запущен был cmd от Администратора [ На выходе получаем вот...

Восстановление данных с помошью программы winhex. Происшествие: Сотрудник работал с текстовым документом, удалил из него информацию и сохранил под тем же именем. Задача: восстановить предыдущую редакцию документа без потери информации. Для имитации будем использовать текстовый документ формата...

Уже была статья бесплатные программы в Windows по нахождению данных в веб-браузерах (история, cookie, кеш) Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache) Сейчас мы рассмотрим универсальный инструмент DB Browser for SQLite, с его помощью разберем данные артефакты...

wiki Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS. Рассмотрим один из альтернативных потоков данных Zone.Identifier. Файловая система NTFS может содержать в себе несколько альтернативных потоков данных и содержать...

Приветствую всех пользователей и гостей Сodeby) Специально пропустил слово форум в приветствии, ибо Codeby это уже давно больше чем просто форум, у нас есть уже мобильный клиент на андроид, на подходе МК для iOS, и скоро выйдет свой дистрибутив для пентеста, а самое главное дружное сообщество...

Приветствую) Речь в этой теме пойдет о снятии слепков оперативной памяти. Зачем вообще нам нужен дамп оперативки? Да затем что там можно найти много интереснейших и неожиданных вещей) Каких? Да разных))) Например ключики от криптоконтейнеров, различные сообщения из чатов и соцсетей, посещенные...

Здравствуйте друзья!) Я недавно познакомился с одним из фреймворков в компьютерной криминалистике "Volatility" и его гуи версией "VolUtility", теперь вот хочу и вас с ним тоже познакомить так сказать) Данный фреймворк кросcплатформенный с открытым исходным кодом, написан на python. Имеет...

Привет! В этой статье предлагаю рассмотреть инструмент под названием AUMFOR. AUMFOR - автоматизированная программа для анализа содержимого памяти - основанная на графическом интерфейсе, она лучше всех поможет товарищу майору справиться со своей задачей раньше конца дня, и со спокойной душой...