forensics

Нам дали персональные данные цели, SHA-1 хеш пароля и скрипт, который этот пароль проверяет. Задача - восстановить пароль, собрав кастомный словарь на основе этой информации. Для этого отлично подходит CUPP - питоновский инструмент, предназначенный для генерации персонализированных словарей. Он...

Всем привет! Продолжаем разбирать задачки по стеганографии. Так как это задания из базового курса по стеганографии, они достаточно простые, но именно за счет этого хорошо подходят для понимания основ. Материал будет также будет полезен форензикам: форензика и стеганография тесно пересекаются...

Что вас ждёт в статье: 1. Введение. 1.1. Зачем же в DFIR нужен таймлайн. 1.2. Формат статьи и цель лабораторной работы. 2. Описание инцидента и входные данные. 3. Подход к расследованию. 4. Лабораторная работа по восстановлению таймлайна. 5. Итоги исследования. 6. Выводы и практическая польза...

Дан вордовский документ Dark_sample.docx. Открываю в LibreOffice Writer, смотрю содержимое – ничего интересного. Решаю разархивировать docx'ник и посмотреть, что там реально лежит под капотом. Почти сразу натыкаюсь на странную ссылку в word/_rels/settings.xml.rels: <Relationships> <Relationship...

Без лишних предисловий перейдем к делу. Имеем на руках подозрительный файл с названием, записанным задом наперед — типичный прием, любимый разработчиками вредоносов. На самом деле его настоящее имя: x<202e>gpj.exe (там Unicode-символ U+202E — Right-to-Left Override, чтобы обмануть глаз)...

Введение Привет! В прошлый раз мы обсуждали, как скрыть следы в Windows 10/11. Но этого оказалось недостаточно — важно удалить следы без возможности восстановления. Безопасное удаление данных может понадобиться и для обычных действий — например, при продаже носителя данных. Поэтому представляем...

Задача из форензиики. Дан файл memdump, это образ памяти Описание таска: Оно же является небольшой подсказкой. Надо искать графические редакторы, просмотрщики картинок и тому подобное. Приступим, для работы с памятью нам поможет замечательный инструмент - volatility2/3...

Доброго времени суток! Во время дампа процессов, некоторые не удается сдампить. Пример ошибки ниже. И вот вопрос- как мне сдампить процесс в данном случае? Может кто-то сталкивался с таким делом и находил пути обхода. PID PPID ImageFileName Offset(V) Threads Handles...

Введение Всем привет, Кодебай! Сегодня я хочу рассказать и показать, реальные примеры работы специалистов из области Форензики. Смотря фильмы или сериалы по IT-тематике, встречал такое, что главный герой открывает крышку своего системного блока и достает некоторые компоненты (процессор, жесткий...

Подскажите люди добрые<3 на что можно обратить внимание при проверке образа диска с малварем. С реестром винды тоже нужно (помимо автозагрузки, что можно еще посмотреть???)

При расследовании инцидентов, связанных с популярными в настоящее время шифровальщиками ("вымогателями"), приходится сталкиваться с проблемой удаления записей из системных журналов операционной системы Microsoft Windows (т.н. "очистка" журналов), которое делается для того, чтобы увеличить время...

Information Gathering Эти инструменты для разведки используются для сбора данных по целевой сети или устройствам. Инструменты охватывают от идентификаторов устройств до анализа используемых протоколов. Vulnerability Analysis Инструменты из этой секции фокусируются на оценке систем в...

Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска. PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+. Командлеты Запуск программы (пошаговый)...

KAPE (Kroll Artifact Parser and Extractor) - это эффективная и настраиваемая программа сортировки, которая нацелена практически на любое устройство или место хранения, найдет криминалистически полезные артефакты и проанализирует их в течение нескольких минут. Очень интересный инструмент, но на...

USB Detective - платное ПО для поиска информации о подключаемых устройствах USB для Windows систем Обрабатывает артефакты USB-устройств от Windows XP до Windows 10 Поддержка работающей системы, отдельных файлов, папок и обработки логических дисков Обрабатывает несколько версий всех принятых...

Введение - Форензика альтернативного потока данных (Zone.Identifier) в NTFS Альтернативные потоки данных (англ. Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS. Рассмотрим ПО которое поможет увидеть ADS: Stream Detector v1.2 ADS Spy NTFS Stream...

Рассмотрим как работают дорогие решения для вскрытия паролей. Возможности Elcomsoft Distributed Password Recovery Рассмотрим на примере зашифрованного диска с помощью BitLocker. Нам понадобится Elcomsoft Forensic Disk Decryptor для получения данных для дальнейшего восстановления пароля...

Загрузочный образ Windows 10 Version 1709 Redstone3 build 16299* This is a minimalist 32 WinPE/WinFE with a GUI shell (BBLean - based on BlackBox for Windows) - originally created for system deployment. Загрузка с защитой от записи на исследуемый объект программы: Linux Reader 3.4; FTK Imager...

zero-click forensic imaging (IO) - инструмент для криминалистической визуализации с нулевым кликом, разработанный для использования в условиях высокой нагрузки. IO автоматически включает программную блокировку записи, обнаруживает изменения на подключенных устройствах и начинает создавать...

Одна из первоочередных задач компьютерно-технической экспертизы это определение операционной системы, её версии, модификации, build. Зная версию ОС Вы сможете подготовить план действий для изучения артефактов, так как в разных версиях есть отличия - разные функции, ID event logs, ключи реестра...