Forwarded from Social Engineering
CheatSheet Digital Forensics S.E..pdf
888.6 KB
🔎 Форензика. 108 страниц полезных команд.
#Форензика, как аспект #ИБ, развита гораздо в меньшем объеме нежели #пентест или организация защитных средств. Правильных подход при проведении мероприятий по сбору цифровых доказательств может дать не только восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента.
Твой S.E. #Форензика #Заметка
#Форензика, как аспект #ИБ, развита гораздо в меньшем объеме нежели #пентест или организация защитных средств. Правильных подход при проведении мероприятий по сбору цифровых доказательств может дать не только восстановить картину возможного инцидента, но и позволит выявить пути и предпосылки возникновения инцидента.
🖖🏻 Приветствую тебя user_name.
• Основная цель при проведении форензики — использование методов и средств для сохранения (неизменности), сбора и анализа цифровых вещественных доказательств, для того чтобы восстановить события инцидента. Выше ты сможешь найти полезную шпаргалку (108 страниц полезной информации), по всем командам Windows для тех, кому интересна сегодняшняя тема. Либо можешь изучить данный материал по адресу: https://www.jaiminton.com/cheatsheet/DFIR/# Рекомендую к изучению.Твой S.E. #Форензика #Заметка
Forwarded from Social Engineering
🔎 Форензика. Полезный софт для извлечения данных из памяти.
• Анализ оперативной памяти часто используется, когда у тебя был физический доступ к ПК и получилось сделать слепок оперативной памяти. По слепку можно определить, какие приложения запускались во время этого сеанса, потому что, пока человек не выключил или не перезагрузил компьютер, в оперативной памяти хранится интересующая нас информация (например, данные процессов).
• Для анализа дампов памяти существует много приложений, которые на слуху у всех, кто хоть раз имел дело с задачами на форензику: например Volatility и Autopsy. Крупные решения вроде Autopsy буду хороши тем, что позволяют выполнить анализ слепка одной кнопкой, однако цена за это — большое время работы программы.
• Сегодня ты узнаешь о других инструментах, благодаря которым ты можешь работать с памятью системы и получить интересующую информацию:
• dof — извлекает и помогает интерпретировать криминалистические артефакты из Docker-контейнеров. Отображает историю сборки образа, монтирует файловую систему контейнера в заданном месте, распределяет артефакты по временной шкале и так далее;
• Crowd Inspect утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации;
• Volatility 3 — фреймворк для исследования дампов оперативной памяти. Поддерживает 18 различных версий операционных систем, умеет работать с дампами ядра Virtualbox и снапшотами VMware;
• LiME — загружаемый модуль ядра (LKM) для захвата данных из памяти устройств под управлением Linux, в том числе и Android-смартфонов;
• Encryption Analyzer утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла;
• nTimetools — инструментарий для работы с временными метками в Windows. Позволяет проверять метки в файловой системе NTFS с точностью до 100 наносекунд;
• RecuperaBit — утилита для криминалистической реконструкции файловой системы и восстановления файлов. Поддерживает только NTFS;
• MemProcFS — утилита для простого доступа к физической памяти, как к файлам виртуальной файловой системы;
• Sleuth Kit — библиотека для низкоуровневого исследования образов дисков, файловых систем и поиска улик;
• Bmap-tools — инструмент для копирования файлов с использованием создания карты блоков (bmap);
• AVML — портативный инструмент для сбора данных из энергонезависимой памяти Linux-систем;
• INDXParse — тулкит для извлечения артефактов NTFS;
• File Identifier — онлайн анализ типа файлов (более 2000);
• MetaExtractor — утилита для извеления мета-информации из офисных документов и pdf;
• CapAnalysis — утилита просморта PCAP.
📌 В дополнение. Инструменты для анализа электронной почты:
• EDB Viewer — утилита для просмотра файлов EDB Outlook без сервера Exchange;
• MBOX Viewer — утилита для просмотра электронных писем и вложений MBOX;
• OST Viewer — утилита для просмотра файлов OST Outlook без сервера Exchange;
• PST Viewer — утилита для просмотра файлов PST Outlook без сервера Exchange;
• Mail Viewer — утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
📌 Лабы по форензике можно найти тут:
• https://t.me/Social_engineering/1944
• https://t.me/Social_engineering/1762
Твой S.E. #Форензика
🖖🏻 Приветствую тебя user_name.• Задачи на форензику в #CTF могут делиться на несколько типов: анализ жесткого диска, анализ оперативной памяти и дампов трафика.
• Анализ оперативной памяти часто используется, когда у тебя был физический доступ к ПК и получилось сделать слепок оперативной памяти. По слепку можно определить, какие приложения запускались во время этого сеанса, потому что, пока человек не выключил или не перезагрузил компьютер, в оперативной памяти хранится интересующая нас информация (например, данные процессов).
•
Полезную информацию еще можно найти в файлах подкачки (pagefile.sys) и гибернации (hiberfil.sys). Для *nix-based-систем стоит поискать в swap-разделе. — https://habr.com/ru/company/group-ib/blog/512728/• Для анализа дампов памяти существует много приложений, которые на слуху у всех, кто хоть раз имел дело с задачами на форензику: например Volatility и Autopsy. Крупные решения вроде Autopsy буду хороши тем, что позволяют выполнить анализ слепка одной кнопкой, однако цена за это — большое время работы программы.
• Сегодня ты узнаешь о других инструментах, благодаря которым ты можешь работать с памятью системы и получить интересующую информацию:
• dof — извлекает и помогает интерпретировать криминалистические артефакты из Docker-контейнеров. Отображает историю сборки образа, монтирует файловую систему контейнера в заданном месте, распределяет артефакты по временной шкале и так далее;
• Crowd Inspect утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации;
• Volatility 3 — фреймворк для исследования дампов оперативной памяти. Поддерживает 18 различных версий операционных систем, умеет работать с дампами ядра Virtualbox и снапшотами VMware;
• LiME — загружаемый модуль ядра (LKM) для захвата данных из памяти устройств под управлением Linux, в том числе и Android-смартфонов;
• Encryption Analyzer утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла;
• nTimetools — инструментарий для работы с временными метками в Windows. Позволяет проверять метки в файловой системе NTFS с точностью до 100 наносекунд;
• RecuperaBit — утилита для криминалистической реконструкции файловой системы и восстановления файлов. Поддерживает только NTFS;
• MemProcFS — утилита для простого доступа к физической памяти, как к файлам виртуальной файловой системы;
• Sleuth Kit — библиотека для низкоуровневого исследования образов дисков, файловых систем и поиска улик;
• Bmap-tools — инструмент для копирования файлов с использованием создания карты блоков (bmap);
• AVML — портативный инструмент для сбора данных из энергонезависимой памяти Linux-систем;
• INDXParse — тулкит для извлечения артефактов NTFS;
• File Identifier — онлайн анализ типа файлов (более 2000);
• MetaExtractor — утилита для извеления мета-информации из офисных документов и pdf;
• CapAnalysis — утилита просморта PCAP.
📌 В дополнение. Инструменты для анализа электронной почты:
• EDB Viewer — утилита для просмотра файлов EDB Outlook без сервера Exchange;
• MBOX Viewer — утилита для просмотра электронных писем и вложений MBOX;
• OST Viewer — утилита для просмотра файлов OST Outlook без сервера Exchange;
• PST Viewer — утилита для просмотра файлов PST Outlook без сервера Exchange;
• Mail Viewer — утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
📌 Лабы по форензике можно найти тут:
• https://t.me/Social_engineering/1944
• https://t.me/Social_engineering/1762
Твой S.E. #Форензика
Forwarded from Social Engineering
🔎 Форензика. Подборка инструментов.
• В этой подборке представлены инструменты для проведения расследования инцидентов информационной безопасности.
1. Первое правило форензики — не вносить искажений в оригинал. Для этого все действия выполняются с точной (посекторной) копией исследуемой файловой системы и полными дампами оперативной памяти. В этом случае нам поможет OSFClone — утилита live CD/DVD/USB для создания dd или AFF образов. https://www.osforensics.com/tools/create-disk-images.html
2. File Identifier — программа для онлайнового анализа типа файлов по собственной базе сигнатур, которых уже больше двух тысяч. https://windowsfileviewer.com/file_identifier
3. HackBrowserData — Позволяет вытащить данные из браузеров в один клик (password, bookmark, cookie, history, credit card, download, localStorage, extension). Инструмент с открытым исходным кодом. Поддерживает огромное кол-во браузеров. Помимо стандартных путей к профилям браузеров, тулза имеет возможность указания пользовательских путей. https://github.com/moonD4rk/HackBrowserData
4. XPLICO — инструмент для анализа сетевого трафика, позволяет извлекать из захваченного потока данных различную информацию, например электронную почту (POP, IMAP, and SMTP protocols), HTTP трафик, VoIP (SIP), FTP, TFTP, IRC и еще много чего: https://www.xplico.org/
5. Videocleaner — Инструмент позволяет анализировать фото и видео материалы. Есть возможность улучшить четкость объекта (например улучшить четкость размытого номера машины, лица, текста и т.д.). https://videocleaner.com/
6. Sherloq — Еще 1 инструмент для работы с изображениями. Находит участки изображения, которые были изменены. Извлекает полученные данные для дальнейшего анализа. Подробнее тут: https://github.com/GuidoBartoli/sherloq
7. Bulk_extractor — инструмент, который сканирует любой массив данных и находит определенную информацию, например email, IP-адреса, телефоны, банковские карты и т.д. https://github.com/simsong/bulk_extractor
8. Уникальная коллекция программ для извлечения данных из ПК на ОС Windows. С этими инструментами ты сможешь мониторить свою сеть, извлекать cookie, кэш, мониторить изменения в файловой системе и в реестре, восстанавливать пароли и многое другое: http://www.nirsoft.net/utils/index.html
📌 Дополнительная информация:
• Искусство форензики. Теория, книги, курсы, полезные материалы.
• Подборка бесплатных утилит компьютерной криминалистики.
• Форензика — обзор инструментария и тренировочных площадок.
• 70+ бесплатных инструментов для компьютерной криминалистики.
• Форензика: подборка полезных ссылок.
• Linux-форензика в лице трекинга истории подключений USB-устройств.
• Лучшие программные и аппаратные средства для компьютерной криминалистики.
Твой S.E. #Форензика.
🖖🏻 Приветствую тебя user_name.
• Форензика — наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. Перед специалистами в области форензики ставятся следующие задачи:•
Понять, как была реализована атака;•
Построить сценарий взлома;•
Восстановить хронологию (таймлайн) атаки;•
Собрать артефакты;•
Предложить превентивные защитные меры.• В этой подборке представлены инструменты для проведения расследования инцидентов информационной безопасности.
1. Первое правило форензики — не вносить искажений в оригинал. Для этого все действия выполняются с точной (посекторной) копией исследуемой файловой системы и полными дампами оперативной памяти. В этом случае нам поможет OSFClone — утилита live CD/DVD/USB для создания dd или AFF образов. https://www.osforensics.com/tools/create-disk-images.html
2. File Identifier — программа для онлайнового анализа типа файлов по собственной базе сигнатур, которых уже больше двух тысяч. https://windowsfileviewer.com/file_identifier
3. HackBrowserData — Позволяет вытащить данные из браузеров в один клик (password, bookmark, cookie, history, credit card, download, localStorage, extension). Инструмент с открытым исходным кодом. Поддерживает огромное кол-во браузеров. Помимо стандартных путей к профилям браузеров, тулза имеет возможность указания пользовательских путей. https://github.com/moonD4rk/HackBrowserData
4. XPLICO — инструмент для анализа сетевого трафика, позволяет извлекать из захваченного потока данных различную информацию, например электронную почту (POP, IMAP, and SMTP protocols), HTTP трафик, VoIP (SIP), FTP, TFTP, IRC и еще много чего: https://www.xplico.org/
5. Videocleaner — Инструмент позволяет анализировать фото и видео материалы. Есть возможность улучшить четкость объекта (например улучшить четкость размытого номера машины, лица, текста и т.д.). https://videocleaner.com/
6. Sherloq — Еще 1 инструмент для работы с изображениями. Находит участки изображения, которые были изменены. Извлекает полученные данные для дальнейшего анализа. Подробнее тут: https://github.com/GuidoBartoli/sherloq
7. Bulk_extractor — инструмент, который сканирует любой массив данных и находит определенную информацию, например email, IP-адреса, телефоны, банковские карты и т.д. https://github.com/simsong/bulk_extractor
8. Уникальная коллекция программ для извлечения данных из ПК на ОС Windows. С этими инструментами ты сможешь мониторить свою сеть, извлекать cookie, кэш, мониторить изменения в файловой системе и в реестре, восстанавливать пароли и многое другое: http://www.nirsoft.net/utils/index.html
📌 Дополнительная информация:
• Искусство форензики. Теория, книги, курсы, полезные материалы.
• Подборка бесплатных утилит компьютерной криминалистики.
• Форензика — обзор инструментария и тренировочных площадок.
• 70+ бесплатных инструментов для компьютерной криминалистики.
• Форензика: подборка полезных ссылок.
• Linux-форензика в лице трекинга истории подключений USB-устройств.
• Лучшие программные и аппаратные средства для компьютерной криминалистики.
Твой S.E. #Форензика.
Forwarded from Social Engineering
👾 Малварь на просвет. 99+ бесплатных инструментов для анализа зловредов.
• В дополнение, обратите внимание на полезный материал в нашем канале, в котором описано создание виртуальной среды для изучения вредоносного ПО: https://t.me/Social_engineering/1371 и другие бесплатные инструменты для компьютерное криминалистики: https://habr.com/ru/company/bastion/blog/651869/
Твой S.E. #Malware #Форензика
🖖🏻 Приветствую тебя user_name.
• Вчера на хабре вышла интересная подборка бесплатных инструментов для анализа зловредов. Тема хоть и не относится к основной тематике нашего канала, но будет весьма интересной и полезной для изучения подозрительных файлов: https://habr.com/ru/company/bastion/blog/676310/• В дополнение, обратите внимание на полезный материал в нашем канале, в котором описано создание виртуальной среды для изучения вредоносного ПО: https://t.me/Social_engineering/1371 и другие бесплатные инструменты для компьютерное криминалистики: https://habr.com/ru/company/bastion/blog/651869/
Твой S.E. #Malware #Форензика
Forwarded from Social Engineering
👨🏻💻 USBrip.
USBrip позволяет получить следующую информацию:
Пример вывода интересующей информации есть тут.
🧷 Ознакомиться и изучить полный функционал можно тут: https://github.com/snovvcrash/usbrip
Твой S.E. #Форензика
🖖🏻 Приветствую тебя user_name.• Сегодня отвлечемся от темы #СИ и ознакомимся с полезным инструментом для восстановления истории подключения USB-носителей к ПК под управлением #Linux. Инструмент будет очень полезен всем, кто интересуется форензикой.
USBrip позволяет получить следующую информацию:
•
Vendor ID (VID);•
Product ID (PID);•
Производитель;•
Имя устройства;•
Порт подключения;•
Серийный номер устройства;•
Дата и время отключения от ПК;•
Дата и время подключения устройства к ПК;•
Имя хоста к которому подключалось устройство.Пример вывода интересующей информации есть тут.
🧷 Ознакомиться и изучить полный функционал можно тут: https://github.com/snovvcrash/usbrip
Твой S.E. #Форензика
Forwarded from Social Engineering
🔎 Цифровая криминалистика и реагирование на инциденты || Digital Forensics and Incident Response (DFIR).
• DFIR-команды обеспечивают бесперебойную работу любого бизнеса, выявляя и закрывая уязвимости в системе безопасности, а также предоставляют доказательства, необходимые для выдвижения обвинений против злоумышленников, которые готовят атаку на операционную деятельность компании.
• Сегодня поделюсь с тобой ссылкой на крутой репозиторий, который собрал в себе всю необходимую информацию по данной телеме (от книг до актуальных инструментов): https://github.com/meirwah/awesome-incident-response
@S.E. #Форензика #DFIR
🖖🏻 Приветствую тебя user_name.
• Цифровая криминалистика и реагирование на инциденты (DFIR) — это специализированная область, посвященная выявлению, устранению и расследованию инцидентов кибербезопасности. Цифровая криминалистика включает в себя сбор, сохранение и анализ улик для составления полной и подробной картины событий. В то же время реагирование на инцидент обычно направлено на сдерживание, остановку и предотвращение атаки.• DFIR-команды обеспечивают бесперебойную работу любого бизнеса, выявляя и закрывая уязвимости в системе безопасности, а также предоставляют доказательства, необходимые для выдвижения обвинений против злоумышленников, которые готовят атаку на операционную деятельность компании.
• Сегодня поделюсь с тобой ссылкой на крутой репозиторий, который собрал в себе всю необходимую информацию по данной телеме (от книг до актуальных инструментов): https://github.com/meirwah/awesome-incident-response
@S.E. #Форензика #DFIR
CheatSheet Digital Forensics S.E..pdf
888.6 KB
• Основная цель при проведении форензики — использование методов и средств для сохранения (неизменности), сбора и анализа цифровых вещественных доказательств, для того чтобы восстановить события инцидента.
• Выше ты сможешь найти полезную шпаргалку (108 страниц полезной информации), по всем командам Windows для тех, кому интересна сегодняшняя тема. Либо можешь изучить данный материал по адресу: https://www.jaiminton.com/cheatsheet/DFIR
#Форензика #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
S.E.Book
Photo
Шпаргалки_цифрового_детектива_Что_и_где_искать.pdf
1 MB
• Краткий путеводитель по расположению цифровых артефактов в компьютерах и смартфонах.
• Автор: @forensictools
#CheatSheet #Форензика
Please open Telegram to view this post
VIEW IN TELEGRAM