Forwarded from Investigation & Forensic TOOLS
Часто спрашивают что почитать про техническую криминалистику. Собственно вот:1. Н. Н. Федотов. Форензика
2. Network Forensics 1st Edition
3. File System Forensic Analysis 1st Edition
4. Practical Mobile Forensics
5. The Basics of Digital Forensics: The Primer for Getting Started in Digital Forensics
6. Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 8
7. Practical Windows Forensics Paperback
8. Digital Forensics with Kali Linux
9. Windows Registry Forensics: Advanced Digital Forensic Analysis
10. Computer Forensics: Investigating File and Operating Systems, Wireless Networks, and Storage (CHFI) by EC-Council
11. Malware Forensics Field Guide for Windows Systems
12. CHFI Computer Hacking Forensic Investigator Certification All-in-One Exam Guide 1st Edition
13. Practical Forensic Imaging: Securing Digital Evidence with Linux Tools
2. Network Forensics 1st Edition
3. File System Forensic Analysis 1st Edition
4. Practical Mobile Forensics
5. The Basics of Digital Forensics: The Primer for Getting Started in Digital Forensics
6. Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 8
7. Practical Windows Forensics Paperback
8. Digital Forensics with Kali Linux
9. Windows Registry Forensics: Advanced Digital Forensic Analysis
10. Computer Forensics: Investigating File and Operating Systems, Wireless Networks, and Storage (CHFI) by EC-Council
11. Malware Forensics Field Guide for Windows Systems
12. CHFI Computer Hacking Forensic Investigator Certification All-in-One Exam Guide 1st Edition
13. Practical Forensic Imaging: Securing Digital Evidence with Linux Tools
🔥11
|Velociraptor: Digging Deeper|
🕵️♂️Наконец просмотрел полностью как видео с онлайн-выступления, проверил материалы на их доступность путем скармливания начинающему DFIR - специалисту. Результатом был более чем доволен. Если вдруг лекторы увидят эту публикацию, то хотелось бы поблагодарить за выступление и материалы в оном.
Говоря вкратце(146 слайдов как никак), разбиралось внедрение Velociraptor и язык запросов VQL в процесс обнаружения с практической частью дабы специалист разобрался и смог применить в работе, причем еще рассматривается случай когда сразу множестве машин было скомпрометировано(в сетях не по 10 или 100 машин, а где 1000 и более). И много про артефакты и их переносимость.
Также разбирается очень важный вопрос киберкрайма на примере поиска артефактов, удостоверяющих наличие маяков кобальт страйка, можно начать разбираться в этом вопросе.
Еще раз повторюсь много практики, так что в бой!
📼Видео выступления.
🕵️♂️Finally, I watched it completely as a video from an online speech, checked the materials for their availability by feeding them to a novice DFIR specialist. I was more than satisfied with the result. If suddenly the lecturers see this publication, I would like to thank you for the presentation and materials in it.
In short (146 slides after all), the introduction of Velociraptor and the VQL query language into the detection process was analyzed with a practical part so that the specialist could figure it out and be able to apply it to work, and the case is also being considered when a lot of machines were compromised at once (in networks not 10 or 100 machines, but where 1000 or more). And a lot about artifacts and their portability.
Also, a very important issue of cybercrime is being dealt with by the example of searching for artifacts certifying the presence of cobalt strike beacons, you can begin to understand this issue.
Once again, I repeat a lot of practice, so go into battle!
📼Video of the performance.
#forensics #disk
🕵️♂️Наконец просмотрел полностью как видео с онлайн-выступления, проверил материалы на их доступность путем скармливания начинающему DFIR - специалисту. Результатом был более чем доволен. Если вдруг лекторы увидят эту публикацию, то хотелось бы поблагодарить за выступление и материалы в оном.
Говоря вкратце(146 слайдов как никак), разбиралось внедрение Velociraptor и язык запросов VQL в процесс обнаружения с практической частью дабы специалист разобрался и смог применить в работе, причем еще рассматривается случай когда сразу множестве машин было скомпрометировано(в сетях не по 10 или 100 машин, а где 1000 и более). И много про артефакты и их переносимость.
Также разбирается очень важный вопрос киберкрайма на примере поиска артефактов, удостоверяющих наличие маяков кобальт страйка, можно начать разбираться в этом вопросе.
Еще раз повторюсь много практики, так что в бой!
📼Видео выступления.
🕵️♂️Finally, I watched it completely as a video from an online speech, checked the materials for their availability by feeding them to a novice DFIR specialist. I was more than satisfied with the result. If suddenly the lecturers see this publication, I would like to thank you for the presentation and materials in it.
In short (146 slides after all), the introduction of Velociraptor and the VQL query language into the detection process was analyzed with a practical part so that the specialist could figure it out and be able to apply it to work, and the case is also being considered when a lot of machines were compromised at once (in networks not 10 or 100 machines, but where 1000 or more). And a lot about artifacts and their portability.
Also, a very important issue of cybercrime is being dealt with by the example of searching for artifacts certifying the presence of cobalt strike beacons, you can begin to understand this issue.
Once again, I repeat a lot of practice, so go into battle!
📼Video of the performance.
#forensics #disk
👍3
|MD MZ|
В жизни всякое бывает, вот и у cocomelonc( в представлении не нуждается) приключилась беда.
Его дочери, которой всего 4 месяца понадобилась медицинская помощь, она сейчас находится в реанимации.
В свете этих событий он выпустил свою книгу по разработке вредоносов, методы обхода АВ и закрепление в системе для кибербезопасников, включая огромное количество практики, стоимость не большая для такого труда - 16$.
Все деньги пойдут на лечение, также еще прикладываю реквизиты ниже и телеграмм аккаунт(@abuyerzh).
Сверяйте реквизиты, ведь есть мошенники, которые могут себя за него выдавать. Не оставайтесь в стороне!
От себя могу пожелать, чтобы лечение прошло хорошо, здоровья его дочери и скорейшего выздоровления.
Everything happens in life, so cocomelonc (needs no introduction) had a disaster.
His daughter, who only needed medical help for 4 months, is now in intensive care.
In light of these events, he released his book on the development of malware, methods of bypassing the AB and fixing in the system for cybersecurity, including a huge amount of practice, the cost is not great for such work - 16$.
All the money will go to treatment, I also attach the details below and the telegram account (@abuyerzh).
Check the details, because there are scammers who can impersonate him. Don't stay away!
From myself, I can wish that the treatment went well, the health of his daughter and a speedy recovery.
Реквизиты/requisites
Paypal: https://paypal.me/cocomelonc/16
BTC:
В жизни всякое бывает, вот и у cocomelonc( в представлении не нуждается) приключилась беда.
Его дочери, которой всего 4 месяца понадобилась медицинская помощь, она сейчас находится в реанимации.
В свете этих событий он выпустил свою книгу по разработке вредоносов, методы обхода АВ и закрепление в системе для кибербезопасников, включая огромное количество практики, стоимость не большая для такого труда - 16$.
Все деньги пойдут на лечение, также еще прикладываю реквизиты ниже и телеграмм аккаунт(@abuyerzh).
Сверяйте реквизиты, ведь есть мошенники, которые могут себя за него выдавать. Не оставайтесь в стороне!
От себя могу пожелать, чтобы лечение прошло хорошо, здоровья его дочери и скорейшего выздоровления.
Everything happens in life, so cocomelonc (needs no introduction) had a disaster.
His daughter, who only needed medical help for 4 months, is now in intensive care.
In light of these events, he released his book on the development of malware, methods of bypassing the AB and fixing in the system for cybersecurity, including a huge amount of practice, the cost is not great for such work - 16$.
All the money will go to treatment, I also attach the details below and the telegram account (@abuyerzh).
Check the details, because there are scammers who can impersonate him. Don't stay away!
From myself, I can wish that the treatment went well, the health of his daughter and a speedy recovery.
Реквизиты/requisites
Paypal: https://paypal.me/cocomelonc/16
BTC:
1MMDN38mheQn9h2Xa2H6hqMSfFYKW4nQUE
ETH: 0xf6ed40f61b603a4b2ac7c077034053df4f718f37
XMR:87E2aD7P7FGiQrUdznXPqtH7enHywV8qm5kMqKziKLz8ECWZENE8ZV5JWRTJhA3RVS5rxSogRsd7z7yX2DMn29dR3Vfnjbjcocomelonc
Malware development book. First version
﷽
🙏14😢4👎1
"Microsoft has officially resumed blocking VBA macros by default in all Office applications, weeks after temporarily announcing plans to roll back the change."
😶Это какая-то шутка мелкомягкие?
Понимаю, что новости почти неделя, но думал вдруг будут еще какие-то подробности.
Ссылка раз, два.
😶Is this some kind of joke, microsoft?
I understand that the news is almost a week old, but I thought there might be some more details.
Link one, two.
🗒Предыдущий пост / previously post
#microsoft #office #malware #vba
😶Это какая-то шутка мелкомягкие?
Понимаю, что новости почти неделя, но думал вдруг будут еще какие-то подробности.
Ссылка раз, два.
😶Is this some kind of joke, microsoft?
I understand that the news is almost a week old, but I thought there might be some more details.
Link one, two.
🗒Предыдущий пост / previously post
#microsoft #office #malware #vba
🤔3👍1👏1
|patriot|
Затрону немного винду и детектирование вредоносной активности.
🔍Нашел буквально на днях исследовательский проект, который нацелен на обнаружение вредоносной активности(на самом деле связанная с ней) в памяти, которая скрываются в оной. Недавно была добавлена техника идентификации CONTEXT структур(подозрительных), которые используются в rop/коллбэк цепочках к примеру в brc4 или в NightHawk, которые указывают на функцию VirtualProtect
Но пока не мало ложных срабатываний, хотя проект быстро развивается и уже очень даже не плохо справляется с поставленными задачами.
Не мало ложных срабатываний началось после добавления детектирования на основе таймеров, которые вызывают
На данный момент помимо вышеупомянутых техник детектирования, есть следующие:
💥Валидация MZ/PE заголовков в памяти для обнаружения process hollowing вариантов
💥Нераспакованные исполняемые области, работающие с высокой целостностью
💥Модифицированный код, используемый в stomping/overwriting модулях
I will touch a little on Windows and the detection of malicious activity.
🔍I found just the other day a research project that aims to detect malicious activity (actually related to it) in memory, which is hidden in it. Recently, a technique has been added to identify CONTEXT structures (suspicious), which are used in rop/callback chains, for example in brc4 or in NightHawk, which point to the VirtualProtect function
But there are still quite a few false positives, although the project is developing rapidly and is already very good at coping with the tasks set.
Not a few false positives started after adding detection based on timers that cause
At the moment, in addition to the above-mentioned detection techniques, there are the following:
💥Validation of MZ/PE headers in memory to detect process hollowing variants
💥Unpacked executable areas working with high integrity
💥Modified code used in stomping/overwriting modules
#malware #detect #stealth
Затрону немного винду и детектирование вредоносной активности.
🔍Нашел буквально на днях исследовательский проект, который нацелен на обнаружение вредоносной активности(на самом деле связанная с ней) в памяти, которая скрываются в оной. Недавно была добавлена техника идентификации CONTEXT структур(подозрительных), которые используются в rop/коллбэк цепочках к примеру в brc4 или в NightHawk, которые указывают на функцию VirtualProtect
Но пока не мало ложных срабатываний, хотя проект быстро развивается и уже очень даже не плохо справляется с поставленными задачами.
Не мало ложных срабатываний началось после добавления детектирования на основе таймеров, которые вызывают
NtContinue.На данный момент помимо вышеупомянутых техник детектирования, есть следующие:
💥Валидация MZ/PE заголовков в памяти для обнаружения process hollowing вариантов
💥Нераспакованные исполняемые области, работающие с высокой целостностью
💥Модифицированный код, используемый в stomping/overwriting модулях
I will touch a little on Windows and the detection of malicious activity.
🔍I found just the other day a research project that aims to detect malicious activity (actually related to it) in memory, which is hidden in it. Recently, a technique has been added to identify CONTEXT structures (suspicious), which are used in rop/callback chains, for example in brc4 or in NightHawk, which point to the VirtualProtect function
But there are still quite a few false positives, although the project is developing rapidly and is already very good at coping with the tasks set.
Not a few false positives started after adding detection based on timers that cause
NtContinue.At the moment, in addition to the above-mentioned detection techniques, there are the following:
💥Validation of MZ/PE headers in memory to detect process hollowing variants
💥Unpacked executable areas working with high integrity
💥Modified code used in stomping/overwriting modules
#malware #detect #stealth
👍3😁1
📕Работа про сквозное шифрование в WhatsApp и то как правоохранительные органы могут перехватывать и пытаются прочитать сообщения даже со сквозным шифрованием. Опять поднимается вопрос, что вместо "удобства в использовании" должна быть "приватность переписки" на первом плане. Поэтому, когда мы выбирает что удобнее, чаще всего проще получить данные о нас.
Понятное дело, что работать с зашифрованным трафиком тяжело и приходится идти на разные уловки, о которых как раз и идет речь в работе. Side-channel атаки в последнее время становятся более частыми, ведь их проще проводить, нежели копаться в зашифрованном трафике. Многие вещи в материале примирительны и к телеграмму или сигналу.
📕The work is about end-to-end encryption in WhatsApp and how law enforcement agencies can intercept and try to read messages even with end-to-end encryption. Again, the question is raised that instead of "ease of use" there should be "privacy of correspondence" in the foreground. Therefore, when we choose what is more convenient, it is often easier to get data about us.
It is clear that it is difficult to work with encrypted traffic and you have to go to different tricks, which are exactly what we are talking about in the work. Side-channel attacks have recently become more frequent, because they are easier to carry out than digging into encrypted traffic. Many things in the material are conciliatory to a telegram or signal.
#whatsapp #interception #forensics #privacy
Понятное дело, что работать с зашифрованным трафиком тяжело и приходится идти на разные уловки, о которых как раз и идет речь в работе. Side-channel атаки в последнее время становятся более частыми, ведь их проще проводить, нежели копаться в зашифрованном трафике. Многие вещи в материале примирительны и к телеграмму или сигналу.
📕The work is about end-to-end encryption in WhatsApp and how law enforcement agencies can intercept and try to read messages even with end-to-end encryption. Again, the question is raised that instead of "ease of use" there should be "privacy of correspondence" in the foreground. Therefore, when we choose what is more convenient, it is often easier to get data about us.
It is clear that it is difficult to work with encrypted traffic and you have to go to different tricks, which are exactly what we are talking about in the work. Side-channel attacks have recently become more frequent, because they are easier to carry out than digging into encrypted traffic. Many things in the material are conciliatory to a telegram or signal.
#whatsapp #interception #forensics #privacy
👍2🤔2