Миф Анти-форензики ntuser.dat в ntuser.man
В Windows системах файл ntuser.dat - это файл реестра, для каждого пользователя он индивидуален более подробно Forensics Windows Registry - ntuser.dat. Много статей и описаний что при смене расширения ntuser.dat на ntuser.man, профиль пользователя будет защищен от изменения и некоторым советуют это как средство анти-форензик, и еще множество описаний какие файлы системы удалить и у каких групп забрать права и изменить права в ветках реестра - это бредово, так как если менять права веток реестра, то нет надобности изменять файл ntuser.dat.
Читать: https://codeby.net/threads/mif-anti-forenziki-ntuser-dat-v-ntuser-man.64225/
#forensics #windows
В Windows системах файл ntuser.dat - это файл реестра, для каждого пользователя он индивидуален более подробно Forensics Windows Registry - ntuser.dat. Много статей и описаний что при смене расширения ntuser.dat на ntuser.man, профиль пользователя будет защищен от изменения и некоторым советуют это как средство анти-форензик, и еще множество описаний какие файлы системы удалить и у каких групп забрать права и изменить права в ветках реестра - это бредово, так как если менять права веток реестра, то нет надобности изменять файл ntuser.dat.
Читать: https://codeby.net/threads/mif-anti-forenziki-ntuser-dat-v-ntuser-man.64225/
#forensics #windows
Форензика альтернативного потока данных (Zone.Identifier) в NTFS
Рассмотрим один из альтернативных потоков данных Zone.Identifier. Файловая система NTFS может содержать в себе несколько альтернативных потоков данных и содержать дополнительную информацию про файл. Мы разберем только файл с секцией Zone.Identifier в которой указан идентификатор зоны передачи ZoneId, он принимает значения от "0" до "4". При загрузке файла браузеры присваивают идентификатор зоны ZoneId. Посмотрим интересующие нас файлы
Читать: https://codeby.net/threads/forenzika-alternativnogo-potoka-dannyx-zone-identifier-v-ntfs.63995/
#forensics #ntfs #ads
Рассмотрим один из альтернативных потоков данных Zone.Identifier. Файловая система NTFS может содержать в себе несколько альтернативных потоков данных и содержать дополнительную информацию про файл. Мы разберем только файл с секцией Zone.Identifier в которой указан идентификатор зоны передачи ZoneId, он принимает значения от "0" до "4". При загрузке файла браузеры присваивают идентификатор зоны ZoneId. Посмотрим интересующие нас файлы
Читать: https://codeby.net/threads/forenzika-alternativnogo-potoka-dannyx-zone-identifier-v-ntfs.63995/
#forensics #ntfs #ads
usbrip: USB-форензика для Линуксов, или Как Алиса стала Евой
Около 2-х недель назад ко мне обратился знакомый (далее "Боб") с просьбой о помощи в доказательстве факта измены своей подруги (далее "Алиса"), апеллируя к тому, что "ты ж программист". Согласен, довольно необычный аргумент в такой ситуации, но технари же всесильны, разве нет)? Конечно, я согласился, ибо предстояло интересное расследование компьютерной активности в поисках аномальных следов любовника на ноутбуке подруги друга (заковыристо!), что обещало хоть как-то разбавить мои серые буди. В этой статье поговорим об опенсорсной утилите usbrip, написанной энтузиастом-соотечественником (насколько я могу судить по профилю на Гитхабе) для мониторинга истории USB-подключений под Линуксами, моем опыте ее использования и применения к "боевым" задачам.
Читать: https://codeby.net/threads/usbrip-usb-forenzika-dlja-linuksov-ili-kak-alisa-stala-evoj.63644/
#usb #linux #forensics
Около 2-х недель назад ко мне обратился знакомый (далее "Боб") с просьбой о помощи в доказательстве факта измены своей подруги (далее "Алиса"), апеллируя к тому, что "ты ж программист". Согласен, довольно необычный аргумент в такой ситуации, но технари же всесильны, разве нет)? Конечно, я согласился, ибо предстояло интересное расследование компьютерной активности в поисках аномальных следов любовника на ноутбуке подруги друга (заковыристо!), что обещало хоть как-то разбавить мои серые буди. В этой статье поговорим об опенсорсной утилите usbrip, написанной энтузиастом-соотечественником (насколько я могу судить по профилю на Гитхабе) для мониторинга истории USB-подключений под Линуксами, моем опыте ее использования и применения к "боевым" задачам.
Читать: https://codeby.net/threads/usbrip-usb-forenzika-dlja-linuksov-ili-kak-alisa-stala-evoj.63644/
#usb #linux #forensics
[Анти-Форензика] 12 бесплатных инструментов, которые навсегда удалят файлы с вашего компьютера и сделают невозможным их восстановление
1. WipeFile. WipeFile является портативным приложением, которое быстро и безопасно стирает файлы и папки. Данное приложение поддерживает 14 различных методов очистки, например, два стандарта, которые использует ВМС США, стандарт Министерства обороны США, ВВС США и НАТО. WipeFile полностью перезаписывает информацию, поэтому не существует какого-либо способа восстановить файлы либо их содержимое. 2. Eraser. Eraser навсегда удаляет файлы, папки и их ранее удаленные копии. Он перезаписывает файлы, которые были удалены, абсолютно случайными данными.
Читать: https://codeby.net/threads/anti-forenzika-12-besplatnyx-instrumentov-kotorye-navsegda-udaljat-fajly-s-vashego-kompjutera-i-sdelajut-nevozmozhnym-ix-vosstanovlenie.63419/
#security #forensics #tools
1. WipeFile. WipeFile является портативным приложением, которое быстро и безопасно стирает файлы и папки. Данное приложение поддерживает 14 различных методов очистки, например, два стандарта, которые использует ВМС США, стандарт Министерства обороны США, ВВС США и НАТО. WipeFile полностью перезаписывает информацию, поэтому не существует какого-либо способа восстановить файлы либо их содержимое. 2. Eraser. Eraser навсегда удаляет файлы, папки и их ранее удаленные копии. Он перезаписывает файлы, которые были удалены, абсолютно случайными данными.
Читать: https://codeby.net/threads/anti-forenzika-12-besplatnyx-instrumentov-kotorye-navsegda-udaljat-fajly-s-vashego-kompjutera-i-sdelajut-nevozmozhnym-ix-vosstanovlenie.63419/
#security #forensics #tools
Kali Linux. Forensic Tools
Приветствую всех пользователей и гостей Сodeby. Специально пропустил слово форум в приветствии, ибо Codeby это уже давно больше чем просто форум, у нас есть уже мобильный клиент на андроид,и IOS, скоро выйдет свой дистрибутив для пентеста, а самое главное дружное сообщество людей которым интересна тема ИБ, это я все к тому что хватит наверное тролить друг друга (камень в этот огород ) и выяснять какая операционная система лучше (камень в этот огород ), везде есть свои плюсы и минусы.
Читать: https://codeby.net/threads/kali-linux-forensic-tools.62932/
#kali #linux #forensics
Приветствую всех пользователей и гостей Сodeby. Специально пропустил слово форум в приветствии, ибо Codeby это уже давно больше чем просто форум, у нас есть уже мобильный клиент на андроид,и IOS, скоро выйдет свой дистрибутив для пентеста, а самое главное дружное сообщество людей которым интересна тема ИБ, это я все к тому что хватит наверное тролить друг друга (камень в этот огород ) и выяснять какая операционная система лучше (камень в этот огород ), везде есть свои плюсы и минусы.
Читать: https://codeby.net/threads/kali-linux-forensic-tools.62932/
#kali #linux #forensics
UsbKill. Anti-Forensic
Доброго времени суток товарищи, братья и сестры, коллеги). Хочу вас познакомить с такой штучкой как usbkill. Програмка написана на python, код есть на гитхабе. Предполагаемое использование usbkill как инструмент для усложнения работы криминалистам.
Читать: https://codeby.net/threads/usbkill-anti-forensic.62719/
#linux #usb #forensics
Доброго времени суток товарищи, братья и сестры, коллеги). Хочу вас познакомить с такой штучкой как usbkill. Програмка написана на python, код есть на гитхабе. Предполагаемое использование usbkill как инструмент для усложнения работы криминалистам.
Читать: https://codeby.net/threads/usbkill-anti-forensic.62719/
#linux #usb #forensics
iOS Forensic Toolkit Агент-экстрактор без подписи разработчика используя версию на MacOS (максимальная версия iOS 13.7)
В данном примере мы будем использовать версию iOS Forensic Toolkit на устройстве MacOS Mojave и не используя учётную запись разработчика, а используя обычную запись Apple ID. Elcomsoft разработал возможность использования Apple ID, не зарегистрированного в программе Apple для разработчиков
Нашим устройством изучения будет iPhone 7 iOS 13.7 model MN912FS/A.
Читать: https://codeby.net/threads/ios-forensic-toolkit-agent-ehkstraktor-bez-podpisi-razrabotchika-ispolzuja-versiju-na-macos-maksimalnaja-versija-ios-13-7.76073/
#ios #elcomsoft #forensics
В данном примере мы будем использовать версию iOS Forensic Toolkit на устройстве MacOS Mojave и не используя учётную запись разработчика, а используя обычную запись Apple ID. Elcomsoft разработал возможность использования Apple ID, не зарегистрированного в программе Apple для разработчиков
Нашим устройством изучения будет iPhone 7 iOS 13.7 model MN912FS/A.
Читать: https://codeby.net/threads/ios-forensic-toolkit-agent-ehkstraktor-bez-podpisi-razrabotchika-ispolzuja-versiju-na-macos-maksimalnaja-versija-ios-13-7.76073/
#ios #elcomsoft #forensics
Разбор образа устройства iOS 13.5, Elcomsoft Phone Viewer и Oxygen Forensic Detective
Это очень маленький пример для понимания что распознает Oxygen и EPV (Elcomsoft Phone Viewer). Версия Oxygen 12.0.0.151 которая была у меня в руках отработала за 32 минуты 15 секунды и я получил вот такой результат. Версия Elcomsoft Phone Viewer 5.0 build 36480 которая была у меня в руках отработала за 50 минут.
Читать: https://codeby.net/threads/razbor-obraza-ustrojstva-ios-13-5-elcomsoft-phone-viewer-i-oxygen-forensic-detective.73764/
#ios #elcomsoft #forensics
Это очень маленький пример для понимания что распознает Oxygen и EPV (Elcomsoft Phone Viewer). Версия Oxygen 12.0.0.151 которая была у меня в руках отработала за 32 минуты 15 секунды и я получил вот такой результат. Версия Elcomsoft Phone Viewer 5.0 build 36480 которая была у меня в руках отработала за 50 минут.
Читать: https://codeby.net/threads/razbor-obraza-ustrojstva-ios-13-5-elcomsoft-phone-viewer-i-oxygen-forensic-detective.73764/
#ios #elcomsoft #forensics
Криминалистический анализ команды Ping
Когда мы говорим «пинг», мы часто ограничеваем определение проверкой, жив хост или нет. На мой взгляд, хотя такое применение верно, его технические детали часто игнорируются. Многие сетевые администраторы не могут ответить, что такое пинг в деталях или как он работает. Поэтому в этой статье я собираюсь изложить некоторые моменты, которые я не знал, прежде чем начать изучение этой темы.
Читать: https://codeby.net/threads/kriminalisticheskij-analiz-komandy-ping.72342/
#forensics #ping #terminal
Когда мы говорим «пинг», мы часто ограничеваем определение проверкой, жив хост или нет. На мой взгляд, хотя такое применение верно, его технические детали часто игнорируются. Многие сетевые администраторы не могут ответить, что такое пинг в деталях или как он работает. Поэтому в этой статье я собираюсь изложить некоторые моменты, которые я не знал, прежде чем начать изучение этой темы.
Читать: https://codeby.net/threads/kriminalisticheskij-analiz-komandy-ping.72342/
#forensics #ping #terminal
Форензика приложений компаний каршеринга
Сначала думал, что получится большая статья, но сами компании каршеринга в Москве не дали мне этого сделать :) Объясню почему; я взял 4 мобильных приложения от "большой четвёрки" каршеринговых компаний Москвы. Хотя, теперь уже не только Москвы, они постепенно расползаются по регионам. Что хотелось выяснить - какую информацию о пользователе и маршруте поездки данные приложения хранят на смартфоне и насколько легко её вытащить. Методика простая - установка приложений на смартфон, бронирование автомобиля, выполнение одной типовой поездки "по району" и в общем-то всё. Далее, я планировал порыться в папках приложений без снятия физического дампа - фактически на логической копии - а если ничего не найду, то тогда уже снимать физический дамп и ковыряться в нём.
Читать: https://codeby.net/threads/forenzika-prilozhenij-kompanij-karsheringa.77703/
#forensics #android
Сначала думал, что получится большая статья, но сами компании каршеринга в Москве не дали мне этого сделать :) Объясню почему; я взял 4 мобильных приложения от "большой четвёрки" каршеринговых компаний Москвы. Хотя, теперь уже не только Москвы, они постепенно расползаются по регионам. Что хотелось выяснить - какую информацию о пользователе и маршруте поездки данные приложения хранят на смартфоне и насколько легко её вытащить. Методика простая - установка приложений на смартфон, бронирование автомобиля, выполнение одной типовой поездки "по району" и в общем-то всё. Далее, я планировал порыться в папках приложений без снятия физического дампа - фактически на логической копии - а если ничего не найду, то тогда уже снимать физический дамп и ковыряться в нём.
Читать: https://codeby.net/threads/forenzika-prilozhenij-kompanij-karsheringa.77703/
#forensics #android
