Форензика. Что это и как это. (https://forum.antichat.xyz/threads/562285/)
Фреймворки

Forensic Framework Volatility (https://forum.antichat.xyz/threads/562374/)

Autopsy - цифровая криминалистическая платформа (https://forum.antichat.xyz/threads/565688/)
Реал-тайм утилиты

Работа с образами (создание, клонирование)

Виртуализация криминалистических образов в Windows (https://forum.antichat.xyz/threads/564120/)

AccessData FTK Imager против Arsenal Image Mounter (https://forum.antichat.xyz/threads/567755/)

zero-click forensic imaging - инструмент для криминалистической визуализации с нулевым кликом (https://forum.antichat.xyz/threads/566744/)

macOS Catalina 10.15.1 один из способов получения копии данных для дальнейшего изучения (https://forum.antichat.xyz/threads/573087/)
Извлечение данных, артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)

Imago - Форензика изображений (https://forum.antichat.xyz/threads/566401/)

LaZagne или как сделать, что бы работало (https://forum.antichat.xyz/threads/568141/)

DFIRTrack - Анализ и форензика систем (https://forum.antichat.xyz/threads/566402/)

Криминалистический анализ команды Ping (https://forum.antichat.xyz/threads/572342/)

usbrip: USB-форензика для Линуксов, или Как Алиса стала Евой (https://forum.antichat.xyz/threads/563644/)

Comparison of file recovery programs usb mass storage device (Windows) (https://forum.antichat.xyz/threads/564198/)

Как обнаружить присутствие вредоносного кода в файле, если антивирус молчит (https://forum.antichat.xyz/threads/570601/)

Криминалистический анализ USB - реконструкция цифровых данных с USB-накопителя (https://forum.antichat.xyz/threads/564753/)

[1 часть] Универсальный сборщик данных (Triage) с работающей системы Windows (https://forum.antichat.xyz/threads/564077/)

[2 часть] Универсальный сборщик данных (IREC) с работающей системы Windows (https://forum.antichat.xyz/threads/564078/)

[3 часть] Универсальный сборщик данных (FastIR Collector) с работающей системы Windows (https://forum.antichat.xyz/threads/564216/)

Узнаем дату установки Windows (https://forum.antichat.xyz/threads/565040/)

Какой был публичный IP-адрес устройства с Windows 10? (https://forum.antichat.xyz/threads/568911/)

Windows version detection (определение версии Windows) (https://forum.antichat.xyz/threads/566524/)

Punto Switcher снятие пароля с "Дневник" (diary.dat) (https://forum.antichat.xyz/threads/567089/)

ProcDump encryption *.dmp с помощью Mimikatz (https://forum.antichat.xyz/threads/567684/)

TeamViewer encryption tvr.cfg или разбор конфигурации TeamSpy (https://forum.antichat.xyz/threads/567635/)

Восстановление системного реестра Windows (https://forum.antichat.xyz/threads/575707/)

Восстановление удаленных записей системных журналов Windows (https://forum.antichat.xyz/threads/577824/)

Forensics Windows Registry (https://forum.antichat.xyz/threads/564135/)

Forensics Windows Registry - ntuser.dat (https://forum.antichat.xyz/threads/564148/)

Forensics Windows Registry - расшифровка и отображение всех записей UserAssist (https://forum.antichat.xyz/threads/564342/) (дополнение к второму пункту статьи "Forensics Windows Registry - ntuser.dat")

Forensics Windows Registry - история запуска программ (https://forum.antichat.xyz/threads/564397/) (дополнение к статье "Forensics Windows Registry - ntuser.dat")

Forensics Windows Registers all in one program (https://forum.antichat.xyz/threads/564161/)

Форензика Prefetch в Windows (https://forum.antichat.xyz/threads/564127/)

Форензика альтернативного потока данных (Zone.Identifier) в NTFS (https://forum.antichat.xyz/threads/563995/)

Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache) (https://forum.antichat.xyz/threads/564181/)

Forensics Windows tools in Web Browser Artifacts (history, cookie, cache) (https://forum.antichat.xyz/threads/564425/)

Forensics Web Browser Artifacts (history, cookie, cache) Windows - search handmade (https://forum.antichat.xyz/threads/564210/)

Преобразование в читабельный вид Даты Времени в БД SQLite (Web Browser) (https://forum.antichat.xyz/threads/565251/)

Forensics & Hack & Malware Analysis & Reverse Engineering - Free Tools Windows (https://forum.antichat.xyz/threads/564128/)

Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk (https://forum.antichat.xyz/threads/564230/)

[1 часть] Форензика списков переходов Jump Lists в Windows 7 (https://forum.antichat.xyz/threads/564666/)

[2 часть] Форензика списков переходов Jump Lists в Windows 10 (https://forum.antichat.xyz/threads/564725/)

[1 часть] WINHEX. Практический пример извлечения даты и времени, из файлов ярлыков Windows (https://forum.antichat.xyz/threads/564400/)

Восстановление замененных файлов с помощью WinHex (https://forum.antichat.xyz/threads/564215/)

[1 часть] Восстановление MFT-зоны. (https://forum.antichat.xyz/threads/564559/unread)

[1 часть] Восстановления данных с CD дисков (https://forum.antichat.xyz/threads/564234/)

[2 часть] Восстановления данных с CD дисков (https://forum.antichat.xyz/threads/564313/)

Анализ корзины Windows в компьютерной криминалистике (https://forum.antichat.xyz/threads/564373/)

Форензика анализа Thumbs и Thumbcache в Windows (https://forum.antichat.xyz/threads/564405/)

Форензика восстановления уменьшенных изображений thumbnamil из поврежденного файла с помощью WinHex (https://forum.antichat.xyz/threads/564595/)

Один из способов доказать принадлежность фото к модели смартфона (https://forum.antichat.xyz/threads/568796/)

Анализ социальных сетей - suspect web page facebook (https://forum.antichat.xyz/threads/564539/)

RDP Cache Forensics на стороне клиента (https://forum.antichat.xyz/threads/564854/) (сырые растровые изображения в виде плиток)

RDP forensic event logs - RDP в журналах событий ОС Windows 10 (https://forum.antichat.xyz/threads/566245/)

Zimmerman Tools run download Get-ZimmermanTools.ps1 (https://forum.antichat.xyz/threads/566487/)

Форензика – переводы Igor_Mich (https://forum.antichat.xyz/threads/568004/) Ресурсы на русском языке!
Работа с RAM

Снятие образа RAM памяти с windows и linux (https://forum.antichat.xyz/threads/562544/)

Расшифровываем криптоконтейнер TrueCrypt с помощью Volatility и MKDecrypt. (https://forum.antichat.xyz/threads/574360/)
Анализ сетевой и не только

Как Игорь Volatility framework изучал и сетевой дамп смотрел (https://forum.antichat.xyz/threads/574669/)

Выявление RAT на основе API Telegram (https://forum.antichat.xyz/threads/574459/)

Разбор логов и скан IP (Python) (https://forum.antichat.xyz/threads/565487/)

PcapXray – GUI сетевой криминалистический инструмент для анализа захвата пакетов оффлайн (https://forum.antichat.xyz/threads/564470/)

Linux-explorer - Forensic toolbox. (https://forum.antichat.xyz/threads/564176/)
Hex редакторы

Восстановление замененных файлов с помощью Winhex (https://forum.antichat.xyz/threads/564215/)
Мобильные устройства

Android. Ищем интересности (https://forum.antichat.xyz/threads/563173/)

Android Cheatsheet (Partition, Path, Table, Description) (https://forum.antichat.xyz/threads/576999/)

iOS Cheatsheet (Path, Description, BFU, BACKUP, SYSDIAGNOSE) (https://forum.antichat.xyz/threads/577000/)

Где хранятся IP адреса в Android (https://forum.antichat.xyz/threads/573103/)

Keychain в iOS - что внутри? (https://forum.antichat.xyz/threads/575274/)

iOS извлечение и парсинг данных без джейлбрейка (https://forum.antichat.xyz/threads/575849/)

Keychain в iOS 14.1, без джейлбрейка с UFED (https://forum.antichat.xyz/threads/575721/)

Форензика приложений компаний каршеринга (https://forum.antichat.xyz/threads/577703/)

Android OS: Аптайм и общее количество запусков (https://forum.antichat.xyz/threads/568223/)

Поиск авторизации аккаунтов в приложении Instagram (https://forum.antichat.xyz/threads/574053/)

iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver) (https://forum.antichat.xyz/threads/573738/)

iOS 13.5.1 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (checkra1n) (https://forum.antichat.xyz/threads/574429/)

Jailbreak и установка SSH оффлайн (3uTools, h3lix, Cydia, OpenSSL, OpenSSH) (https://forum.antichat.xyz/threads/576129/)

Особенности работы программ с iOS 12.4.9 (https://forum.antichat.xyz/threads/575941/)

Извлечение физики с устройств на базе qualcomm использованием Oxygen Forensic Detective и Cellebrite UFED touch 2 (https://forum.antichat.xyz/threads/578176/unread)

Форензика мессенджеров. WhatsApp (Kali linux) (https://forum.antichat.xyz/threads/564496/)

Cellebrite Reader не освобождает от проверки вручную файлов смартфона (https://forum.antichat.xyz/threads/567889/)

Снятие резервной копии (backup) с телефонов HUAWEI (https://forum.antichat.xyz/threads/569809/)

Резервная копия телефонов LG (LG Bridge) и извлечения данных из резервной копии (https://forum.antichat.xyz/threads/574703/unread)

Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp (https://forum.antichat.xyz/threads/564334/)

Форензика Android, расшифровать и собрать данные из баз Viber (https://forum.antichat.xyz/threads/564386/)

Извлечение сообщений из android приложения Mamba.ru (https://forum.antichat.xyz/threads/576085/)

Пользовательские данные в android приложении Новой Почты (https://forum.antichat.xyz/threads/578045/)

[1 часть] Cпособ изъятия сообщений из базы данных Telegram (https://forum.antichat.xyz/threads/564746/) (автор кода/софтUnison (https://forum.antichat.xyz/members/600259/))

[2 часть] Способ изъятия сообщений из базы данных Telegram и Viber (https://forum.antichat.xyz/threads/564784/) (продолжение)

[3 часть] Способ изъятия сообщений из базы данных Telegram,Viber и WhatsApp (https://forum.antichat.xyz/threads/565060/)

[4 часть] Способ изъятия сообщений из базы данных Telegram, Viber и WhatsApp (доработка модуля работы с БД Viber) (https://forum.antichat.xyz/threads/566076/) доработанная программа 15.03.2020

Криминалистическая экспертиза мобильных устройств - порядок проведения (https://forum.antichat.xyz/threads/567695/)

Снятие парольной защиты с помощью Cellebrite UFED Touch 2 на примере «SM-J510H» (https://forum.antichat.xyz/threads/577778/)
Полезно знать

Kali Linux. Forensic Tools (https://forum.antichat.xyz/threads/562932/)

UsbKill. Anti-Forensic (https://forum.antichat.xyz/threads/562719/)

Миф Анти-форензики ntuser.dat в ntuser.man (https://forum.antichat.xyz/threads/564225/)

Диски GPT и MBR – разбор полётов (https://forum.antichat.xyz/threads/576016/)

Реальные примеры Цифровой Криминалистики. Что происходит с Вашими устройствами? (https://forum.antichat.xyz/threads/581424/)
Библиотека

Форензика
Новости
(Содержание в котором указанны инструменты или методы получения данных или доступа,

на прямую используется в Форензике,Reverse engineering (https://forum.antichat.xyz/forums/reverse-engineering.189/) важен в криминалистических исследованиях.)

Инструкция по анализу файла PCAP с помощью XPLICO - инструмента криминалистического сетевого анализа (https://forum.antichat.xyz/threads/564642/)

Самые важные инструменты для обеспечения безопасности и проведения пентеста для хакеров и специалистов в сфере безопасности (https://forum.antichat.xyz/threads/564352/) (полный захват пакетов / Форензика)

Фреймворк RouterSploit для работы со встроенными устройствами (https://forum.antichat.xyz/threads/564146/) (доступ к роутерам)

20 лучших root приложений для Android в 2018 (https://forum.antichat.xyz/threads/563789/) (приложение для управления файлами, Backup и.т.п)

Компания Apple выпустила обновления безопасности для Safari, iCloud, iOS, macOS, watchOS, iTunes (https://forum.antichat.xyz/threads/563925/)

[Анти-Форензика] 12 бесплатных инструментов, которые навсегда удалят файлы с вашего компьютера и сделают невозможным их восстановление (https://forum.antichat.xyz/threads/563419/)
Софт

WinPE Forensics (https://forum.antichat.xyz/threads/566954/)

Цифровая Криминалистика. CSI LINUX (https://forum.antichat.xyz/threads/581354/)

7-Zip plugins\Forensic7z - открытие и просмотр образов ASR, E01, L01, AFF, AD1 (https://forum.antichat.xyz/threads/567550/)

Elcomsoft System Recovery (сброс и восстановление оригинальных паролей) (https://forum.antichat.xyz/threads/576203/)

Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker (https://forum.antichat.xyz/threads/567823/)

Разбор образа устройства iOS 13.5, Elcomsoft Phone Viewer и Oxygen Forensic Detective (https://forum.antichat.xyz/threads/573764/)

Elcomsoft iOS Forensic Toolkit Агент-экстрактор - извлечение данных без джейлбрейка (https://forum.antichat.xyz/threads/574636/)

iOS Forensic Toolkit Агент-экстрактор без подписи разработчика используя версию на MacOS (максимальная версия iOS 13.7) (https://forum.antichat.xyz/threads/576073/)

KAPE (Kroll Artifact Parser and Extractor) - парсер и экстрактор артефактов (https://forum.antichat.xyz/threads/567864/)

PowerForensics - криминалистический анализ жесткого диска (https://forum.antichat.xyz/threads/567886/)

Обзор PPEE, Инструмент для детального изучения файлов (https://forum.antichat.xyz/threads/575315/)

Forensic Scanner - Author H.Carvey (https://forum.antichat.xyz/threads/567055/)

Fastir Collector - Author Sébastien Larinier (https://forum.antichat.xyz/threads/567056/)

Hindsight - Форензика Google/Chronium (https://forum.antichat.xyz/threads/564174/)

Event Log Explorer for Windows event log analysis (https://forum.antichat.xyz/threads/567059/)

EventFinder2 - экспорт всех журналов Windows EVTX за указанный промежуток времени (https://forum.antichat.xyz/threads/567402/)

Linux-explorer - Forensic toolbox (https://forum.antichat.xyz/threads/564176/)

Browser Forensic Tool (https://forum.antichat.xyz/threads/564406/)

USB Detective - поиск артефактов подключаемых устройств USB (https://forum.antichat.xyz/threads/567842/)

USBStealer - WebBrowserPssView, ChromePass, USBStealer.exe (https://forum.antichat.xyz/threads/564511/)

Skype Log Viewer , SkypeFreak - Смотрим логи Skype (https://forum.antichat.xyz/threads/564526/)

IPhone Analyzer - Инструмент форензики IPhone (https://forum.antichat.xyz/threads/564542/)

LaZagne - Восстанавливаем пароли в Windows и Linux (https://forum.antichat.xyz/threads/564628/)

Guasap - Форензика WhatsApp (https://forum.antichat.xyz/threads/564669/)

Альтернативный поток данных (Zone.Identifier) в NTFS (https://forum.antichat.xyz/threads/567832/)

Несколько инструментов для восстановления удаленных данных с носителей. (https://forum.antichat.xyz/threads/569066/)

Инструмент для анализа изображений "sherloq" (https://forum.antichat.xyz/threads/579615/)
Полезные ссылки

Forensics - start.me (список инструментов и ресурсов с активными ссылками)

Digital Forensics - start.me 2

Digital Forensics - start.me 3
Данный список будет пополнятся ссылками на статьи написанные на нашем сайте&форуме, это дает Вам возможность общаться на прямую с автором,

и видеть не освещенные темы в разделе Форензик , интересующие направления есть в списке.
Важно: многие статьи дополняются описанием, инструментами и примерами (иногда стоит перечитать интересующую Вас статью).

Рад, что раздел форензики стал активно развиваться. В рунете об этом не не часто информацию встретишь

Кстати, форензика. Есть прога Elcomsoft. Подбирает пароли к Truecrypt, BitLocker. Другими словами может достаточно глубоко залесть, да и на сайте написано, что для правоохранительных органов идет. Как от нее прикрыться ?

Sengoku сказал(а):

Кстати, форензика. Есть прога Elcomsoft. Подбирает пароли к Truecrypt, BitLocker. Другими словами может достаточно глубоко залесть, да и на сайте написано, что для правоохранительных органов идет. Как от нее прикрыться ?


есть целые комплексы, FTK, Encase, Elcomsoft, X-Way, Belkasoft - но реально перебором брутом паролей с участием видео адаптеров славится Elcomsoft и там есть метод отлома при наличии одного не зашифрованного файла и его же обязательное присутствие в зашифрованных данных, те вещи которые шифруются Truecrypt - главное что бы не сняли дамп с ОЗУ из которого могут извлечь инфу для получения ключей и не забывать что многое в системе кешируется и если она не заблокирована или ушла в спящий режим что бы не вытащили из файлов отвечающих и хранящих это. Т.е если в системе максимально ни что не кешируется, отключены индексации, файл подкачки отсутствует и настроено что при выключении (отключение драйвера мониторинга сетевой активности, очистка файла подкачки pagefile.sys при выключении Windows, фильтр записи Unified Write Filter (UWF) в Windows 10 - при включенном и настроенном фильтре все изменения с файлами и каталогами на дисках производятся в оперативной памяти и сбрасываются при перезагрузке компьютера, он защищает файловую систему выбранных разделов локальных дисков от изменений, прозрачно перенаправляя все операции записи на файловую систему в виртуальный оверлей в памяти, в котором накапливаются все файловые изменения и чистка файла Файл Windows.edb и.т.п.)

Sunnych сказал(а):

есть целые комплексы, FTK, Encase, Elcomsoft, X-Way, Belkasoft - но реально перебором брутом паролей с участием видио адаптеров славится Elcomsoft и там есть метод отлома при наличии одного не зашифрованного файла и его же обязательное присутствие в зашифрованных данных, те вещи которые фишруюся Truecrypt - главное что бы не сняли дамп с ОЗУ из которого могут извлечь инфу для получения ключей и не забывать что многое в системе кешируется и если она не заблокирована или ушла в спяший режим что бы не вытащили из файлов отвечающих и хранящих это. Т.е если в системе максимально ни что не кешируется, отключены индексации, файл подкачки отсутствует и настроено что при выключении (отключение драйвера мониторинга сетевой активности, очистка файла подкачки pagefile.sys при выключении Windows, и.т.п.)

Джва года ждал человека знающего про этот софт. Дамп с ОЗУ - заморозка, потом выкавыривание инфы ? Если юзать внешний накопитель, а на каком-нибудь линухе раздел с подкачкой не создавать, юзать для разделов онли btrfs и ext2 ? И что если иcпользовать LUKS Nuke? Его в арсенали Elcomsoft нет, вроде как.

Sengoku сказал(а):

Джва года ждал человека знающего про этот софт. Дамп с ОЗУ - заморозка, потом выкавыривание инфы ? Если юзать внешний накопитель, а на каком-нибудь линухе раздел с подкачкой не создавать, юзать для разделов онли btrfs и ext2 ? И что если иcпользовать LUKS Nuke? Его в арсенали Elcomsoft нет, вроде как.

очень верное направление btrfs с включенным сжатием и всем возможным для шифрации в линукс - думаю что достать оттуда информацию будет ну очень проблематично это я про линукс системы, а про windows какае то своя WinPE и моунт раздела/диска на котором важная информация в контейнере шифрованном, надеюсь направление и мысль ясны.
И не зря тут есть Курс по анонимности и безопасности в сети интернет (https://forum.antichat.xyz/threads/563123/) от CODEBY.NET - Paranoid

Sunnych сказал(а):

очень верное направление btrfs с включенным сжатием и всем возможным для шифрации в линукс - думаю что достать оттуда информацию будет ну очень проблематично это я про линукс системы, а про windows какае то своя WinPE и моунт раздела/диска на котором важная информация в контейнере шифрованном, надеюсь направление и мысль ясны.
И не зря тут есть Курс по анонимности и безопасности в сети интернет (https://forum.antichat.xyz/threads/563123/) от CODEBY.NET - Paranoid

В Курсе по анонимности и безопасности в сети интернет (https://forum.antichat.xyz/threads/563123/) от CODEBY.NET - Paranoid подробно разобраны интересные методы контр-форензики.
А у Elcomsoft, Belkasoftи, etc. боюсь зубы не выросли с Luks тягаться...))
В третьей части курса будет разобран простой, но 100% действующий авторский метод защиты от снятия дампа с ОЗУ. Но это не для всех.

ghost сказал(а):

А у Elcomsoft, Belkasoftи, etc. боюсь зубы не выросли с Luks тягаться...


нуу вообще то Passware есть готовые решения решения по восстановлению LUKS ключей, и даже в утекшом в начале 2017 года Passware Kit Forensic они были, но только для 128-битного ключа, а уже в июльском обновлении добавили и 256 битные ключи

Товарищи, подскажите, книгу по форензике Windows. Лучшую на Ваш взгляд. Обязательно наличие разбора win10.

Да я, собственно, из них и выбираю)

Bidjo111 сказал(а):

Товарищи, подскажите, книгу по форензике Windows. Лучшую на Ваш взгляд. Обязательно наличие разбора win10.


Про лучшую не скажу, а несколько хороших книг есть здесь https://codeby.net/resources/categories/forenzika.8/

Bidjo111 сказал(а):

Обязательно наличие разбора win10.


Если Вы посмотрите все публикации которые появлялись то заметите что только в публикациях есть описания новых моментов windows 8.1/10, если Вы найдёте название или isbn книги о forensic windows 10 то просто озвучите поищем, я кроме публикаций и обрывков закрытых курсов ни чего не видел, и само собой личные исследования.
Как разница этих моментов не случайно в названии указано [2 часть] Форензика списков переходов Jump Lists в Windows 10 (https://forum.antichat.xyz/threads/564725/), а вот тутForensics Windows Registry - история запуска программ (https://forum.antichat.xyz/threads/564397/)"цитата:LastUpdateTime не существует в системах Win7/8/10"
и вот такие моменты у нас в статьях описаны "Важно:BAM - это служба Windows, которая контролирует активность фоновых приложений.Эта служба существует только в новых версиях в Windows 10 начиная с обновления Fall Creators 1709. "

Вы лучшие!