Фреймворки

• Forensic Framework Volatility
  
• Autopsy - цифровая криминалистическая платформа

Реал-тайм утилиты

Работа с образами (создание, клонирование)

• Виртуализация криминалистических образов в Windows
  
• AccessData FTK Imager против Arsenal Image Mounter
  
• zero-click forensic imaging - инструмент для криминалистической визуализации с нулевым кликом
  
• macOS Catalina 10.15.1 один из способов получения копии данных для дальнейшего изучения

Извлечение данных, артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)

• Imago - Форензика изображений
  
• LaZagne или как сделать, что бы работало
  
• DFIRTrack - Анализ и форензика систем
  
• Криминалистический анализ команды Ping
  
• usbrip: USB-форензика для Линуксов, или Как Алиса стала Евой
  
• Comparison of file recovery programs usb mass storage device (Windows)
  
• Как обнаружить присутствие вредоносного кода в файле, если антивирус молчит
  
• Криминалистический анализ USB - реконструкция цифровых данных с USB-накопителя
  
• [1 часть] Универсальный сборщик данных (Triage) с работающей системы Windows
  
• [2 часть] Универсальный сборщик данных (IREC) с работающей системы Windows
  
• [3 часть] Универсальный сборщик данных (FastIR Collector) с работающей системы Windows
  
• Узнаем дату установки Windows
  
• Какой был публичный IP-адрес устройства с Windows 10?
  
• Windows version detection (определение версии Windows)
  
• Punto Switcher снятие пароля с "Дневник" (diary.dat)
  
• ProcDump encryption *.dmp с помощью Mimikatz
  
• TeamViewer encryption tvr.cfg или разбор конфигурации TeamSpy
  
• Восстановление системного реестра Windows
  
• Восстановление удаленных записей системных журналов Windows
  
• Forensics Windows Registry
  
• Forensics Windows Registry - ntuser.dat
  
• Forensics Windows Registry - расшифровка и отображение всех записей UserAssist (дополнение к второму пункту статьи "Forensics Windows Registry - ntuser.dat")
  
• Forensics Windows Registry - история запуска программ (дополнение к статье "Forensics Windows Registry - ntuser.dat")
  
• Forensics Windows Registers all in one program
  
• Форензика Prefetch в Windows
  
• Форензика альтернативного потока данных (Zone.Identifier) в NTFS
  
• Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)
  
• Forensics Windows tools in Web Browser Artifacts (history, cookie, cache)
  
• Forensics Web Browser Artifacts (history, cookie, cache) Windows - search handmade
  
• Преобразование в читабельный вид Даты Времени в БД SQLite (Web Browser)
  
• Forensics & Hack & Malware Analysis & Reverse Engineering - Free Tools Windows
  
• Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk
  
• [1 часть] Форензика списков переходов Jump Lists в Windows 7
  
• [2 часть] Форензика списков переходов Jump Lists в Windows 10
  
• [1 часть] WINHEX. Практический пример извлечения даты и времени, из файлов ярлыков Windows
  
• Восстановление замененных файлов с помощью WinHex
  
• [1 часть] Восстановление MFT-зоны.
  
• [1 часть] Восстановления данных с CD дисков
  
• [2 часть] Восстановления данных с CD дисков
  
• Анализ корзины Windows в компьютерной криминалистике
  
• Форензика анализа Thumbs и Thumbcache в Windows
  
• Форензика восстановления уменьшенных изображений thumbnamil из поврежденного файла с помощью WinHex
  
• Один из способов доказать принадлежность фото к модели смартфона
  
• Анализ социальных сетей - suspect web page facebook
  
• RDP Cache Forensics на стороне клиента (сырые растровые изображения в виде плиток)
  
• RDP forensic event logs - RDP в журналах событий ОС Windows 10
  
• Zimmerman Tools run download Get-ZimmermanTools.ps1
  
• Форензика – переводы Igor_Mich Ресурсы на русском языке!

Работа с RAM

• Снятие образа RAM памяти с windows и linux
  
• Расшифровываем криптоконтейнер TrueCrypt с помощью Volatility и MKDecrypt.

Анализ сетевой и не только

• Как Игорь Volatility framework изучал и сетевой дамп смотрел
  
• Выявление RAT на основе API Telegram
  
• Разбор логов и скан IP (Python)
  
• PcapXray – GUI сетевой криминалистический инструмент для анализа захвата пакетов оффлайн
  
• Linux-explorer - Forensic toolbox.

Hex редакторы

• Восстановление замененных файлов с помощью Winhex

Мобильные устройства

• Android. Ищем интересности
  
• Android Cheatsheet (Partition, Path, Table, Description)
  
• iOS Cheatsheet (Path, Description, BFU, BACKUP, SYSDIAGNOSE)
  
• Где хранятся IP адреса в Android
  
• Keychain в iOS - что внутри?
  
• iOS извлечение и парсинг данных без джейлбрейка
  
• Keychain в iOS 14.1, без джейлбрейка с UFED
  
• Форензика приложений компаний каршеринга
  
• Android OS: Аптайм и общее количество запусков
  
• Поиск авторизации аккаунтов в приложении Instagram
  
• iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)
  
• iOS 13.5.1 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (checkra1n)
  
• Jailbreak и установка SSH оффлайн (3uTools, h3lix, Cydia, OpenSSL, OpenSSH)
  
• Особенности работы программ с iOS 12.4.9
  
• Извлечение физики с устройств на базе qualcomm использованием Oxygen Forensic Detective и Cellebrite UFED touch 2
  
• Форензика мессенджеров. WhatsApp (Kali linux)
  
• Cellebrite Reader не освобождает от проверки вручную файлов смартфона
  
• Снятие резервной копии (backup) с телефонов HUAWEI
  
• Резервная копия телефонов LG (LG Bridge) и извлечения данных из резервной копии
  
• Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp
  
• Форензика Android, расшифровать и собрать данные из баз Viber
  
• Извлечение сообщений из android приложения Mamba.ru
  
• Пользовательские данные в android приложении Новой Почты
  
• [1 часть] Cпособ изъятия сообщений из базы данных Telegram (автор кода/софтUnison)
  
• [2 часть] Способ изъятия сообщений из базы данных Telegram и Viber (продолжение)
  
• [3 часть] Способ изъятия сообщений из базы данных Telegram,Viber и WhatsApp
  
• [4 часть] Способ изъятия сообщений из базы данных Telegram, Viber и WhatsApp (доработка модуля работы с БД Viber) доработанная программа 15.03.2020
  
• Криминалистическая экспертиза мобильных устройств - порядок проведения
  
• Снятие парольной защиты с помощью Cellebrite UFED Touch 2 на примере «SM-J510H»

Полезно знать

• Kali Linux. Forensic Tools
  
• UsbKill. Anti-Forensic
  
• Миф Анти-форензики ntuser.dat в ntuser.man
  
• Диски GPT и MBR – разбор полётов
  
• Реальные примеры Цифровой Криминалистики. Что происходит с Вашими устройствами?

Библиотека

• Форензика

Новости
(Содержание в котором указанны инструменты или методы получения данных или доступа,

на прямую используется в Форензике,Reverse engineering важен в криминалистических исследованиях.)

• Инструкция по анализу файла PCAP с помощью XPLICO - инструмента криминалистического сетевого анализа
  
• Самые важные инструменты для обеспечения безопасности и проведения пентеста для хакеров и специалистов в сфере безопасности (полный захват пакетов / Форензика)
  
• Фреймворк RouterSploit для работы со встроенными устройствами (доступ к роутерам)
  
• 20 лучших root приложений для Android в 2018 (приложение для управления файлами, Backup и.т.п)
  
• Компания Apple выпустила обновления безопасности для Safari, iCloud, iOS, macOS, watchOS, iTunes
  
• [Анти-Форензика] 12 бесплатных инструментов, которые навсегда удалят файлы с вашего компьютера и сделают невозможным их восстановление

Софт

• WinPE Forensics
  
• Цифровая Криминалистика. CSI LINUX
  
• 7-Zip plugins\Forensic7z - открытие и просмотр образов ASR, E01, L01, AFF, AD1
  
• Elcomsoft System Recovery (сброс и восстановление оригинальных паролей)
  
• Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker
  
• Разбор образа устройства iOS 13.5, Elcomsoft Phone Viewer и Oxygen Forensic Detective
  
• Elcomsoft iOS Forensic Toolkit Агент-экстрактор - извлечение данных без джейлбрейка
  
• iOS Forensic Toolkit Агент-экстрактор без подписи разработчика используя версию на MacOS (максимальная версия iOS 13.7)
  
• KAPE (Kroll Artifact Parser and Extractor) - парсер и экстрактор артефактов
  
• PowerForensics - криминалистический анализ жесткого диска
  
• Обзор PPEE, Инструмент для детального изучения файлов
  
• Forensic Scanner - Author H.Carvey
  
• Fastir Collector - Author Sébastien Larinier
  
• Hindsight - Форензика Google/Chronium
  
• Event Log Explorer for Windows event log analysis
  
• EventFinder2 - экспорт всех журналов Windows EVTX за указанный промежуток времени
  
• Linux-explorer - Forensic toolbox
  
• Browser Forensic Tool
  
• USB Detective - поиск артефактов подключаемых устройств USB
  
• USBStealer - WebBrowserPssView, ChromePass, USBStealer.exe
  
• Skype Log Viewer , SkypeFreak - Смотрим логи Skype
  
• IPhone Analyzer - Инструмент форензики IPhone
  
• LaZagne - Восстанавливаем пароли в Windows и Linux
  
• Guasap - Форензика WhatsApp
  
• Альтернативный поток данных (Zone.Identifier) в NTFS
  
• Несколько инструментов для восстановления удаленных данных с носителей.
  
• Инструмент для анализа изображений "sherloq"

Полезные ссылки

• Forensics - start.me (список инструментов и ресурсов с активными ссылками)
  
• Digital Forensics - start.me 2
  
• Digital Forensics - start.me 3

Важно: многие статьи дополняются описанием, инструментами и примерами (иногда стоит перечитать интересующую Вас статью).

Рад, что раздел форензики стал активно развиваться. В рунете об этом не не часто информацию встретишь

Кстати, форензика. Есть прога Elcomsoft. Подбирает пароли к Truecrypt, BitLocker. Другими словами может достаточно глубоко залесть, да и на сайте написано, что для правоохранительных органов идет. Как от нее прикрыться ?

есть целые комплексы, FTK, Encase, Elcomsoft, X-Way, Belkasoft - но реально перебором брутом паролей с участием видео адаптеров славится Elcomsoft и там есть метод отлома при наличии одного не зашифрованного файла и его же обязательное присутствие в зашифрованных данных, те вещи которые шифруются Truecrypt - главное что бы не сняли дамп с ОЗУ из которого могут извлечь инфу для получения ключей и не забывать что многое в системе кешируется и если она не заблокирована или ушла в спящий режим что бы не вытащили из файлов отвечающих и хранящих это. Т.е если в системе максимально ни что не кешируется, отключены индексации, файл подкачки отсутствует и настроено что при выключении (отключение драйвера мониторинга сетевой активности, очистка файла подкачки pagefile.sys при выключении Windows, фильтр записи Unified Write Filter (UWF) в Windows 10 - при включенном и настроенном фильтре все изменения с файлами и каталогами на дисках производятся в оперативной памяти и сбрасываются при перезагрузке компьютера, он защищает файловую систему выбранных разделов локальных дисков от изменений, прозрачно перенаправляя все операции записи на файловую систему в виртуальный оверлей в памяти, в котором накапливаются все файловые изменения и чистка файла Файл Windows.edb и.т.п.)

Джва года ждал человека знающего про этот софт. Дамп с ОЗУ - заморозка, потом выкавыривание инфы ? Если юзать внешний накопитель, а на каком-нибудь линухе раздел с подкачкой не создавать, юзать для разделов онли btrfs и ext2 ? И что если иcпользовать LUKS Nuke? Его в арсенали Elcomsoft нет, вроде как.

очень верное направление btrfs с включенным сжатием и всем возможным для шифрации в линукс - думаю что достать оттуда информацию будет ну очень проблематично это я про линукс системы, а про windows какае то своя WinPE и моунт раздела/диска на котором важная информация в контейнере шифрованном, надеюсь направление и мысль ясны.
И не зря тут есть Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid

В Курсе по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid подробно разобраны интересные методы контр-форензики.
А у Elcomsoft, Belkasoftи, etc. боюсь зубы не выросли с Luks тягаться...))
В третьей части курса будет разобран простой, но 100% действующий авторский метод защиты от снятия дампа с ОЗУ. Но это не для всех.

нуу вообще то Passware есть готовые решения решения по восстановлению LUKS ключей, и даже в утекшом в начале 2017 года Passware Kit Forensic они были, но только для 128-битного ключа, а уже в июльском обновлении добавили и 256 битные ключи

Товарищи, подскажите, книгу по форензике Windows. Лучшую на Ваш взгляд. Обязательно наличие разбора win10.

Да я, собственно, из них и выбираю)

Про лучшую не скажу, а несколько хороших книг есть здесь https://codeby.net/resources/categories/forenzika.8/

Если Вы посмотрите все публикации которые появлялись то заметите что только в публикациях есть описания новых моментов windows 8.1/10, если Вы найдёте название или isbn книги о forensic windows 10 то просто озвучите поищем, я кроме публикаций и обрывков закрытых курсов ни чего не видел, и само собой личные исследования.
Как разница этих моментов не случайно в названии указано [2 часть] Форензика списков переходов Jump Lists в Windows 10, а вот тутForensics Windows Registry - история запуска программ"цитата:LastUpdateTime не существует в системах Win7/8/10"
и вот такие моменты у нас в статьях описаны "Важно:BAM - это служба Windows, которая контролирует активность фоновых приложений.Эта служба существует только в новых версиях в Windows 10 начиная с обновления Fall Creators 1709. "

Вы лучшие!