ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   PHP (https://forum.antichat.xyz/forumdisplay.php?f=37)
-   -   PowerForensics - криминалистический анализ жесткого диска (https://forum.antichat.xyz/showthread.php?t=585686)

Sunnych 29.05.2019 12:49
Цель PowerForensics - предоставить всеобъемлющую среду для криминалистического анализа жесткого диска.
PowerForensics в настоящее время поддерживает файловые системы NTFS и FAT, и началась работа над поддержкой расширенной файловой системы и HFS+.
Командлеты


Запуск программы (пошаговый)

Код:


Код:
find-module -name *forensic*
https://forum.antichat.xyz/attachmen...4c62d7ee22.png

установка

Код:


Код:
Install-Module -Name PowerForensicsv2
Get-ChildItem 'C:\Program Files\WindowsPowerShell\Modules\'
https://forum.antichat.xyz/attachmen...adb0c366f4.png

Import-Module для загрузки модуля в наш текущий сеанс и Get-Command с параметром -Module для вывода списка командлетов, представленных модулем

Код:


Код:
Import-Module PowerForensicsv2
Get-Command -Module PowerForensicsv2
https://forum.antichat.xyz/attachmen...8daad1baa5.png

У нас в системе подключен (AccessData FTK Imager против Arsenal Image Mounter) криминалистический образ который был зашифрован BitLocker (Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker) в текущей системе интересующий раздел подключен буквой "F"

Invoke-ForensicDD имеет параметр -InFile, который следует использовать для указания на физический диск (\\. \PHYSICALDRIVE0) или логический том (\\. \ F . Необязательный параметр -OutFile направляет вывод в файл вместо потока вывода PowerShell. Параметры -Offset, -BlockSize и -Count предоставляют инструкции относительно того, какие данные возвращать (-Offset и -BlockSize должны делиться на размер сектора физического диска, обычно 512 байт). Как и dd в Unix, -BlockSize представляет количество байтов для чтения за один раз, в то время как -Count представляет количество блоков BlockSize для чтения. По умолчанию -Offset имеет значение 0 (начало файла), а -BlockSize имеет значение 512 (наименьшее количество байтов, которое может быть прочитано одновременно).
Cчитаем 512 байт с начала физического диска (\\. \F и передаем вывод в Format-Hex

Код:


Код:
Invoke-ForensicDD -InFile \\.\F: -Count 1 | Format-Hex
https://forum.antichat.xyz/attachmen...15435600f6.png

PowerForensics HELP

wizard76 31.05.2019 03:55
Guidance EnCase и Oxygen Forensic Toolkit тоже неплохо себя зарекомендовали.

Igor_Mich 01.06.2019 08:42
"Oxygen Forensic Toolkit тоже неплохо себя зарекомендовали " - я бы посмотрел как вы будете жесткий диск исследовать с помощью Oxygen Forensic Toolkit.

wizard76 02.06.2019 16:52
Цитата:

Igor_Mich сказал(а):

"Oxygen Forensic Toolkit тоже неплохо себя зарекомендовали " - я бы посмотрел как вы будете жесткий диск исследовать с помощью Oxygen Forensic Toolkit.
Не, чисто как дополнение, а с винта дамп снять проще FTK Imager или взять дистр типа DEFT или CAINE, для форензики само то.

euteracot 06.08.2020 12:36
Цитата:

wizard76 сказал(а):

Не, чисто как дополнение, а с винта дамп снять проще FTK Imager или взять дистр типа DEFT или CAINE, для форензики само то.
С использованием hardware блокиратора?

Sunnych 06.08.2020 14:14
Цитата:

euteracot сказал(а):

С использованием hardware блокиратора?
Да но есть и софтовые решения, в примере показан перемонтированный образ

Sunnych 04.09.2020 09:18
Цитата:

LWF сказал(а):

уважаемые знатоки!
(спрошу тут, не хочу новую тему создавать из-за одного вопроса)
почему обязательно доставать жесткий диск из ноутбука для его анализа?
что делают, если производителем не предусмотрено "доставание"?
Это делается для подключения к блокиратору или устройству дублирования - эти устройства с запретом возможности изменения информации, но есть моменты когда загружаются на устройстве с дистрибутивов которые запрещают запис
вот пример WinPE Forensics

Twister 04.10.2020 00:36
Цитата:

GTYU сказал(а):

уважаемые знатоки!
(спрошу тут, не хочу новую тему создавать из-за одного вопроса)

почему обязательно доставать жесткий диск из ноутбука для его анализа?
что делают, если производителем не предусмотрено "доставание"?
Загружаются с внешнего носителя со встроенной блокировкой записи (SUMURI Paladin, CAINE, DEFT, WinFE, SAFE Block To Go) и делают образ ним.

belforensic 16.11.2020 16:08
Цитата:

GTYU сказал(а):

почему обязательно доставать жесткий диск из ноутбука для его анализа?
что делают, если производителем не предусмотрено "доставание"?
1. потому что включая ноут можно что-нибудь спалить, надо знать пароль, да и подключив винты напрямую к мощному ПЭВМ эксперта с кучей спецПО сподручнее работать.
2. тогда включают ноут

по теме: я так понял powerforensic больше не обновляется, закрываем тему, пойдем autoPSY щупать, из бесплатного он сейчас вроде зашевелился)

Sunnych 16.11.2020 21:59
Цитата:

belforensic сказал(а):

1. потому что включая ноут можно что-нибудь спалить, надо знать пароль, да и подключив винты напрямую к мощному ПЭВМ эксперта с кучей спецПО сподручнее работать.
2. тогда включают ноут

по теме: я так понял powerforensic больше не обновляется, закрываем тему, пойдем autoPSY щупать, из бесплатного он сейчас вроде зашевелился)
Всё обновляется, все что перечислено не претерпело изменений


Время: 05:43