 |
|
27.07.2018, 17:28
|
|
Новичок
Регистрация: 03.03.2010
Сообщений: 0
С нами:
8522306
Репутация:
0
|
|
ФреймворкиРеал-тайм утилиты
Работа с образами (создание, клонирование)Извлечение данных, артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)- Imago - Форензика изображений
- LaZagne или как сделать, что бы работало
- DFIRTrack - Анализ и форензика систем
- Криминалистический анализ команды Ping
- usbrip: USB-форензика для Линуксов, или Как Алиса стала Евой
- Comparison of file recovery programs usb mass storage device (Windows)
- Как обнаружить присутствие вредоносного кода в файле, если антивирус молчит
- Криминалистический анализ USB - реконструкция цифровых данных с USB-накопителя
- [1 часть] Универсальный сборщик данных (Triage) с работающей системы Windows
- [2 часть] Универсальный сборщик данных (IREC) с работающей системы Windows
- [3 часть] Универсальный сборщик данных (FastIR Collector) с работающей системы Windows
- Узнаем дату установки Windows
- Какой был публичный IP-адрес устройства с Windows 10?
- Windows version detection (определение версии Windows)
- Punto Switcher снятие пароля с "Дневник" (diary.dat)
- ProcDump encryption *.dmp с помощью Mimikatz
- TeamViewer encryption tvr.cfg или разбор конфигурации TeamSpy
- Восстановление системного реестра Windows
- Восстановление удаленных записей системных журналов Windows
- Forensics Windows Registry
- Forensics Windows Registry - ntuser.dat
- Forensics Windows Registry - расшифровка и отображение всех записей UserAssist (дополнение к второму пункту статьи "Forensics Windows Registry - ntuser.dat")
- Forensics Windows Registry - история запуска программ (дополнение к статье "Forensics Windows Registry - ntuser.dat")
- Forensics Windows Registers all in one program
- Форензика Prefetch в Windows
- Форензика альтернативного потока данных (Zone.Identifier) в NTFS
- Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)
- Forensics Windows tools in Web Browser Artifacts (history, cookie, cache)
- Forensics Web Browser Artifacts (history, cookie, cache) Windows - search handmade
- Преобразование в читабельный вид Даты Времени в БД SQLite (Web Browser)
- Forensics & Hack & Malware Analysis & Reverse Engineering - Free Tools Windows
- Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk
- [1 часть] Форензика списков переходов Jump Lists в Windows 7
- [2 часть] Форензика списков переходов Jump Lists в Windows 10
- [1 часть] WINHEX. Практический пример извлечения даты и времени, из файлов ярлыков Windows
- Восстановление замененных файлов с помощью WinHex
- [1 часть] Восстановление MFT-зоны.
- [1 часть] Восстановления данных с CD дисков
- [2 часть] Восстановления данных с CD дисков
- Анализ корзины Windows в компьютерной криминалистике
- Форензика анализа Thumbs и Thumbcache в Windows
- Форензика восстановления уменьшенных изображений thumbnamil из поврежденного файла с помощью WinHex
- Один из способов доказать принадлежность фото к модели смартфона
- Анализ социальных сетей - suspect web page facebook
- RDP Cache Forensics на стороне клиента (сырые растровые изображения в виде плиток)
- RDP forensic event logs - RDP в журналах событий ОС Windows 10
- Zimmerman Tools run download Get-ZimmermanTools.ps1
- Форензика – переводы Igor_Mich Ресурсы на русском языке!
Работа с RAMАнализ сетевой и не толькоHex редакторыМобильные устройства- Android. Ищем интересности
- Android Cheatsheet (Partition, Path, Table, Description)
- iOS Cheatsheet (Path, Description, BFU, BACKUP, SYSDIAGNOSE)
- Где хранятся IP адреса в Android
- Keychain в iOS - что внутри?
- iOS извлечение и парсинг данных без джейлбрейка
- Keychain в iOS 14.1, без джейлбрейка с UFED
- Форензика приложений компаний каршеринга
- Android OS: Аптайм и общее количество запусков
- Поиск авторизации аккаунтов в приложении Instagram
- iOS 13.5 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (unc0ver)
- iOS 13.5.1 jailbreak получение данных Elcomsoft iOS Forensic Toolkit (checkra1n)
- Jailbreak и установка SSH оффлайн (3uTools, h3lix, Cydia, OpenSSL, OpenSSH)
- Особенности работы программ с iOS 12.4.9
- Извлечение физики с устройств на базе qualcomm использованием Oxygen Forensic Detective и Cellebrite UFED touch 2
- Форензика мессенджеров. WhatsApp (Kali linux)
- Cellebrite Reader не освобождает от проверки вручную файлов смартфона
- Снятие резервной копии (backup) с телефонов HUAWEI
- Резервная копия телефонов LG (LG Bridge) и извлечения данных из резервной копии
- Форензика Android, расшифровать сообщения баз данных crypt в WhatsApp
- Форензика Android, расшифровать и собрать данные из баз Viber
- Извлечение сообщений из android приложения Mamba.ru
- Пользовательские данные в android приложении Новой Почты
- [1 часть] Cпособ изъятия сообщений из базы данных Telegram (автор кода/софтUnison)
- [2 часть] Способ изъятия сообщений из базы данных Telegram и Viber (продолжение)
- [3 часть] Способ изъятия сообщений из базы данных Telegram,Viber и WhatsApp
- [4 часть] Способ изъятия сообщений из базы данных Telegram, Viber и WhatsApp (доработка модуля работы с БД Viber) доработанная программа 15.03.2020
- Криминалистическая экспертиза мобильных устройств - порядок проведения
- Снятие парольной защиты с помощью Cellebrite UFED Touch 2 на примере «SM-J510H»
Полезно знатьБиблиотекаНовости
(Содержание в котором указанны инструменты или методы получения данных или доступа,
на прямую используется в Форензике,Reverse engineering важен в криминалистических исследованиях.)СофтПолезные ссылки- Forensics - start.me (список инструментов и ресурсов с активными ссылками)
- Digital Forensics - start.me 2
- Digital Forensics - start.me 3
Данный список будет пополнятся ссылками на статьи написанные на нашем сайте&форуме, это дает Вам возможность общаться на прямую с автором,
и видеть не освещенные темы в разделе Форензик , интересующие направления есть в списке.
Важно: многие статьи дополняются описанием, инструментами и примерами (иногда стоит перечитать интересующую Вас статью).
|
|
|
28.07.2018, 21:57
|
|
Новичок
Регистрация: 30.12.2016
Сообщений: 0
С нами:
4931546
Репутация:
0
|
|
Рад, что раздел форензики стал активно развиваться. В рунете об этом не не часто информацию встретишь
|
|
|
|
28.07.2018, 23:25
|
|
Новичок
Регистрация: 18.05.2018
Сообщений: 0
С нами:
4204540
Репутация:
0
|
|
Кстати, форензика. Есть прога Elcomsoft. Подбирает пароли к Truecrypt, BitLocker. Другими словами может достаточно глубоко залесть, да и на сайте написано, что для правоохранительных органов идет. Как от нее прикрыться ?
|
|
|
|
28.07.2018, 23:40
|
|
Новичок
Регистрация: 03.03.2010
Сообщений: 0
С нами:
8522306
Репутация:
0
|
|
Sengoku сказал(а):
Кстати, форензика. Есть прога Elcomsoft. Подбирает пароли к Truecrypt, BitLocker. Другими словами может достаточно глубоко залесть, да и на сайте написано, что для правоохранительных органов идет. Как от нее прикрыться ?
есть целые комплексы, FTK, Encase, Elcomsoft, X-Way, Belkasoft - но реально перебором брутом паролей с участием видео адаптеров славится Elcomsoft и там есть метод отлома при наличии одного не зашифрованного файла и его же обязательное присутствие в зашифрованных данных, те вещи которые шифруются Truecrypt - главное что бы не сняли дамп с ОЗУ из которого могут извлечь инфу для получения ключей и не забывать что многое в системе кешируется и если она не заблокирована или ушла в спящий режим что бы не вытащили из файлов отвечающих и хранящих это. Т.е если в системе максимально ни что не кешируется, отключены индексации, файл подкачки отсутствует и настроено что при выключении (отключение драйвера мониторинга сетевой активности, очистка файла подкачки pagefile.sys при выключении Windows, фильтр записи Unified Write Filter (UWF) в Windows 10 - при включенном и настроенном фильтре все изменения с файлами и каталогами на дисках производятся в оперативной памяти и сбрасываются при перезагрузке компьютера, он защищает файловую систему выбранных разделов локальных дисков от изменений, прозрачно перенаправляя все операции записи на файловую систему в виртуальный оверлей в памяти, в котором накапливаются все файловые изменения и чистка файла Файл Windows.edb и.т.п.)
|
|
|
|
28.07.2018, 23:48
|
|
Новичок
Регистрация: 18.05.2018
Сообщений: 0
С нами:
4204540
Репутация:
0
|
|
Sunnych сказал(а):
есть целые комплексы, FTK, Encase, Elcomsoft, X-Way, Belkasoft - но реально перебором брутом паролей с участием видио адаптеров славится Elcomsoft и там есть метод отлома при наличии одного не зашифрованного файла и его же обязательное присутствие в зашифрованных данных, те вещи которые фишруюся Truecrypt - главное что бы не сняли дамп с ОЗУ из которого могут извлечь инфу для получения ключей и не забывать что многое в системе кешируется и если она не заблокирована или ушла в спяший режим что бы не вытащили из файлов отвечающих и хранящих это. Т.е если в системе максимально ни что не кешируется, отключены индексации, файл подкачки отсутствует и настроено что при выключении (отключение драйвера мониторинга сетевой активности, очистка файла подкачки pagefile.sys при выключении Windows, и.т.п.)
Джва года ждал человека знающего про этот софт. Дамп с ОЗУ - заморозка, потом выкавыривание инфы ? Если юзать внешний накопитель, а на каком-нибудь линухе раздел с подкачкой не создавать, юзать для разделов онли btrfs и ext2 ? И что если иcпользовать LUKS Nuke? Его в арсенали Elcomsoft нет, вроде как.
|
|
|
|
29.07.2018, 00:00
|
|
Новичок
Регистрация: 03.03.2010
Сообщений: 0
С нами:
8522306
Репутация:
0
|
|
Sengoku сказал(а):
Джва года ждал человека знающего про этот софт. Дамп с ОЗУ - заморозка, потом выкавыривание инфы ? Если юзать внешний накопитель, а на каком-нибудь линухе раздел с подкачкой не создавать, юзать для разделов онли btrfs и ext2 ? И что если иcпользовать LUKS Nuke? Его в арсенали Elcomsoft нет, вроде как.
очень верное направление btrfs с включенным сжатием и всем возможным для шифрации в линукс - думаю что достать оттуда информацию будет ну очень проблематично это я про линукс системы, а про windows какае то своя WinPE и моунт раздела/диска на котором важная информация в контейнере шифрованном, надеюсь направление и мысль ясны.
И не зря тут есть Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid
|
|
|
|
01.08.2018, 11:36
|
|
Новичок
Регистрация: 27.04.2010
Сообщений: 0
С нами:
8442422
Репутация:
0
|
|
Sunnych сказал(а):
очень верное направление btrfs с включенным сжатием и всем возможным для шифрации в линукс - думаю что достать оттуда информацию будет ну очень проблематично это я про линукс системы, а про windows какае то своя WinPE и моунт раздела/диска на котором важная информация в контейнере шифрованном, надеюсь направление и мысль ясны.
И не зря тут есть Курс по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid В Курсе по анонимности и безопасности в сети интернет от CODEBY.NET - Paranoid подробно разобраны интересные методы контр-форензики.
А у Elcomsoft, Belkasoftи, etc. боюсь зубы не выросли с Luks тягаться...))
В третьей части курса будет разобран простой, но 100% действующий авторский метод защиты от снятия дампа с ОЗУ. Но это не для всех.
|
|
|
|
01.10.2018, 18:50
|
|
Новичок
Регистрация: 08.12.2016
Сообщений: 0
С нами:
4962585
Репутация:
0
|
|
ghost сказал(а):
А у Elcomsoft, Belkasoftи, etc. боюсь зубы не выросли с Luks тягаться...
нуу вообще то Passware есть готовые решения решения по восстановлению LUKS ключей, и даже в утекшом в начале 2017 года Passware Kit Forensic они были, но только для 128-битного ключа, а уже в июльском обновлении добавили и 256 битные ключи
|
|
|
|
07.12.2018, 12:36
|
|
Новичок
Регистрация: 14.11.2017
Сообщений: 0
С нами:
4471185
Репутация:
0
|
|
Товарищи, подскажите, книгу по форензике Windows. Лучшую на Ваш взгляд. Обязательно наличие разбора win10.
Да я, собственно, из них и выбираю)
|
|
|
|
07.12.2018, 14:14
|
|
Новичок
Регистрация: 14.08.2015
Сообщений: 0
С нами:
5656404
Репутация:
0
|
|
Bidjo111 сказал(а):
Товарищи, подскажите, книгу по форензике Windows. Лучшую на Ваш взгляд. Обязательно наличие разбора win10.
Про лучшую не скажу, а несколько хороших книг есть здесь https://codeby.net/resources/categories/forenzika.8/
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
