Форензика - компьютерная криминалистика. Ч.2.

Поехали:
Создание образа диска, раздела или отдельного сектора:
  • FTK Imager — неплохой инструмент для клонирования носителей данных в Windows.
  • dc3dd (а также adulau/dcfldd) — улучшенные версии стандартной консольной утилиты dd в Linux.
  • Guymager — специализированное приложение для создания точных копий носителей (написано на C++, на базе Qt).
  • Paragon или Acronis — комбайны «все в одном» для просмотра, создания, изменения, копирования любых данных, разделов, отдельных секторов.
  • Смонтировать его с атрибутами o -ro
  • Подключить через blockdev —setro
  • Смонтировать как -o ro,loop
Обработка сформированных образов дисков:
  • Imagemounter — утилита на Python, которая работает из командной строки и помогает быстро монтировать образы дисков.
  • Libewf — тулза и вместе с ней библиотека для обработки форматов EWF (Encase Image file Format).
  • Xmount — крохотная CLI-утилитка для конвертирования образов дисков в удобный формат с сохранением всей информации и метаданных.
Сбор данных с жестких дисков:
  • DumpIt — утилита для создания дампа оперативной памяти машины. Проста и удобна.
  • Encase Forensic Imager — софт для создания базы доказательных файлов.
  • Encrypted Disk Detector — еще одна тулза для криптоаналитиков, помогает искать зашифрованные тома TrueCrypt, PGP и Bitlocker.
  • Forensics Acquisition of Websites — специальный браузер, предназначенный для захвата веб-страниц и последующего расследования.
  • Live RAM Capturer — годная утилита для извлечения дампа RAM, в том числе приложений, защищенных антиотладочной или антидампинговой системой.
  • Magnet RAM Capture — как и прошлый инструмент, предназначен для снятия RAM всех версий Windows — от ретро Windows XP до Windows 10 (включая и релизы Windows Server).
Уделяйте пристальное внимание корректному созданию образа системы для дальнейшего изучения. Это позволит быть уверенным в достоверности полученных результатов. Перед любыми действиями, задевающими работоспособность системы или сохранность данных, обязательно делайте снапшоты и резервные копии файлов.
Анализ файлов найденных на жестких дисках
  • Crowd Inspect - помогает в получении информации о сетевых процессах и списков двоичных файлов, связанных с каждым процессом. Помимо этого, линкуется к VirusTotal и другим онлайновым сервисам анализа вредоносных программ и службам репутации.
  • dCode - преобразует разные типы данных в значения даты и времени.
  • Bstrings — программа для поиска в двоичных данных, есть поддержка регулярных выражений.
  • eCryptfs Parser - рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге или диске и выводит список шифрованных файлов.
  • Encryption Analyzer — утилита для анализа защищенных паролем и зашифрованных другими алгоритмами файлов, которая заодно анализирует сложность шифрования и предлагает варианты дешифровки.
  • File Identifier — программа для онлайнового анализа типа файлов по собственной базе сигнатур, которых уже больше двух тысяч.
  • Memoryze — утилита для анализа образов оперативной памяти, включая анализ файлов подкачки и извлечения оттуда данных.
  • ShadowExplorer — утилита для просмотра и дальнейшего извлечения файлов из теневых копий в системе Windows.
  • HxD — маленький и быстрый HEX-редактор.
  • Synalyze It! — HEX-редактор с поддержкой шаблонов, при этом быстр и в нем нет ничего лишнего.
  • wxHex Editor — кросс-платформенный HEX-редактор с возможностью сравнивать файлы и кучей других фич.
Извлечение данных из файлов
  • Bulk_extractor — утилита для вылавливания email, IP-адресов и телефонов из файлов.
  • PhotoRec — утилита для извлечения данных и файлов изображений.
Обработка данных в оперативной памяти (RAM)
  • Forensics, Memory Integrity & Assurance Tool by invtero — крутой и навороченный фреймворк, который при этом быстро работает.
  • volatility — опенсорсный набор утилит для разностороннего анализа образов физической памяти.
  • Rekall — скрипт для анализа дампов RAM, написанный на Python.
  • KeeFarce — программа для извлечения паролей KeePass из памяти.
Анализ сетевого стека и браузеров
  • SiLK — прога для сбора, хранения и анализа данных сетевого потока. Идеально подходит для анализа трафика на магистрали или границе крупного распределенного предприятия или провайдера среднего размера.
  • Wireshark — всемирно известный сетевой анализатор пакетов (сниффер). Имеет графический пользовательский интерфейс и широкий набор возможностей сортировки и фильтрации информации.
  • NetworkMiner — инструмент сетевого анализа для обнаружения ОС, имени хоста и открытых портов сетевых узлов с помощью перехвата пакетов в формате PCAP.
  • chrome-url-dumper — крошечная программа для извлечения информации из браузера Google Chrome.
  • hindsight — еще одна утилитка для анализа истории Chrome.
Анализ email-сообщений
  • EDB Viewer — мощная утилита для просмотра файлов Outlook (EDB) без подключения сервера Exchange.
  • Mail Viewer — утилита для просмотра файлов Outlook Express, Windows Mail / Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
  • OST Viewer — утилита для просмотра файлов OST Outlook, опять же без привязки к серверу Exchange.
  • PST Viewer — вариант предыдущей утилиты, служит для просмотра файлов PST Outlook.
Поиск артефактов на HDD и периферии
  • FastIR Collector — мощный функциональный сборщик информации о системе Windows (реестр, файловая система, сервисы, процессы, настройка окружения, автозагрузка и так далее).
  • FRED — кросс-платформенный быстрый анализатор реестра для ОС Windows.
  • NTFS USN Journal parser — парсер журналов USN для томов NTFS.
  • RecuperaBit — утилита для восстановления данных NTFS.
Специализированные паки и фреймворки
  • Digital Forensics Framework — платформа с открытым исходным кодом для извлечения и исследования данных. Есть варианты для CLI и GUI.
  • The Sleuth Kit и Autopsy — еще одна библиотека с открытыми исходниками и коллекция инструментов командной строки для анализа образов дисков.
  • Oxygen Forensic Detective — универсальный криминалистический инструмент для исследования данных мобильных устройств. Пак входящих в него утилит позволяет выполнять полное извлечение данных, проводить исчерпывающий анализ данных, хранящихся на телефонах и в облачных хранилищах. В наличии есть Forensic Cloud Extractor — встроенная служебная программа, собирающая данные из облачных служб хранения данных; средство Forensic Maps — программа, работающая с данными геоинформационных систем (GPS); Forensic Call Data Expert — программа для импорта записей данных о вызовах (так называемые CDR-файлы) любого поставщика услуг беспроводной связи и визуального анализа соединений абонентов.
Конечно, киберсталкеры, это далеко не все инструменты, которые могут пригодиться, а только известные и часто встречающиеся программы. Но и этого вам будет более, чем достаточно, для того, чтобы начать свой путь на непростой ниве киберкриминалистики. А в заключительной части данной статьи мы рассмотрим, что нужно для того, чтобы сделать свою киберлабораторию для занятий форензикой.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Угоняем стим через базы данных сайтов

Изображение
t.me/mamontyatina March 07, 2020 Здравствуй, дорогой друг. Специально для тебя мы слили платную схему по заработку на стиме от "А до Я", в ознакомительных целях, разумеется. Содержание 1. Введение 2. Как сделать, чтобы аккаунт не восстановили 3. Скупка стим 3.1 поштучно 3.2 пачками 3.3 логом (разные виды логов, в том числе и со стиллера) 4. Угоняем стимы через почты 4.1 создаем свою базу почт 4.2 покупная база, где купить 4.3 Чек базы, угон аккаунтов 5. Стим стиллер 5.1 Как сделать, чтобы антивирусник не ругался на стим стиллер 5.2 Пиарим стим стиллер 5.3 Учимся чекать логии с него 6. Угоняем стим через базы данных сайтов 6.1 Слив базы данных с сайта, расшифровываем базу, хэши и тд 6.2 Угоняем сам стим 7. Заработок на инвентаре 8. Защиты стим, такие как Guard, телефон. Как их обходить 1) Введение Старайтесь следовать моим указаниям, соблюдайте правила сайта, и у вас все получится. Приятного чтения! 2) Как сделать...
Далее...

Брт игр от Supercell через All In One Checker

Изображение
  Брут игр от Supercell через All In One Checker (Brawl Stars, Clash Royal, Clash of Clans) https://t.me/mamontyatina November 03, 2020 И так, сразу к делу. Суть Скачиваем All in One Cheker ( жмяк ) и заходим в него. Здесь показаны настройки, которые я использовал под Supercell. Если возникнет вопрос, для чего или зачем нужно ставить галочку в пункте "Скачивать письма", объясню потом. Далее, всё по стандарту, загружаем базу, прокси, нажимаем старт и ждём. У нас вырисовывается вот такая картина. Запросы потихоньку находи, а пока ищет, мы переходим к следующему пункту. И так, переходим в папку с результатами нажав сюда 👇 Теперь вернёмся к галочке "скачивать письма". Зачем она была нужна? Соответственно, чтобы скачивать письма и искать среди них те самые, аккаунты. Мы можем наблюдать такую картину 👇 Появилась папка под названием "supercell". Заходим в нее и видим вот это 👇 База бралась для примера, все могут заметить, что тут большая половина забита дерьмо...
Далее...

Базовые понятия Private Keeper

Изображение
  Базовые понятия Private Keeper @Compe93 для M E D E L L Í N November 28, 2018 И так, сегодня рассказываю про брут различных шопов к аккаунтам которых может быть привязана СС, с которой мы можем совершить покупку, ты ведь не думал что СС может быть привязана только к EBay. Поиск шопов у меня как всегда начинается с Google шоппинга, гуглю интересующий меня товар и открываю все магазины которые мне выдаёт в левом блоке снизу. Далее следует регистрация в каждом магазине, после регистрации мы идём в аккаунт магазина и ищем там пункт "Payment methods" или что-то похожее. @Compe93 Если есть возможность добавить кредитную карту в аккаунте, смотрим, просит ли он сразу CVV, если не просит, то кидаем что-нибудь в корзину и идём оплачивать, выбираем оплату картой и смотрим, обычно в магазинах присутствует такая возможность, сохранить карту для последующих покупок, выглядит примерно так: @Compe93 Если такая возможность есть, это очень хорошо. Собственно говоря на этом этапе можно уже на...
Далее...