Форум информационной безопасности - Codeby.net

unlocking iOS 11's Gates with GrayKey and Magnet AXIOM - презентация программы, по приглашениям в вебинаре 01.08.2018

Новость у нас: Новая операционная система IOS 12 для iPhone может включать в себя защиту от разблокировки устройств

[+ бонус в конце поста]
Приветствую случайных гостей и постояльцев форума!

Не так давно по долгу службы, потребовалось сдампить в оффлайн Твиттер-профиль одного пользователя. Признаться честно, с твиттеровским АПИ прежде не сталкивался, а вникать не очень хотелось ради написания одного скрипта (да и аккаунта у меня нет), поэтому побрел на поиски решения в сеть. Сказать, что существует целая куча готовых инструментов для подобных задач — значит не сказать ничего. За 10 минут была открыта целая галактика Твиттер-загрузчиков всех цветов и расцветок: от небольших самопальных Python-скриптов с довольно скудным функционалом, грубо выводящих результат прямо в консоль (романтично, но неудобно), до больших платных веб-сервисов, красиво заворачивающих результат в Excel-таблички. Однако на просторах Гитхаба (привет, Микрософт!) была найдена очень милая тулза, которой не смог не поделиться с Миром, к тому же, как выяснилось я...

Вы ищете команду, которая поможет определить наличие кибер-атак и других проблем в вашей сети и устранить их? Вы имеете уникальную возможность узнать, как это сделать с помощью данного руководства.

Созданию качественного программного обеспечения положили начало великие люди, но иногда, к сожалению, их бывает сложно найти. Так как сфера технической индустрии является очень конкурентной сферой, то более важным считается создание компетентной и опытной команды по разработке планируемого вами программного обеспечения.

Вам нужна команда, члены которой знают друг друга, и у них не возникнет никаких разногласий. Вот наиболее эффективные способы создания . В первом разделе мы покажем вам, что искать в хороших членах команды. В заключительном разделе вы узнаете, как создать культуру...

Ситуация: сотрудник решил прошить документы с помощью дрели и не проверил как
расположены диски, в итоге документы он подшил а мне на стол легли диски с отверстиями.
Диски выглядели следующим образом:
Фото взято с просторов, красным отмечены места повреждения.

Разберем диск номер 1, так как подход и реализация принципиально различаются.

На фотографии видно что повреждение приходится на конец записи, это могло бы обрадовать если на диске хранились бы различные данные, но к сожалению на диске лежал только один видеоролик. И разумеется в единственном экземпляре.
Изначально я решил попробовать просто вставить диск в дисковод и прочитать его на низких скоростях(что бы он не разлетелся, или не пошла трещина),
диск успешно определился, видео воспроизвелось, показ ролика прервался на половине, копирование (с помощью различных программ для восстановления CD и подобных)
прерывалось на 60% данных, и на выходе ролик даже не...

Файлы LNK являются относительно простым, но ценным артефактом для исследователя судебной экспертизы. Это ярлыки, которые ссылаются на приложение или файл, обычно встречающиеся на рабочем столе пользователя или во всей системе, и заканчиваются расширением .lnk. Файлы LNK могут быть созданы пользователем или автоматически операционной системой Windows. У каждого есть своя ценность и смысл. Созданные Windows файлы LNK генерируются, когда пользователь открывает локальный или удаленный файл или документ, предоставляя следователям ценную информацию о деятельности подозреваемого при исследовании операционной системы криминалистом.

• Исходный путь файла/объекта и временные метки объекта, на который ссылается ярлык
• Идентификатор тома, с которого был открыт файл (программный серийный номер файловой системы – весьма переменчивая величина, задаётся при форматировании раздела)
• Информация об объеме и системе, в которых хранится файл LNK. Это будет включать в себя имя...

В Windows системах файл ntuser.dat - это файл реестра, для каждого пользователя он индивидуален более подробно Forensics Windows Registry - ntuser.dat

Много статей и описаний что при смене расширения ntuser.dat на ntuser.man, профиль пользователя будет защищен от изменения и некоторым советуют это как средство анти-форензик, и еще множество описаний какие файлы системы удалить и у каких групп забрать права и изменить права в ветках реестра - это бредово, так как если менять права веток реестра, то нет надобности изменять файл ntuser.dat.

Приведу пример:

Теория - ntuser.dat его ветка HKEY_CURRENT_USER
Создана виртуальная машина с Win10x64


мы видим наш стандартный ntuser.dat, перегружаемся с загрузочного WinPE
меняем расширение нашего файла ntuser.dat в ntuser.man

Фреймворки

• Forensic Framework Volatility
• Autopsy - цифровая криминалистическая платформа

Реал-тайм утилиты

Работа с образами (создание, клонирование)

• Виртуализация криминалистических образов в Windows
• AccessData FTK Imager против Arsenal Image Mounter...

Иногда при доступе к ПК нужно максимально и оперативно снять информацию, мы рассмотрим автоматизированную утилиту FastIR Collector
запуск (на картинке в shell запущен был cmd от Администратора

На выходе получаем вот такой список данных (утилита портабельна)):
Не скажу что утилита хороша но папка evt с *.evtx и файлик USBHistory.csv очень даже нужные - но много го нет.
[1 часть] Универсальный...