Главная | Словарь | Книги | Контакты

• 404
• ДваКомпа
• Бесплатно, то есть даром
• Взлом и хакинг
• МЕШ сети
• Определения взлом и хакинг
• Статьи о взломе
• Брутофорс
• Ресурсы по безопасности
• Анонимность
• Шифрование
• Антивирусы и брандмауэры
• Программы для взлома
• web-brutator
• бсод вин 10
• Hijacker
• Парсинг блютуз и вайфай RadareEye
• bettercap
• Hetman Internet Spy
• Украденное оружие FireEye
• sysmon
• InsertScript
• Скрытый кейлоггинг: обзор возможностей устройства KeyLogger PRO
• User-friendly хакерские утилиты
• GALLIUM
• Скрытый TeamViewer
• AutoSUID
• BiG Brother
• RedTeam-Tools
• Форензика.
• osint
• Сниферы
• Закон хакинг
• web влом
• Андроид и иос
• Радио
• ОС
• Вирусы
• IoT
• pentest
• Мобильные операторы
• Тайники и сейфы
• Банки и карты
• Хакинг другое
• Тест
• Scanners
• гос системы
• Железо
• Закон
• Каталог программ
• Компьютер
• Покупки в интернет
• Одноплатники
• Операционные системы обзор
• Оптимизация сайтов
• Программирование
• Разное
• Сервера и сеть
• Словарь компьютерных терминов
• Смартфоны и планшеты
• Социальные сети и реклама
• Статьи
• Заработок в Интернет
• Науки
• Мои
• Игры
• Сетевое выживание

Форензика.

Предыдущая |

Форензика.

•  Задачи на форензику в #CTF могут делиться на несколько типов: анализ жесткого диска, анализ оперативной памяти и дампов трафика.

•  Анализ оперативной памяти часто используется, когда у тебя был физический доступ к ПК и получилось сделать слепок оперативной памяти. По слепку можно определить, какие приложения запускались во время этого сеанса, потому что, пока человек не выключил или не перезагрузил компьютер, в оперативной памяти хранится интересующая нас информация (например, данные процессов).

• Полезную информацию еще можно найти в файлах подкачки (pagefile.sys) и гибернации (hiberfil.sys). Для *nix-based-систем стоит поискать в swap-разделе. — https://habr.com/ru/company/group-ib/blog/512728/

•  Для анализа дампов памяти существует много приложений, которые на слуху у всех, кто хоть раз имел дело с задачами на форензику: например Volatility (https://github.com/volatilityfoundation/volatility3) и Autopsy. (https://github.com/sleuthkit/autopsy) Крупные решения вроде Autopsy буду хороши тем, что позволяют выполнить анализ слепка одной кнопкой, однако цена за это — большое время работы программы.

•  Сегодня ты узнаешь о других инструментах, благодаря которым ты можешь работать с памятью системы и получить интересующую информацию:

•  dof (https://github.com/docker-forensics-toolkit/toolkit) — извлекает и помогает интерпретировать криминалистические артефакты из Docker-контейнеров. Отображает историю сборки образа, монтирует файловую систему контейнера в заданном месте, распределяет артефакты по временной шкале и так далее;
•  Crowd Inspect (http://www.crowdstrike.com/community-tools/) утилита для получения информации о сетевых процессах, перечислении двоичных файлов, связанных с каждым процессом. Создает запросы к VirusTotal и другим онлайн-средствам анализа вредоносных программ и служб репутации;
•  Volatility 3 (https://github.com/volatilityfoundation/volatility3) — фреймворк для исследования дампов оперативной памяти. Поддерживает 18 различных версий операционных систем, умеет работать с дампами ядра Virtualbox и снапшотами VMware;
•  LiME (https://github.com/504ensicsLabs/LiME.git) — загружаемый модуль ядра (LKM) для захвата данных из памяти устройств под управлением Linux, в том числе и Android-смартфонов;
•  Encryption Analyzer (http://www.lostpassword.com/encryption-analyzer.htm) утилита для анализа защищенных паролем и зашифрованных файлов, анализирует сложность шифрования отчетов и варианты дешифрования для каждого файла;
•  nTimetools (https://github.com/limbenjamin/nTimetools) — инструментарий для работы с временными метками в Windows. Позволяет проверять метки в файловой системе NTFS с точностью до 100 наносекунд;
•  RecuperaBit (https://github.com/Lazza/RecuperaBit) — утилита для криминалистической реконструкции файловой системы и восстановления файлов. Поддерживает только NTFS;
•  MemProcFS (https://github.com/ufrisk/MemProcFS) — утилита для простого доступа к физической памяти, как к файлам виртуальной файловой системы;
•  Sleuth Kit (https://github.com/sleuthkit/sleuthkit) — библиотека для низкоуровневого исследования образов дисков, файловых систем и поиска улик;
•  Bmap-tools (https://github.com/intel/bmap-tools) — инструмент для копирования файлов с использованием создания карты блоков (bmap);
•  AVML (https://github.com/microsoft/avml) — портативный инструмент для сбора данных из энергонезависимой памяти Linux-систем;
•  INDXParse (https://github.com/williballenthin/INDXParse) — тулкит для извлечения артефактов NTFS;
•  File Identifier (http://www.toolsley.com/) — онлайн анализ типа файлов (более 2000);
•  MetaExtractor (http://www.4discovery.com/our-tools/) — утилита для извеления мета-информации из офисных документов и pdf;
•  CapAnalysis (http://www.capanalysis.net/ca/) — утилита просморта PCAP.

📌 В дополнение. Инструменты для анализа электронной почты:
•  EDB Viewer (http://www.nucleustechnologies.com/exchange-edb-viewer.html) — утилита для просмотра файлов EDB Outlook без сервера Exchange;
•  MBOX Viewer (http://www.systoolsgroup.com/mbox-viewer.html) — утилита для просмотра электронных писем и вложений MBOX;
•  OST Viewer (http://www.nucleustechnologies.com/ost-viewer.html) — утилита для просмотра файлов OST Outlook без сервера Exchange;
•  PST Viewer (http://www.nucleustechnologies.com/pst-viewer.html) — утилита для просмотра файлов PST Outlook без сервера Exchange;
•  Mail Viewer (http://www.mitec.cz/mailview.html) — утилита для просмотра файлов Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.