Давно мы не делали стримов :( Надо исправляться.
В этот четверг, 25 ноября в 21.00 по мск, соберемся на канале t.iss.one/forensictools и попытаем про разное очень интересную гостью- прекрасную девушку Дарью.
Почти 10 лет наша гостья прослужила в центральном аппарате МВД и занималась сбором и анализом информации по открытым источникам, анализом социальной информационной обстановки, изучением протестной активности и анализом деятельности международных террористических организаций, а в данный момент являющуюся руководителем направления аналитики киберугроз центра противодействия кибератакам Solar JSOC
Ждем ваших вопросов в комментариях под этим постом.
В этот четверг, 25 ноября в 21.00 по мск, соберемся на канале t.iss.one/forensictools и попытаем про разное очень интересную гостью- прекрасную девушку Дарью.
Почти 10 лет наша гостья прослужила в центральном аппарате МВД и занималась сбором и анализом информации по открытым источникам, анализом социальной информационной обстановки, изучением протестной активности и анализом деятельности международных террористических организаций, а в данный момент являющуюся руководителем направления аналитики киберугроз центра противодействия кибератакам Solar JSOC
Ждем ваших вопросов в комментариях под этим постом.
PCAPdroid
[https://github.com/emanuele-f/PCAPdroid]
это мощнейший инструмент с открытым исходным кодом, предназначенный для захвата и мониторинга собственного трафика без необходимости получения Root-прав на устройстве. Перехват трафика осуществляется за свет эмуляции VPN сервиса. Сценарии использования:
• Анализ соединений, созданных приложениями установленными на устройстве (как пользовательскими, так и системными)
• Создание дампа сетевого трафика Android-устройства и его отправка на другое устройство для последующего анализа в стороннем приложении (например Wireshark на ПК), приложение даже создаёт сервер, к которому можно подключиться из локальной сети и скачать pcap-файл.
• Расшифровка HTTPS/TLS трафика конкретного приложения.
#android #network
[https://github.com/emanuele-f/PCAPdroid]
это мощнейший инструмент с открытым исходным кодом, предназначенный для захвата и мониторинга собственного трафика без необходимости получения Root-прав на устройстве. Перехват трафика осуществляется за свет эмуляции VPN сервиса. Сценарии использования:
• Анализ соединений, созданных приложениями установленными на устройстве (как пользовательскими, так и системными)
• Создание дампа сетевого трафика Android-устройства и его отправка на другое устройство для последующего анализа в стороннем приложении (например Wireshark на ПК), приложение даже создаёт сервер, к которому можно подключиться из локальной сети и скачать pcap-файл.
• Расшифровка HTTPS/TLS трафика конкретного приложения.
#android #network
Что такое нетсталкинг и чем он отличается от OSINT'а?
Все началось с Джона Рафмана, который опубликовал в сети подборку скриншотов под названием «Девять глаз Google Street View». Он просто рыскал по Google Street View в течение нескольких часов в поисках интересных и странных изображений...
Точной даты возникновения термина нет, но явление стало набирать обороты еще в начале нулевых. Нетсталкинг это не просто деятельность, направленная на обнаружение малоизвестных, малодоступных и малопосещаемых объектов в Интернете c их последующим анализом, систематизацией и хранением, но еще и целый культурный феномен, который впоследствии превратился в целое андеграундное движение. Он хоть и схож с OSINT'ом фундаментально, тем не менее имеет совершенно разные цели. Если OSINT - это некий целенаправленный процесс поиска максимального объема информации о конкретной цели, то нетсталкинг — это полностью иррациональный процесс, направленный на эстетическое и информационное удовлетворение самого искателя. Нетсталкеры собирают только ту информацию, которая кажется им странной, чтобы найти в ней что-то интересное или значимое.
Движение настолько распространилось, что обросло ореолом таинственности и массой легенд по типу "Тихого дома" (https://zen.yandex.ru/media/scientism_club/chto-takoe-tihii-dom-i-chto-jivet-na-nijnih-urovniah-interneta-60cc81cc3f83fa4eb1ca57ea), что отрицательно сказалось на репутации понятия. Фактически, это некий вид хобби, но никак не отдельная дисциплина и источник заработка. К слову, считается, что занятие нетсталкингом у некоторых людей может вызвать неврозы, что связано с зачастую отталкивающей тематикой просматриваемого ими контента.
Все началось с Джона Рафмана, который опубликовал в сети подборку скриншотов под названием «Девять глаз Google Street View». Он просто рыскал по Google Street View в течение нескольких часов в поисках интересных и странных изображений...
Точной даты возникновения термина нет, но явление стало набирать обороты еще в начале нулевых. Нетсталкинг это не просто деятельность, направленная на обнаружение малоизвестных, малодоступных и малопосещаемых объектов в Интернете c их последующим анализом, систематизацией и хранением, но еще и целый культурный феномен, который впоследствии превратился в целое андеграундное движение. Он хоть и схож с OSINT'ом фундаментально, тем не менее имеет совершенно разные цели. Если OSINT - это некий целенаправленный процесс поиска максимального объема информации о конкретной цели, то нетсталкинг — это полностью иррациональный процесс, направленный на эстетическое и информационное удовлетворение самого искателя. Нетсталкеры собирают только ту информацию, которая кажется им странной, чтобы найти в ней что-то интересное или значимое.
Движение настолько распространилось, что обросло ореолом таинственности и массой легенд по типу "Тихого дома" (https://zen.yandex.ru/media/scientism_club/chto-takoe-tihii-dom-i-chto-jivet-na-nijnih-urovniah-interneta-60cc81cc3f83fa4eb1ca57ea), что отрицательно сказалось на репутации понятия. Фактически, это некий вид хобби, но никак не отдельная дисциплина и источник заработка. К слову, считается, что занятие нетсталкингом у некоторых людей может вызвать неврозы, что связано с зачастую отталкивающей тематикой просматриваемого ими контента.
👍2
Robtex
[https://www.robtex.com/]
поисковая система для различных видов исследований IP-адресов, доменных имен и т.д. Просто введите IP-адрес или имя хоста и нажмите "GO" для поиска технической информации.
• использует различные источники для сбора публичной информации об IP, доменных именах, именах хостов.
• индексирует данные в большой базе и предоставляет свободный доступ.
• база данных содержит миллиарды записей, собранных более чем за десятилетие.
• для некоторых данных необходима регистрация.
• имеет API для взаимодействия.
• обратный поиск DNS. По введенному IP определите, какие имена хостов указывают на него.
• поиск зарегистрированного домена в различных базах данных whois.
#osint #network #dns
[https://www.robtex.com/]
поисковая система для различных видов исследований IP-адресов, доменных имен и т.д. Просто введите IP-адрес или имя хоста и нажмите "GO" для поиска технической информации.
• использует различные источники для сбора публичной информации об IP, доменных именах, именах хостов.
• индексирует данные в большой базе и предоставляет свободный доступ.
• база данных содержит миллиарды записей, собранных более чем за десятилетие.
• для некоторых данных необходима регистрация.
• имеет API для взаимодействия.
• обратный поиск DNS. По введенному IP определите, какие имена хостов указывают на него.
• поиск зарегистрированного домена в различных базах данных whois.
#osint #network #dns
👍1
CVE Trends
[https://cvetrends.com/]
аналитический сайт, который отслеживает популярность CVE в реальном времени. Все данные собираются из Twitter и объединяются с данными NIST NVD (https://nvd.nist.gov).
• данные обновляются каждую минуту
• вы можете задать промежуток времени для вывода аналитических данных об уязвимостях: неделя или сутки
• опционально можно выводить данные CWE, твитов на тему, а также оценки CVSS v2.0 и CVSS v3.0
• для каждой уязвимости представлено количество твитов, ретвитов, а также объем охваченной аудитории.
#vulns #cve #twitter
[https://cvetrends.com/]
аналитический сайт, который отслеживает популярность CVE в реальном времени. Все данные собираются из Twitter и объединяются с данными NIST NVD (https://nvd.nist.gov).
• данные обновляются каждую минуту
• вы можете задать промежуток времени для вывода аналитических данных об уязвимостях: неделя или сутки
• опционально можно выводить данные CWE, твитов на тему, а также оценки CVSS v2.0 и CVSS v3.0
• для каждой уязвимости представлено количество твитов, ретвитов, а также объем охваченной аудитории.
#vulns #cve #twitter
👨💻1
Forwarded from T.Hunter
#OSINT #Lab Пятничное... Виртуальные OSINT-лаборатории, которые будут полезны и для исследователей безопасности. Выбери свою...
├Tsurugi
├TraceLabs
├OffenOsint
└CSI Linux
@tomhunter
├Tsurugi
├TraceLabs
├OffenOsint
└CSI Linux
@tomhunter
Кажду среду мы с девчонками из t.iss.one/codeibcommunity делаем прямые эфиры на различные темы из области информационной безопаности. Один из эфиров как раз очень пересекался по тематике нашего канала и разговаривали много и про всякое с Иваном Бирулей, Владимиром Клеевым и Андреем Масаловичем на тему конкурентной разведки - [ https://www.youtube.com/watch?v=MrU9hQeBcLc ]
WindowsTimeline
[https://kacos2000.github.io/WindowsTimeline/]
приложение, позволяющее просмотреть данные файла ActivitiesCache.db (\Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\), которые содержит различные типы активности пользователя. Для работы необходима System.Data.SQLite.dll.
• Декодирует текст буфера обмена
• Сопоставляет информацию об устройстве с данными из реестра (HKCU или NTuser.dat)
• Опционально экспортирует вывод в .csv
• Совместим с Windows 1703/1709/1803/1809/1903/1909/2004 и др.
• В дополнение приложение Clippy, которое извлекает текущие и удаленные текстовые записи буфера обмена
#forensic #timeline #windows
[https://kacos2000.github.io/WindowsTimeline/]
приложение, позволяющее просмотреть данные файла ActivitiesCache.db (\Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\), которые содержит различные типы активности пользователя. Для работы необходима System.Data.SQLite.dll.
• Декодирует текст буфера обмена
• Сопоставляет информацию об устройстве с данными из реестра (HKCU или NTuser.dat)
• Опционально экспортирует вывод в .csv
• Совместим с Windows 1703/1709/1803/1809/1903/1909/2004 и др.
• В дополнение приложение Clippy, которое извлекает текущие и удаленные текстовые записи буфера обмена
#forensic #timeline #windows
👍1
RedTeam Toolkit
[https://github.com/signorrayan/RedTeam_toolkit]
web-приложение на языке Python (Django), содержащее набор инструментов, используемых red-team для выявления уязвимостей. В основе лежат такие проекты, как nmap, rustscan, dirsearch, shreder, circl, crowbar и т.д.
• сканирование портов и уязвимостей цели
• сканирование всех живых хостов в подсети
• сканирование всех каталогов цели
• описание CVE по CveID
• атака по словарю SSH
• RDP BruteForce
• раздел WebApps: Apache Path Traversal PoC (CVE-2021-41773), Веб-краулер для сбора URL-адресов, Перечисление субдоменов
• раздел Windows (обновляется, другие основные CVE будут добавлены): Microsoft Exchange ProxyShell PoC (CVE-2021-34523, CVE-2021-34473, CVE-2021-31207)
• раздел Linux для реализации основных CVE в Linux также в процессе обновления
#pentest #python #redteam #vulns
[https://github.com/signorrayan/RedTeam_toolkit]
web-приложение на языке Python (Django), содержащее набор инструментов, используемых red-team для выявления уязвимостей. В основе лежат такие проекты, как nmap, rustscan, dirsearch, shreder, circl, crowbar и т.д.
• сканирование портов и уязвимостей цели
• сканирование всех живых хостов в подсети
• сканирование всех каталогов цели
• описание CVE по CveID
• атака по словарю SSH
• RDP BruteForce
• раздел WebApps: Apache Path Traversal PoC (CVE-2021-41773), Веб-краулер для сбора URL-адресов, Перечисление субдоменов
• раздел Windows (обновляется, другие основные CVE будут добавлены): Microsoft Exchange ProxyShell PoC (CVE-2021-34523, CVE-2021-34473, CVE-2021-31207)
• раздел Linux для реализации основных CVE в Linux также в процессе обновления
#pentest #python #redteam #vulns
Часто так случается, что выяснить место где было сделано фото может быть достаточно затруднительно. Особенно если пейзаж и и фон достаточно нейтральны на первый взгляд. Наш старый друг Bafomёd перевёл и адаптировал статью nixintel, по методологии идентификации местоположения по подобным исходным данным. Очень крутой и максимально прикладной материал [ https://telegra.ph/Izvlech-issledovat-proverit-11-30 ]
Telegraph
Извлечь, исследовать, проверить
Автор: Nixintel Перевел и адаптировал: Bafomёd С тех пор, как я начал вести блог о геолокации изображений, я пытался писать о методах и приемах, которые делают решение подобных задач более структурированным и систематическим. В своей профессиональной карьере…
Набор утилит для анализа Cobalt Strike beacon
Злоумышленники зачастую используют Cobalt Strike для эксплуатации и постэксплуатации. В качестве полезной нагрузки используется «маяк» (beacon). Маяк устанавливается на целевую машину, обеспечивает устойчивый удаленный доступ к скомпрометированным устройствам и большую часть времени находится в состоянии сна. В связи с этим его очень непросто обнаружить. Связь между скомпрометированной машиной и злоумышленником (сервером Cobalt Strike (C2)) шифруется с помощью ключа AES. Этот ключ можно использовать для расшифровки метаданных и трафика, который создается полезной нагрузкой. Данные инструменты позволяют детектировать активность злоумышленника с помощью анализа конфигурации маяка, дешифровки метаданных и трафика, а также извлечения ключей из памяти процесса (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump).
• 1768.py [https://blog.didierstevens.com/2021/11/21/update-1768-py-version-0-0-10/] -
• cs-decrypt-metadata.py [https://blog.didierstevens.com/2021/11/12/update-cs-decrypt-metadata-py-version-0-0-2/]
• cs-parse-http-traffic.py [https://github.com/DidierStevens/Beta/blob/master/cs-parse-http-traffic.py]
• cs-analyze-processdump.py [https://blog.didierstevens.com/2021/11/25/new-tool-cs-analyze-processdump-py/]
• cs-extract-key.py [https://blog.didierstevens.com/2021/11/03/new-tool-cs-extract-key-py/]
Конкретный пример использования инструментов можно увидеть здесь - https://www.youtube.com/watch?v=VkRQTRtwJW8
#network #forensic #python
Злоумышленники зачастую используют Cobalt Strike для эксплуатации и постэксплуатации. В качестве полезной нагрузки используется «маяк» (beacon). Маяк устанавливается на целевую машину, обеспечивает устойчивый удаленный доступ к скомпрометированным устройствам и большую часть времени находится в состоянии сна. В связи с этим его очень непросто обнаружить. Связь между скомпрометированной машиной и злоумышленником (сервером Cobalt Strike (C2)) шифруется с помощью ключа AES. Этот ключ можно использовать для расшифровки метаданных и трафика, который создается полезной нагрузкой. Данные инструменты позволяют детектировать активность злоумышленника с помощью анализа конфигурации маяка, дешифровки метаданных и трафика, а также извлечения ключей из памяти процесса (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump).
• 1768.py [https://blog.didierstevens.com/2021/11/21/update-1768-py-version-0-0-10/] -
• cs-decrypt-metadata.py [https://blog.didierstevens.com/2021/11/12/update-cs-decrypt-metadata-py-version-0-0-2/]
• cs-parse-http-traffic.py [https://github.com/DidierStevens/Beta/blob/master/cs-parse-http-traffic.py]
• cs-analyze-processdump.py [https://blog.didierstevens.com/2021/11/25/new-tool-cs-analyze-processdump-py/]
• cs-extract-key.py [https://blog.didierstevens.com/2021/11/03/new-tool-cs-extract-key-py/]
Конкретный пример использования инструментов можно увидеть здесь - https://www.youtube.com/watch?v=VkRQTRtwJW8
#network #forensic #python
zBang
[https://github.com/cyberark/zBang]
инструмент оценки рисков, который обнаруживает потенциальные угрозы привилегированных учетных записей в сканируемой сети. Его можно использовать для выявления потенциальных векторов атак и исследования безопасности сетевой инфраструктуры. Работает с Active Directory.
• обнаруживает наиболее привилегированные учетные записи, которые должны быть защищены, включая подозрительных теневых администраторов.
• обнаруживает контроллеры домена, которые могут быть заражены вредоносным ПО Skeleton Key.
• обнаруживает скрытые привилегии в доменных учетных записях с вторичным SID.
• обнаружение рискованной конфигурации SPN, которая может привести к краже учетных данных администраторов домена.
• обнаруживает рискованную конфигурацию делегирования Kerberos в сети.
• Запускайте инструмент от имени любого пользователя домена без дополнительных привилегий; инструмент выполняет LDAP-запросы к DC только для чтения.
#pentest #windows #activedirectory
[https://github.com/cyberark/zBang]
инструмент оценки рисков, который обнаруживает потенциальные угрозы привилегированных учетных записей в сканируемой сети. Его можно использовать для выявления потенциальных векторов атак и исследования безопасности сетевой инфраструктуры. Работает с Active Directory.
• обнаруживает наиболее привилегированные учетные записи, которые должны быть защищены, включая подозрительных теневых администраторов.
• обнаруживает контроллеры домена, которые могут быть заражены вредоносным ПО Skeleton Key.
• обнаруживает скрытые привилегии в доменных учетных записях с вторичным SID.
• обнаружение рискованной конфигурации SPN, которая может привести к краже учетных данных администраторов домена.
• обнаруживает рискованную конфигурацию делегирования Kerberos в сети.
• Запускайте инструмент от имени любого пользователя домена без дополнительных привилегий; инструмент выполняет LDAP-запросы к DC только для чтения.
#pentest #windows #activedirectory
wazuh
[https://wazuh.com/]
бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.
• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии
#dfir #elk #security #platform
[https://wazuh.com/]
бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы. Она способна защищать рабочие нагрузки в локальных, виртуализированных, контейнерных и облачных средах. Состоит из агента безопасности конечных точек, разворачиваемого на контролируемых системах, и сервера управления, который собирает и анализирует данные, собранные агентами. Кроме того, Wazuh полностью интегрирован с Elastic Stack.
• сканирует контролируемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Серверный компонент
• сервера использует сигнатурный подход к обнаружению вторжений
• агенты считывают журналы операционной системы и приложений
• осуществляет мониторинг файловой системы, выявляя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов
• агенты собирают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE
• отслеживает параметры конфигурации системы и приложений, чтобы убедиться в их соответствии политике безопасности
• предоставляет готовые алгоритмы для выполнения различных контрмер по устранению активных угроз
• помогает контролировать облачную инфраструктуру на уровне API
• обеспечивает безопасность контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии
#dfir #elk #security #platform
Wazuh
Wazuh - Open Source XDR. Open Source SIEM.
Wazuh is a free and open source security platform that unifies XDR and SIEM protection for endpoints and cloud workloads.
Nanobrok
[https://github.com/P0cL4bs/Nanobrok]
веб-сервис с открытым исходным кодом для удаленного управления и защиты вашего android устройства, написанный на Python. Позволяет организовать стабильное и безопасное соединение с вашим android устройством для защиты и удаленного контроля.
• может быть установлен на локальном хосте или на VPS
• осуществляет мониторинг активности с устройства
• строит карты местоположения вашего устройства
• флаг оповещения (в случае потери или кражи)
• удаленное включение микрофона
• удаленная передача файлов (для PRO)
• сетевой сканер показывает все сетевые устройства даже удаленно (для PRO)
• позволяет установить/получить текущий текст буфера обмена удаленно или даже заблокировать устройство
• android-клиент - https://play.google.com/store/apps/details?id=com.mh4x0f.nanobrok
[https://github.com/P0cL4bs/Nanobrok]
веб-сервис с открытым исходным кодом для удаленного управления и защиты вашего android устройства, написанный на Python. Позволяет организовать стабильное и безопасное соединение с вашим android устройством для защиты и удаленного контроля.
• может быть установлен на локальном хосте или на VPS
• осуществляет мониторинг активности с устройства
• строит карты местоположения вашего устройства
• флаг оповещения (в случае потери или кражи)
• удаленное включение микрофона
• удаленная передача файлов (для PRO)
• сетевой сканер показывает все сетевые устройства даже удаленно (для PRO)
• позволяет установить/получить текущий текст буфера обмена удаленно или даже заблокировать устройство
• android-клиент - https://play.google.com/store/apps/details?id=com.mh4x0f.nanobrok
This media is not supported in your browser
VIEW IN TELEGRAM
slscan
[https://slscan.io/en/latest/]
инструмент анализа безопасности с открытым исходным кодом, который призван помочь в процессе DevSecOps и соблюдении требований безопасности. Может обнаружить различные недостатки безопасности в вашем приложении и коде инфраструктуры за одно быстрое сканирование без необходимости использования удаленного сервера. Создан для интеграции в рабочий процесс.
• Все сканеры, правила и данные, включая базу данных уязвимостей, загружаются локально для выполнения сканирования.
• Опыт работы "из коробки": Пользователям не нужно ничего настраивать или изучать, чтобы использовать сканирование на всех языках и конвейерах.
• Сканирование учетных данных для обнаружения случайных утечек секретов
• Тестирование безопасности статического анализа (SAST) для ряда языков и фреймворков
• Аудит зависимостей с открытым исходным кодом для выявления известных CVE
• Поддерживается множество языков и форматов пакетов
• Проверка на нарушение лицензий
• Сканирование образов контейнеров на наличие
[https://slscan.io/en/latest/]
инструмент анализа безопасности с открытым исходным кодом, который призван помочь в процессе DevSecOps и соблюдении требований безопасности. Может обнаружить различные недостатки безопасности в вашем приложении и коде инфраструктуры за одно быстрое сканирование без необходимости использования удаленного сервера. Создан для интеграции в рабочий процесс.
• Все сканеры, правила и данные, включая базу данных уязвимостей, загружаются локально для выполнения сканирования.
• Опыт работы "из коробки": Пользователям не нужно ничего настраивать или изучать, чтобы использовать сканирование на всех языках и конвейерах.
• Сканирование учетных данных для обнаружения случайных утечек секретов
• Тестирование безопасности статического анализа (SAST) для ряда языков и фреймворков
• Аудит зависимостей с открытым исходным кодом для выявления известных CVE
• Поддерживается множество языков и форматов пакетов
• Проверка на нарушение лицензий
• Сканирование образов контейнеров на наличие
Чемоданчик_страхового_следователя.pdf
11 MB
Небольшая и очень выборочная подборка очень простых в использование инструментов для облегчения работы страховых следователей. Слайды с выступления в "Клубе страховых конференций"
👍1
Analyze MFT
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
GitHub
GitHub - rowingdude/analyzeMFT: analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results…
analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results as accurately as possible in multiple formats. - rowingdude/analyzeMFT