#forensic #network Watchog (github.com/flipkart-incubator/watchdog)-это набор инструментов безопасности с открытым исходным кодом, направленных на обеспечение целостного представления безопасности для данного домена или IP адреса. То, как построен Watchdog, позволяет получить полный обзор любого интернет-объекта. Учитывая список доменов/IP-адресов, он умеет выполнять сканирование сети, передавать выходные данные сканерам веб-приложений с открытым исходным кодом (например таким как Google skip-fish и wapiti), выполнять анализ технического стека и определять, есть ли в стеке какие-либо известные уязвимости.
По сути Watchdog позволяет обнаруживать все открытые сервисы и соответствующие им вектора атак.
По сути Watchdog позволяет обнаруживать все открытые сервисы и соответствующие им вектора атак.
GitHub
GitHub - flipkart-incubator/watchdog: Watchdog - A Comprehensive Security Scanning and a Vulnerability Management Tool.
Watchdog - A Comprehensive Security Scanning and a Vulnerability Management Tool. - flipkart-incubator/watchdog
#forensic #concept KBD-audio (github.com/ggerganov/kbd-audio) Очень интересный инструмент позволяющий анализировать звук нажатия клавиш клавиатуры воссоздавая набираемый текст(!). Не думаю что его можно расценивать как реальный инструмент, но в качестве прецендента на возможный вектор атаки, по моему очень шикарно.
GitHub
GitHub - ggerganov/kbd-audio: 🎤⌨️ Acoustic keyboard eavesdropping
🎤⌨️ Acoustic keyboard eavesdropping. Contribute to ggerganov/kbd-audio development by creating an account on GitHub.
#forensic Последние пару лет мы были свидетелями целой серии громких утечек данных различных сервисов. Инструмент h8mail (github.com/khast3x/h8mail) Роется во множестве слитых базах и пытается найти данные на целевой e-mail.
GitHub
GitHub - khast3x/h8mail: Email OSINT & Password breach hunting tool, locally or using premium services. Supports chasing down related…
Email OSINT & Password breach hunting tool, locally or using premium services. Supports chasing down related email - khast3x/h8mail
#forensic #revers Skit (play.google.com/store/apps/details?id=com.pavelrekun.skit)-это очень простой и умный менеджер приложений с огромным набором инструментов для реверс инженеринга приложений прямо на вашем смартфоне.
Позволяет получить доступ к огромному количеству подробной информации, начиная от даты установки и даты последнего обновления приложения до объема потребляемой памяти .Вы с легкостью узнайте, как работает любое выбранное приложение изнутри. Список действий, услуг, используемых разрешений и даже детали сертификата подписи приложения.
Позволяет получить доступ к огромному количеству подробной информации, начиная от даты установки и даты последнего обновления приложения до объема потребляемой памяти .Вы с легкостью узнайте, как работает любое выбранное приложение изнутри. Список действий, услуг, используемых разрешений и даже детали сертификата подписи приложения.
Google Play
Skit - apps manager - Apps on Google Play
Simplest and most intuitive app manager!
#forensic #windows Каждый раз, когда вы открываете папку в Проводнике, Windows автоматически сохраняет настройки этой папки в реестре. ShellBagsView (https://www.nirsoft.net/utils/shell_bags_view.html) отображает список всех настроек папок, сохраненных Windows. Для каждой папки отображается следующая информация: дата/время ее открытия, номер записи, режим отображения (сведения, значки, плитки и т. д.), последняя позиция окна и последний размер окна.
NirSoft
View and optionally change the folders Settings of Windows Explorer
View the folder Settings of Windows Explorer - display mode (Details, Icons, Tiles, Content, List), icon size, slot number, and more. Optionally set the display mode of multiple folders at once.
#forensic #revers Microsoft Application Inspector (github.com/microsoft/ApplicationInspector)-это инструмент помогающий идентифицировать функции кода сторонних программных компонентов на основе хорошо известных API. Он использует сотни правил и шаблонов регулярных выражений для выявления характеристик исходного кода, чтобы помочь определить, тоже из себя представляет определенное ПО, исходя из того, какие файловые операции оно использует, какое шифрование, Shell operations, облачные API, фреймворки и многое другое.
MAI отличается от традиционных инструментов статического анализа тем, что он не пытается идентифицировать "хорошие" или "плохие" шаблоны; он просто сообщает о том, что он находит в наборе из более чем 400 шаблонов правил обнаружения функций, включая функции, влияющие на безопасность. (Например, использование криптографии)
Инструмент поддерживает сканирование различных языков программирования, включая C, C++, C#, Java, JavaScript, HTML, Python, Objective-C, Go, Ruby, PowerShell и других. А также может сканировать программные проекты со смешанными языковыми конструкциями.
Генерирует результаты в форматах HTML, JSON и простого текста.
MAI отличается от традиционных инструментов статического анализа тем, что он не пытается идентифицировать "хорошие" или "плохие" шаблоны; он просто сообщает о том, что он находит в наборе из более чем 400 шаблонов правил обнаружения функций, включая функции, влияющие на безопасность. (Например, использование криптографии)
Инструмент поддерживает сканирование различных языков программирования, включая C, C++, C#, Java, JavaScript, HTML, Python, Objective-C, Go, Ruby, PowerShell и других. А также может сканировать программные проекты со смешанными языковыми конструкциями.
Генерирует результаты в форматах HTML, JSON и простого текста.
GitHub
GitHub - microsoft/ApplicationInspector: A source code analyzer built for surfacing features of interest and other characteristics…
A source code analyzer built for surfacing features of interest and other characteristics to answer the question 'What's in the code?' quickly using static analysis with a j...
Дайджест Beholder’s TOOLBOX - Forensic 27/02/21
1. Encrypted Disk Detector [https://www.magnetforensics.com/resources/encrypted-disk-detector/] Поиск крипто-контейнеров
2. Nyuki Forensic Investigator [https://www.silensec.com/downloads-menu/software/nfi] Извлечение данных с мобильных телефонов
3. Autopsy [https://www.sleuthkit.org/autopsy/] Криминалистический комбайн
4. Kroll Artifact Parser and Extractor [https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape] Сборщик артифактов
5. NetworkMiner [https://www.netresec.com/?page=NetworkMiner] Сниффер
6. WhatsApp Viewer [https://github.com/andreas-mausch/whatsapp-viewer] Просмотрщик данных whatsapp
7. Tsurugi [tsurugi-linux.org] Forensic дистрибутив
8. Forensicaiiy [29a.ch/photo-forensics/#forensic-magnifier] Fyfkbp фотографий
9. Suncalc [suncalc.org] Калькулятор положения солнца на фото
10. OCCRP [vis.occrp.org] Построение контекстных зависимостей при криминалистическом анализе
11. R-Studio [www.r-studio.com] Восстановление данных
12. USB Detective [usbdetective.com] Извлечение данных из USB
13. NirSoft Collection [launcher.nirsoft.net] Извлечение данных Windows
14. Watchog [github.com/flipkart-incubator/watchdog] Анализ сетевой активности
15. KBD-audio [github.com/ggerganov/kbd-audio] Восстановление данных по звуку клавиатуры
16. h8mail [github.com/khast3x/h8mail] Утечки почтовых аккаунтов
17. Skit play.google.com/store/apps/details?id=com.pavelrekun.skit] Анализ андроид-приложений
18. ShellBagsView [https://www.nirsoft.net/utils/shell_bags_view.html] Анализ папок с открытым доступом в Windows
19. Microsoft Application Inspector [github.com/microsoft/ApplicationInspector] Анализ кода
20. BruteShark [github.com/odedshimon/BruteShark] Поиск сетевых артифактов
21. Forensic Architecture [https://github.com/forensic-architecture] Набор инструментов команды «Forensic Architecture»
22. TinyCheck [github.com/KasperskyLab/TinyCheck] Анализ смартфонов на наличие программ-шпионов
23. Meshroom [github.com/alicevision/meshroom] Воссоздание 3d моделей по фото
24. ExifTool [play.google.com/store/apps/details?id=com.exiftool.free] просмотр EXIF
25. Depix [github.com/beurtschipper/Depix] Восстановление изображений
26. Maltrail [github.com/stamparm/maltrail] Анализ сетевого траффика
27. Timesketch [github.com/google/timesketch] Система криминалистического анализа windows систтем
28. Hindsight [github.com/obsidianforensics/hindsight] Извлечение данных из Google Chrome
29. Paladin [sumuri.com/product-category/brands/paladin/]
30. Xplico [www.xplico.org] Анализ сетевой активности
31. Mobile Revelator [github.com/bkerler/MR] извлечения данных с мобильных платформ
32. Logon Tracker [github.com/JPCERTCC/LogonTracer] отслеживание сетевой активности и действий пользователей
33. Getghiro [www.getghiro.org] Форензика фото
34. SmartDeblur [github.com/Y-Vladimir/SmartDeblur] Восставновление смазанных изображений
35. Video Cleaner [videocleaner.com] Восстановление видео данных
36. HttpCanary [https://github.com/MegatronKing/HttpCanary] Анализ сетевой активности
37. App Manager [https://muntashirakon.github.io/AppManager/] Анализ андроид приложений
1. Encrypted Disk Detector [https://www.magnetforensics.com/resources/encrypted-disk-detector/] Поиск крипто-контейнеров
2. Nyuki Forensic Investigator [https://www.silensec.com/downloads-menu/software/nfi] Извлечение данных с мобильных телефонов
3. Autopsy [https://www.sleuthkit.org/autopsy/] Криминалистический комбайн
4. Kroll Artifact Parser and Extractor [https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape] Сборщик артифактов
5. NetworkMiner [https://www.netresec.com/?page=NetworkMiner] Сниффер
6. WhatsApp Viewer [https://github.com/andreas-mausch/whatsapp-viewer] Просмотрщик данных whatsapp
7. Tsurugi [tsurugi-linux.org] Forensic дистрибутив
8. Forensicaiiy [29a.ch/photo-forensics/#forensic-magnifier] Fyfkbp фотографий
9. Suncalc [suncalc.org] Калькулятор положения солнца на фото
10. OCCRP [vis.occrp.org] Построение контекстных зависимостей при криминалистическом анализе
11. R-Studio [www.r-studio.com] Восстановление данных
12. USB Detective [usbdetective.com] Извлечение данных из USB
13. NirSoft Collection [launcher.nirsoft.net] Извлечение данных Windows
14. Watchog [github.com/flipkart-incubator/watchdog] Анализ сетевой активности
15. KBD-audio [github.com/ggerganov/kbd-audio] Восстановление данных по звуку клавиатуры
16. h8mail [github.com/khast3x/h8mail] Утечки почтовых аккаунтов
17. Skit play.google.com/store/apps/details?id=com.pavelrekun.skit] Анализ андроид-приложений
18. ShellBagsView [https://www.nirsoft.net/utils/shell_bags_view.html] Анализ папок с открытым доступом в Windows
19. Microsoft Application Inspector [github.com/microsoft/ApplicationInspector] Анализ кода
20. BruteShark [github.com/odedshimon/BruteShark] Поиск сетевых артифактов
21. Forensic Architecture [https://github.com/forensic-architecture] Набор инструментов команды «Forensic Architecture»
22. TinyCheck [github.com/KasperskyLab/TinyCheck] Анализ смартфонов на наличие программ-шпионов
23. Meshroom [github.com/alicevision/meshroom] Воссоздание 3d моделей по фото
24. ExifTool [play.google.com/store/apps/details?id=com.exiftool.free] просмотр EXIF
25. Depix [github.com/beurtschipper/Depix] Восстановление изображений
26. Maltrail [github.com/stamparm/maltrail] Анализ сетевого траффика
27. Timesketch [github.com/google/timesketch] Система криминалистического анализа windows систтем
28. Hindsight [github.com/obsidianforensics/hindsight] Извлечение данных из Google Chrome
29. Paladin [sumuri.com/product-category/brands/paladin/]
30. Xplico [www.xplico.org] Анализ сетевой активности
31. Mobile Revelator [github.com/bkerler/MR] извлечения данных с мобильных платформ
32. Logon Tracker [github.com/JPCERTCC/LogonTracer] отслеживание сетевой активности и действий пользователей
33. Getghiro [www.getghiro.org] Форензика фото
34. SmartDeblur [github.com/Y-Vladimir/SmartDeblur] Восставновление смазанных изображений
35. Video Cleaner [videocleaner.com] Восстановление видео данных
36. HttpCanary [https://github.com/MegatronKing/HttpCanary] Анализ сетевой активности
37. App Manager [https://muntashirakon.github.io/AppManager/] Анализ андроид приложений
Packet Strider
[https://github.com/benjeems/packetStrider]
Инструмент сетевой криминалистики, который призван обеспечить понимание природы трафика SSH. Несмотря на то, что SSH зашифрован, в сетевом трафике все еще существует полезная информация.
• более 40 характеристик формируются из метаданных пакета, таких как содержание сообщения протокола SSH, нормализованная статистика, направление, размер, задержка и т.д.
• сопоставление шаблонов по признакам, используя статистический анализ. Также вывод статистических графиков.
• идентификация обратного сеанса SSH (-R)
• прогнозы и отчеты о метаданных по каждому потоку
• идентификация использования опции -A (SSH Agent Forwarding)
• установление факта того, что известен ли уже сервер клиенту или соединение между ними было установлено впервые
• факт использования сертификата клиента или пароля, а также длина пароля - 8 символов или меньше
#network #forensic #ssh #pcap
[https://github.com/benjeems/packetStrider]
Инструмент сетевой криминалистики, который призван обеспечить понимание природы трафика SSH. Несмотря на то, что SSH зашифрован, в сетевом трафике все еще существует полезная информация.
• более 40 характеристик формируются из метаданных пакета, таких как содержание сообщения протокола SSH, нормализованная статистика, направление, размер, задержка и т.д.
• сопоставление шаблонов по признакам, используя статистический анализ. Также вывод статистических графиков.
• идентификация обратного сеанса SSH (-R)
• прогнозы и отчеты о метаданных по каждому потоку
• идентификация использования опции -A (SSH Agent Forwarding)
• установление факта того, что известен ли уже сервер клиенту или соединение между ними было установлено впервые
• факт использования сертификата клиента или пароля, а также длина пароля - 8 символов или меньше
#network #forensic #ssh #pcap
dfir_ntfs
[https://github.com/msuhanov/dfir_ntfs]
парсер файловой системы NTFS, написанный на Python и предназначенный для мероприятий цифровой криминалистики и реагирования на инциденты
- парсит файлы $MFT, $UsnJrnl:$J, извлекает как можно больше данных.
- производит разбор томов, образов томов и теневых копий томов.
- извлечение строк имен файлов из частичных атрибутов $FILE_NAME в файловой записи, а также дополнительная проверка атрибутов $FILE_NAME в индексных записях.
- печать информации из индексных записей, найденных в журнале $LogFile.
- способен анализировать tracking.log (который содержит перемещаемую таблицу — список идентификаторов объектов и идентификаторов машин для файлов, перемещенных на другие тома). Для тома с общим сетевым ресурсом это может дать список клиентских компьютеров.
#windows #dfir #forensic #recovery #ntfs #python
[https://github.com/msuhanov/dfir_ntfs]
парсер файловой системы NTFS, написанный на Python и предназначенный для мероприятий цифровой криминалистики и реагирования на инциденты
- парсит файлы $MFT, $UsnJrnl:$J, извлекает как можно больше данных.
- производит разбор томов, образов томов и теневых копий томов.
- извлечение строк имен файлов из частичных атрибутов $FILE_NAME в файловой записи, а также дополнительная проверка атрибутов $FILE_NAME в индексных записях.
- печать информации из индексных записей, найденных в журнале $LogFile.
- способен анализировать tracking.log (который содержит перемещаемую таблицу — список идентификаторов объектов и идентификаторов машин для файлов, перемещенных на другие тома). Для тома с общим сетевым ресурсом это может дать список клиентских компьютеров.
#windows #dfir #forensic #recovery #ntfs #python
GitHub
GitHub - msuhanov/dfir_ntfs: An NTFS/FAT parser for digital forensics & incident response
An NTFS/FAT parser for digital forensics & incident response - msuhanov/dfir_ntfs
👍1
This media is not supported in your browser
VIEW IN TELEGRAM
Adamantium-Thief
[https://github.com/LimerBoy/Adamantium-Thief]
FireFox-Thief
[https://github.com/LimerBoy/FireFox-Thief]
Приложения, позволяющие получить данные из chromium и firefox браузеров: пароли, данные кредитных карт, историю, файлы cookie, закладки, автозаполнение.
• Chromium browsers list: Google Chrome, Opera, Chromium, Brave-Browser, Epic Privacy Browser, Amigo, Vivaldi, Sputnik, Yandex(old) и др.
• Firefox browsers list: Firefox, Waterfox, Cyberfox, Thunderbird, IceDragon и др.
#browser #history #password #forensic
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
[https://github.com/LimerBoy/Adamantium-Thief]
FireFox-Thief
[https://github.com/LimerBoy/FireFox-Thief]
Приложения, позволяющие получить данные из chromium и firefox браузеров: пароли, данные кредитных карт, историю, файлы cookie, закладки, автозаполнение.
• Chromium browsers list: Google Chrome, Opera, Chromium, Brave-Browser, Epic Privacy Browser, Amigo, Vivaldi, Sputnik, Yandex(old) и др.
• Firefox browsers list: Firefox, Waterfox, Cyberfox, Thunderbird, IceDragon и др.
#browser #history #password #forensic
-------------------
Друзья, чтите уголовный кодекс. Данный материал представлен сугубо в ознакомительных целях на собственный страх и риск.
WindowsTimeline
[https://kacos2000.github.io/WindowsTimeline/]
приложение, позволяющее просмотреть данные файла ActivitiesCache.db (\Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\), которые содержит различные типы активности пользователя. Для работы необходима System.Data.SQLite.dll.
• Декодирует текст буфера обмена
• Сопоставляет информацию об устройстве с данными из реестра (HKCU или NTuser.dat)
• Опционально экспортирует вывод в .csv
• Совместим с Windows 1703/1709/1803/1809/1903/1909/2004 и др.
• В дополнение приложение Clippy, которое извлекает текущие и удаленные текстовые записи буфера обмена
#forensic #timeline #windows
[https://kacos2000.github.io/WindowsTimeline/]
приложение, позволяющее просмотреть данные файла ActivitiesCache.db (\Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\), которые содержит различные типы активности пользователя. Для работы необходима System.Data.SQLite.dll.
• Декодирует текст буфера обмена
• Сопоставляет информацию об устройстве с данными из реестра (HKCU или NTuser.dat)
• Опционально экспортирует вывод в .csv
• Совместим с Windows 1703/1709/1803/1809/1903/1909/2004 и др.
• В дополнение приложение Clippy, которое извлекает текущие и удаленные текстовые записи буфера обмена
#forensic #timeline #windows
👍1
Набор утилит для анализа Cobalt Strike beacon
Злоумышленники зачастую используют Cobalt Strike для эксплуатации и постэксплуатации. В качестве полезной нагрузки используется «маяк» (beacon). Маяк устанавливается на целевую машину, обеспечивает устойчивый удаленный доступ к скомпрометированным устройствам и большую часть времени находится в состоянии сна. В связи с этим его очень непросто обнаружить. Связь между скомпрометированной машиной и злоумышленником (сервером Cobalt Strike (C2)) шифруется с помощью ключа AES. Этот ключ можно использовать для расшифровки метаданных и трафика, который создается полезной нагрузкой. Данные инструменты позволяют детектировать активность злоумышленника с помощью анализа конфигурации маяка, дешифровки метаданных и трафика, а также извлечения ключей из памяти процесса (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump).
• 1768.py [https://blog.didierstevens.com/2021/11/21/update-1768-py-version-0-0-10/] -
• cs-decrypt-metadata.py [https://blog.didierstevens.com/2021/11/12/update-cs-decrypt-metadata-py-version-0-0-2/]
• cs-parse-http-traffic.py [https://github.com/DidierStevens/Beta/blob/master/cs-parse-http-traffic.py]
• cs-analyze-processdump.py [https://blog.didierstevens.com/2021/11/25/new-tool-cs-analyze-processdump-py/]
• cs-extract-key.py [https://blog.didierstevens.com/2021/11/03/new-tool-cs-extract-key-py/]
Конкретный пример использования инструментов можно увидеть здесь - https://www.youtube.com/watch?v=VkRQTRtwJW8
#network #forensic #python
Злоумышленники зачастую используют Cobalt Strike для эксплуатации и постэксплуатации. В качестве полезной нагрузки используется «маяк» (beacon). Маяк устанавливается на целевую машину, обеспечивает устойчивый удаленный доступ к скомпрометированным устройствам и большую часть времени находится в состоянии сна. В связи с этим его очень непросто обнаружить. Связь между скомпрометированной машиной и злоумышленником (сервером Cobalt Strike (C2)) шифруется с помощью ключа AES. Этот ключ можно использовать для расшифровки метаданных и трафика, который создается полезной нагрузкой. Данные инструменты позволяют детектировать активность злоумышленника с помощью анализа конфигурации маяка, дешифровки метаданных и трафика, а также извлечения ключей из памяти процесса (https://docs.microsoft.com/en-us/sysinternals/downloads/procdump).
• 1768.py [https://blog.didierstevens.com/2021/11/21/update-1768-py-version-0-0-10/] -
• cs-decrypt-metadata.py [https://blog.didierstevens.com/2021/11/12/update-cs-decrypt-metadata-py-version-0-0-2/]
• cs-parse-http-traffic.py [https://github.com/DidierStevens/Beta/blob/master/cs-parse-http-traffic.py]
• cs-analyze-processdump.py [https://blog.didierstevens.com/2021/11/25/new-tool-cs-analyze-processdump-py/]
• cs-extract-key.py [https://blog.didierstevens.com/2021/11/03/new-tool-cs-extract-key-py/]
Конкретный пример использования инструментов можно увидеть здесь - https://www.youtube.com/watch?v=VkRQTRtwJW8
#network #forensic #python
Analyze MFT
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
GitHub
GitHub - rowingdude/analyzeMFT: analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results…
analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results as accurately as possible in multiple formats. - rowingdude/analyzeMFT
malware-traffic-analysis
[https://www.malware-traffic-analysis.net/index.html]
набор файлов сетевого трафика pcap, содержащих действия образцов вредоносных программ. Отлично подойдет для изучения криминалистического анализа сетевого трафика.
• с 2013 года опубликовано уже 1800 записей
• помимо файлов pcap предоставляет массу полезного учебного материала - https://www.malware-traffic-analysis.net/tutorials/index.html
#network #forensic
[https://www.malware-traffic-analysis.net/index.html]
набор файлов сетевого трафика pcap, содержащих действия образцов вредоносных программ. Отлично подойдет для изучения криминалистического анализа сетевого трафика.
• с 2013 года опубликовано уже 1800 записей
• помимо файлов pcap предоставляет массу полезного учебного материала - https://www.malware-traffic-analysis.net/tutorials/index.html
#network #forensic
TheHive
[https://github.com/TheHive-Project/TheHive]
масштабируемая система менеджмента инцидентов безопасности, предназначенная для SOC, CSIRT, CERT специалистов, да и любых специалистов ИБ, занимающихся реагированием на инциденты и расследованием. Состоит из двух модулей: сам TheHive для регистрации, обработки и работы над инцидентами и Cortex для анализа и обогащения информации десятков, а то и сотен наблюдаемых данных. Очень удобно для работы в команде.
• поддержка различных модулей аутентификации (LDAP, AD, OAUTH2)
• мощный модуль статистики
• реализованы различные стратегии работы: изолированная и многопользовательская среды
• различные профили пользователей (RBAC), связанных с расследованием
• интегрируется с MISP
#forensic #dfir
[https://github.com/TheHive-Project/TheHive]
масштабируемая система менеджмента инцидентов безопасности, предназначенная для SOC, CSIRT, CERT специалистов, да и любых специалистов ИБ, занимающихся реагированием на инциденты и расследованием. Состоит из двух модулей: сам TheHive для регистрации, обработки и работы над инцидентами и Cortex для анализа и обогащения информации десятков, а то и сотен наблюдаемых данных. Очень удобно для работы в команде.
• поддержка различных модулей аутентификации (LDAP, AD, OAUTH2)
• мощный модуль статистики
• реализованы различные стратегии работы: изолированная и многопользовательская среды
• различные профили пользователей (RBAC), связанных с расследованием
• интегрируется с MISP
#forensic #dfir
The CFReDS Project
[https://cfreds-archive.nist.gov/]
Эталонные наборы данных компьютерной криминалистики для обучения. Предлагают исследователю документированные наборы смоделированных кейсов для решения задач по криминалистическому анализу данных . Создатели выделяют четыре наиболее очевидных варианта применения - это тестирование криминалистических инструментов, установление исправности оборудования, проверка навыков в определенных областях и обучение персонала. Например, в деле об утечке данных, вы столкнётесь с образом ноутбука Dell, который предположительно использовался для кражи интеллектуальной собственности.
#forensic #image #digital
[https://cfreds-archive.nist.gov/]
Эталонные наборы данных компьютерной криминалистики для обучения. Предлагают исследователю документированные наборы смоделированных кейсов для решения задач по криминалистическому анализу данных . Создатели выделяют четыре наиболее очевидных варианта применения - это тестирование криминалистических инструментов, установление исправности оборудования, проверка навыков в определенных областях и обучение персонала. Например, в деле об утечке данных, вы столкнётесь с образом ноутбука Dell, который предположительно использовался для кражи интеллектуальной собственности.
#forensic #image #digital
Репозиторий с материалами цифровой криминалистики
[https://github.com/frankwxu/digital-forensics-lab]
Практические лаборатории и учебный материал по цифровой криминалистике, предназначенные для студентов и преподавателей
• Все кейсы основаны исключительно на Kali Linux
• Для каждого кейса есть презентация со скриншотами инструкций.
• Охватывает множество тем по цифровой криминалистике
• Все упоминаемые инструменты с открытым исходным кодом
• В наличии формализованные криминалистические экспертизы в файлах JSON
#forensic #linux #digital
[https://github.com/frankwxu/digital-forensics-lab]
Практические лаборатории и учебный материал по цифровой криминалистике, предназначенные для студентов и преподавателей
• Все кейсы основаны исключительно на Kali Linux
• Для каждого кейса есть презентация со скриншотами инструкций.
• Охватывает множество тем по цифровой криминалистике
• Все упоминаемые инструменты с открытым исходным кодом
• В наличии формализованные криминалистические экспертизы в файлах JSON
#forensic #linux #digital
GitHub
GitHub - frankwxu/digital-forensics-lab: Free hands-on digital forensics labs for students and faculty
Free hands-on digital forensics labs for students and faculty - frankwxu/digital-forensics-lab
Forwarded from BeholderIsHere Media HUB (Beholder Is Here)
Еще в 2020, я писал про этот интересный проект [ t.iss.one/forensictools/47 ] позволяющий по звуку клавиатуры распознать нажатые клавиши. Тогда это было похоже на интересный эусперемент, но авто не ковырялся пальцем в носу а всячески работал дальше над этим проектом. И вот уже спустя 2 года, проект дожил до своей третьей версии с очень наглядной демонстрацией [ keytap3.ggerganov.com ]
Потенциал подобного я думаю не надо для вас разьеснять :)
Потенциал подобного я думаю не надо для вас разьеснять :)
👍11👎2
Forwarded from 0% Privacy
|Investigating an engineering workstation|
🤙Шизо на связи.
🕵️♂️Цикл статей от NVISO Labs про проведение расследования на рабочей станции(инженера) с установленной win10 и установленной на машине Siemens TIA Portal(программный комплекс для проектирования компонентов автоматизации SIMATIC, объединяя в себе STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES и SIMOTION SCOUT TIA).
Серия статей посвящена тому, какие данные можно вытащить из тех, которые генерирует TIA портал, что может пригодиться при проведении расследовании кибер преступлений и не только.
Процесс вытаскивания данных описывается подробно, начиная от объяснения структуры проекта до использование популярных тулзов: strings, xdd и diff для первичного анализа, также показано автором как вытащить данные об активности загрузки из проекта. Причём первичный анализ можно провести с помощью стандартных методов для семейства windows.
Кстати, что не мало важно, казалось бы в безобидном файле "Settings.xml" содержится много интересной информации для форензик-специалиста. Для автоматизации извлечения информации из этого файла, автор написал скрипт автоматизации на питоне(жмакай).
Как я понял после прочтения и попыток воссоздать шаги, приведенные автором, что от версии к версии нужно применять отличающиеся способы анализа, ведь как заметил автор это всё применительно только к версии 15.1 и в других версиях могут создаваться иные форматы или меняться поведение программного комплекса, приводящее к новым трудностям.
Как пишет автор, скоро выйдет новая статья про анализ сетевого трафика во время исследования активности.
Вот собственно ссылки на статьи:
🔎Часть1
🔎Часть2
🔎Часть3
🤙The Shizo is in touch.
🕵️♂️A series of articles from NVISO Labs about conducting an investigation on a workstation (engineer) with win10 installed and a Siemens TIA Portal installed on a machine (a software package for designing automation components SIMATIC, combining STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES and SIMOTION SCOUT TIA).
A series of articles is devoted to what data can be extracted from those generated by the TIA portal, which can be useful when investigating cyber crimes and not only.
The process of pulling out data is described in detail, ranging from explaining the structure of the project to using popular tools: strings, xdd and diff for primary analysis, and the author also shows how to pull data on download activity from the project. Moreover, the primary analysis can be carried out using standard methods for the windows family.
By the way, which is not a little important, it would seem in a harmless file "Settings.xml " there is a lot of interesting information for a forensic specialist. To automate the extraction of information from this file, the author wrote an automation script on python (click).
As I realized after reading and trying to recreate the steps given by the author, it is necessary to apply different methods of analysis from version to version, because as the author noted, this is all applied only to version 15.1 and other versions may create other formats or change the behavior of the software package, leading to new difficulties.
According to the author, a new article about the analysis of network traffic during activity research will be published soon.
Here are the actual links to the articles:
🔎Part1
🔎Part2
🔎Part3
#forensic #investigation
🤙Шизо на связи.
🕵️♂️Цикл статей от NVISO Labs про проведение расследования на рабочей станции(инженера) с установленной win10 и установленной на машине Siemens TIA Portal(программный комплекс для проектирования компонентов автоматизации SIMATIC, объединяя в себе STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES и SIMOTION SCOUT TIA).
Серия статей посвящена тому, какие данные можно вытащить из тех, которые генерирует TIA портал, что может пригодиться при проведении расследовании кибер преступлений и не только.
Процесс вытаскивания данных описывается подробно, начиная от объяснения структуры проекта до использование популярных тулзов: strings, xdd и diff для первичного анализа, также показано автором как вытащить данные об активности загрузки из проекта. Причём первичный анализ можно провести с помощью стандартных методов для семейства windows.
Кстати, что не мало важно, казалось бы в безобидном файле "Settings.xml" содержится много интересной информации для форензик-специалиста. Для автоматизации извлечения информации из этого файла, автор написал скрипт автоматизации на питоне(жмакай).
Как я понял после прочтения и попыток воссоздать шаги, приведенные автором, что от версии к версии нужно применять отличающиеся способы анализа, ведь как заметил автор это всё применительно только к версии 15.1 и в других версиях могут создаваться иные форматы или меняться поведение программного комплекса, приводящее к новым трудностям.
Как пишет автор, скоро выйдет новая статья про анализ сетевого трафика во время исследования активности.
Вот собственно ссылки на статьи:
🔎Часть1
🔎Часть2
🔎Часть3
🤙The Shizo is in touch.
🕵️♂️A series of articles from NVISO Labs about conducting an investigation on a workstation (engineer) with win10 installed and a Siemens TIA Portal installed on a machine (a software package for designing automation components SIMATIC, combining STEP 7, WinCC, SINAMICS StartDrive, SIMOCODE ES and SIMOTION SCOUT TIA).
A series of articles is devoted to what data can be extracted from those generated by the TIA portal, which can be useful when investigating cyber crimes and not only.
The process of pulling out data is described in detail, ranging from explaining the structure of the project to using popular tools: strings, xdd and diff for primary analysis, and the author also shows how to pull data on download activity from the project. Moreover, the primary analysis can be carried out using standard methods for the windows family.
By the way, which is not a little important, it would seem in a harmless file "Settings.xml " there is a lot of interesting information for a forensic specialist. To automate the extraction of information from this file, the author wrote an automation script on python (click).
As I realized after reading and trying to recreate the steps given by the author, it is necessary to apply different methods of analysis from version to version, because as the author noted, this is all applied only to version 15.1 and other versions may create other formats or change the behavior of the software package, leading to new difficulties.
According to the author, a new article about the analysis of network traffic during activity research will be published soon.
Here are the actual links to the articles:
🔎Part1
🔎Part2
🔎Part3
#forensic #investigation
👍9👎1
IFING Scanner
📚 Раздел: #ЦифроваяКриминалистика
📄 Описание: Приложение для смартфона, позволяющее при помощи камеры создавать полные дактилоскопические карты отпечатков пальцев и ладоней. Функционал позволяет делиться зашифрованными картами и агрегировать коллекцию карт с отпечатками в формате .jpg и .wsq
💻 Платформа: Android
💳 Стоимость: Бесплатно / Платно за полный функционал.
🏷 #forensic #fingerprint
Инструментарий | Консалтинг
📚 Раздел: #ЦифроваяКриминалистика
📄 Описание: Приложение для смартфона, позволяющее при помощи камеры создавать полные дактилоскопические карты отпечатков пальцев и ладоней. Функционал позволяет делиться зашифрованными картами и агрегировать коллекцию карт с отпечатками в формате .jpg и .wsq
💻 Платформа: Android
💳 Стоимость: Бесплатно / Платно за полный функционал.
🏷 #forensic #fingerprint
Инструментарий | Консалтинг