Огромный набор полезных шпаргалок по форензике и реагированию на инциденты!
[https://www.jaiminton.com/cheatsheet/DFIR/#]
[https://www.jaiminton.com/cheatsheet/DFIR/#]
Jai Minton
Digital Forensics and Incident Response
Cheatsheet containing a variety of commands and concepts relating to digital forensics and incident response.
👍8🔥3🎉1
Сегодня 13 января в 20.00 по мск поговорим про бизнес на безопаности! Мы пригласили коллег из tomhunter.ru - компании предлагающий полный спектр услуг в области безопаности, что бы разобраться, с какими проблемами обращаются люди, сколько денег зарабатывается на услугах и что наиболее востребованно сейчас на рынке! Ваши вопросы, как всегда, ждем в комментариях к этому посту! И конечно же вы их можете задать лично во время эфира!
👍6
Forwarded from Интернет-Розыск
Shodan поисковые операторы
♾ https://cheatsheet-maker.herokuapp.com/sheet/61df0d1a9ee9010015bc5ebe
♾ https://cheatsheet-maker.herokuapp.com/sheet/61df0d1a9ee9010015bc5ebe
👍4
Investigation & Forensic TOOLS pinned «Сегодня 13 января в 20.00 по мск поговорим про бизнес на безопаности! Мы пригласили коллег из tomhunter.ru - компании предлагающий полный спектр услуг в области безопаности, что бы разобраться, с какими проблемами обращаются люди, сколько денег зарабатывается…»
Артефакты судебной экспертизы ОС и приложений, связанные с Windows 10. Хоть и с 2015го, но полезность данная презентация не истратила!
https://www.slideshare.net/bsmuir/windows-10-forensics-os-evidentiary-artefacts
https://www.slideshare.net/bsmuir/windows-10-forensics-os-evidentiary-artefacts
www.slideshare.net
Windows 10 Forensics: OS Evidentiary Artefacts
Windows 10 Forensics: OS Evidentiary Artefacts - Download as a PDF or view online for free
👍10
В этой статье рассказано о исследованиях и разработке плагинов для Volatility, если кого-то интересует как выглядит этот рабочий процесс и как злоупотребление API вредоносным ПО или новая техника инъекции могут быть успешно выявлены плагином Volatility. Чтобы продемонстрировать этот процесс, в статье анализируется функция Skeleton Key в Mimikatz и параллельно разрабатывается плагин для Volatility 3, который может успешно обнаружить эту технику бэкдора в образах оперативной памяти.
[https://volatility-labs.blogspot.com/2021/10/memory-forensics-r-illustrated.html]
[https://volatility-labs.blogspot.com/2021/10/memory-forensics-r-illustrated.html]
Blogspot
Memory Forensics R&D Illustrated: Detecting Mimikatz's Skeleton Key Attack
In this blog post, we are going to walk you through the research and development process that leads to new and powerful memory analysis capa...
👍2
Небольшой список библиотек для работы с API реестра Windows
Реализуют все основные операции с реестром: открытие/создание/удаление ключей, загрузка улья приложения из файла, чтение и запись значений.
winreg [https://github.com/gentoo90/winreg-rs]
Оболочка на Rust к API реестра MS Windows.
WinReg v4.1.2 [https://github.com/GiovanniDicanio/WinReg]
Несколько C++ функций вокруг низкоуровневого и сложного в использовании C-интерфейса реестра Windows, разработанный с целью чтобы снизить порог входа, используя C++ классы.
_winreg [https://docs.python.org/3/library/winreg.html]
Функции предоставляют API реестра Windows для Python.
Реализуют все основные операции с реестром: открытие/создание/удаление ключей, загрузка улья приложения из файла, чтение и запись значений.
winreg [https://github.com/gentoo90/winreg-rs]
Оболочка на Rust к API реестра MS Windows.
WinReg v4.1.2 [https://github.com/GiovanniDicanio/WinReg]
Несколько C++ функций вокруг низкоуровневого и сложного в использовании C-интерфейса реестра Windows, разработанный с целью чтобы снизить порог входа, используя C++ классы.
_winreg [https://docs.python.org/3/library/winreg.html]
Функции предоставляют API реестра Windows для Python.
👍4
The LeechCore Physical Memory Acquisition Library
[https://github.com/ufrisk/LeechCore]
Библиотека для получения образа оперативной памяти устройства.
• большой список поддерживаемых программных и аппаратных методов сбора памяти.
• используйте библиотеку LeechCore локально или подключайтесь к LeechAgent по сети для получения образа памяти или удаленного выполнения команд.
Wiki - https://github.com/ufrisk/LeechCore/wiki
Демонстрация работы - https://www.youtube.com/watch?v=UIsNWJ5KTvQ
[https://github.com/ufrisk/LeechCore]
Библиотека для получения образа оперативной памяти устройства.
• большой список поддерживаемых программных и аппаратных методов сбора памяти.
• используйте библиотеку LeechCore локально или подключайтесь к LeechAgent по сети для получения образа памяти или удаленного выполнения команд.
Wiki - https://github.com/ufrisk/LeechCore/wiki
Демонстрация работы - https://www.youtube.com/watch?v=UIsNWJ5KTvQ
GitHub
GitHub - ufrisk/LeechCore: LeechCore - Physical Memory Acquisition Library & The LeechAgent Remote Memory Acquisition Agent
LeechCore - Physical Memory Acquisition Library & The LeechAgent Remote Memory Acquisition Agent - ufrisk/LeechCore
👍5
The Memory Process File System (MemProcFS)
[https://github.com/ufrisk/MemProcFS]
ПО и библиотека для доступа к содержимому оперативной памяти и артефактам в виде файлов смонтированной виртуальной файловой системы.
• анализирует файлы дампов памяти, образы через DumpIt или WinPMEM, память в режиме чтения-записи через связанные устройства PCILeech и PCILeech-FPGA!
• можно даже подключиться к удаленному агенту сбора данных памяти LeechAgent через защищенное соединение
• Все в MemProcFS доступно через простой в использовании API для C/C++, C# или Python, что позволяет использовать функции в собственных проектах
• MemProcFS доступен в Python pip.
Wiki - https://github.com/ufrisk/MemProcFS/wiki
Демонстрация работы - https://www.youtube.com/watch?v=pLFU1lxBNM0
[https://github.com/ufrisk/MemProcFS]
ПО и библиотека для доступа к содержимому оперативной памяти и артефактам в виде файлов смонтированной виртуальной файловой системы.
• анализирует файлы дампов памяти, образы через DumpIt или WinPMEM, память в режиме чтения-записи через связанные устройства PCILeech и PCILeech-FPGA!
• можно даже подключиться к удаленному агенту сбора данных памяти LeechAgent через защищенное соединение
• Все в MemProcFS доступно через простой в использовании API для C/C++, C# или Python, что позволяет использовать функции в собственных проектах
• MemProcFS доступен в Python pip.
Wiki - https://github.com/ufrisk/MemProcFS/wiki
Демонстрация работы - https://www.youtube.com/watch?v=pLFU1lxBNM0
👍8
13Cubed [https://www.youtube.com/c/13cubed/featured] - этот канал охватывает темы, связанные с информационной безопасностью, включая цифровую криминалистику и реагирование на инциденты (DFIR) и тестирование на проникновение, а также учебные пособия и обзоры различных приложений и сценариев.
Learn Forensics [youtube.com/c/HackingexposedcomputerforensicsblogBlogspot/featured] - еще один канал, посвященный компьютерной криминалистике.
Learn Forensics [youtube.com/c/HackingexposedcomputerforensicsblogBlogspot/featured] - еще один канал, посвященный компьютерной криминалистике.
👍5
Forwarded from Russian OSINT
🚸 Новый OSINT toolkit под названием Telepathy для сбора данных в Telegram группах:
https://github.com/jordanwildon/Telepathy
https://github.com/jordanwildon/Telepathy
GitHub
GitHub - prose-intelligence-ltd/Telepathy-Community: Public release of Telepathy, an OSINT toolkit for investigating Telegram chats.
Public release of Telepathy, an OSINT toolkit for investigating Telegram chats. - prose-intelligence-ltd/Telepathy-Community
👍3
Interceptor-NG
[ sniff.su ]
Один из самых популярных сетевых сниферов, позволяющий проводить тестирование на устойчивость вашей сетевой инфраструктуры к MITM атакам.
Функционал:
◦ перехват авторизации следующих протоколов ICQ\IRC\AIM\FTP\IMAP\POP3\SMTP\LDAP\BNC\SOCKS\HTTP\WWW\NNTP\CVS\TELNET\MRA\DC++\VNC\MYSQL\ORACLE\NTLM\KRB5\RADIUS
◦ перехват сообщений следующих месенджеров ICQ\AIM\JABBER\YAHOO\MSN\IRC\MRA
◦ Smart Scanning with OS\Device detection using tcp fingerprints
◦ Security Scanner X-Scan
◦ ARP Poisoning \ SSLStrip with HSTS Spoofing \ DNS Spoofing \ Forced Download \ HTTP Injections
◦ ARP Watch \ ARP Cage
◦ Захват пакетов для дальнейшего анализа
Быстр, мощен, максимально прост и удобен! Имеет версии под Linux, Android и Windows.
Репозиторий: https://github.com/intercepter-ng/intercepter-ng.github.io
Канал в TG: t.me/cepter
———
Коллеги, чтите Уголовный Кодекс! Этот проект предназначен исключительно для исследовательских и учебных целей. Любое другое его использование может нарушать законодательство той страны, в которой вы находитесь. И мы за это ответственности не несем и всячески порицаем!
[ sniff.su ]
Один из самых популярных сетевых сниферов, позволяющий проводить тестирование на устойчивость вашей сетевой инфраструктуры к MITM атакам.
Функционал:
◦ перехват авторизации следующих протоколов ICQ\IRC\AIM\FTP\IMAP\POP3\SMTP\LDAP\BNC\SOCKS\HTTP\WWW\NNTP\CVS\TELNET\MRA\DC++\VNC\MYSQL\ORACLE\NTLM\KRB5\RADIUS
◦ перехват сообщений следующих месенджеров ICQ\AIM\JABBER\YAHOO\MSN\IRC\MRA
◦ Smart Scanning with OS\Device detection using tcp fingerprints
◦ Security Scanner X-Scan
◦ ARP Poisoning \ SSLStrip with HSTS Spoofing \ DNS Spoofing \ Forced Download \ HTTP Injections
◦ ARP Watch \ ARP Cage
◦ Захват пакетов для дальнейшего анализа
Быстр, мощен, максимально прост и удобен! Имеет версии под Linux, Android и Windows.
Репозиторий: https://github.com/intercepter-ng/intercepter-ng.github.io
Канал в TG: t.me/cepter
———
Коллеги, чтите Уголовный Кодекс! Этот проект предназначен исключительно для исследовательских и учебных целей. Любое другое его использование может нарушать законодательство той страны, в которой вы находитесь. И мы за это ответственности не несем и всячески порицаем!
👍6
Перевод старой статьи [https://habr.com/ru/post/523054/], который может быть полезен для криминалистов, работающих с различными носителями данных. Судя по комментариям, автор статьи никто иной, как легенда своего времени Dejan Kaljevic (https://ru.wikipedia.org/wiki/Калевич,_Деян)
Хабр
Аппаратный взлом жёсткого диска
Жёсткие диски: если вы читаете эту статью, то с большой вероятностью у вас есть одно или несколько таких устройств. Они довольно просты и, по сути, представляют собой набор 512-байтных секторов,...
👍8
This media is not supported in your browser
VIEW IN TELEGRAM
В конце декабря прошлого года, после почти 4 годичного перерыва обновился один из самых популярных сетевых снифферов - Intercepter NG… И в честь этого, знаменательного события, мы пригласили одного из самых видных экспертов в области MITM атак и по совместительству, автора этого легендарного инструмента - Ares -а
В четверг, 20 января, в 20.00 по МСК на канале t.me/ForensicTools
Свой вопрос вы можете задать лично во время эфира или по традиции - в комментариях к этому посту!
В четверг, 20 января, в 20.00 по МСК на канале t.me/ForensicTools
Свой вопрос вы можете задать лично во время эфира или по традиции - в комментариях к этому посту!
🔥23👍3👎1
Linux_Forensic_Harvester
[https://github.com/theflakes/Linux_Forensic_Harvester]
Инструмент быстрой сортировки для Linux тачек, который проверяет метаданные каталогов и файлов. Содержимое некоторых файлов исследуется в поисках других интересных строк. Например, если в файле есть ссылка на другой файл, метаданные этого файла также будут получены. О других интересных строках, найденных в содержимом файлов, также сообщается: IP, пути к файлам, URL, шеллкод, кодировки Base64 и misc, а также пути UNC. Утилита выводит очень много данных, поэтому я бы добавил вывод в какой-нибудь ELK.
• Добавлен разбор виртуальной файловой системы procfc для получения информации о процессе
• Отчет о принадлежности к локальным пользователям, /etc/passwd, и группам, /etc/groups
• Идентификация "интересных" записей журнала
• Обнаружение web-shell
• История команд
• Setuid / setgid
#linux #rust #triage
[https://github.com/theflakes/Linux_Forensic_Harvester]
Инструмент быстрой сортировки для Linux тачек, который проверяет метаданные каталогов и файлов. Содержимое некоторых файлов исследуется в поисках других интересных строк. Например, если в файле есть ссылка на другой файл, метаданные этого файла также будут получены. О других интересных строках, найденных в содержимом файлов, также сообщается: IP, пути к файлам, URL, шеллкод, кодировки Base64 и misc, а также пути UNC. Утилита выводит очень много данных, поэтому я бы добавил вывод в какой-нибудь ELK.
• Добавлен разбор виртуальной файловой системы procfc для получения информации о процессе
• Отчет о принадлежности к локальным пользователям, /etc/passwd, и группам, /etc/groups
• Идентификация "интересных" записей журнала
• Обнаружение web-shell
• История команд
• Setuid / setgid
#linux #rust #triage
👍8
reg_hunter
[https://github.com/theflakes/reg_hunter]
Инструмент криминалистики реестра Windows. Помимо функционала обычного просмотра и поиска ключей и веток ресстра, имеет ряд удобного для криминалитса функционала.
• Выходные данные представлены в формате JSON с разграничением строк.
• Позволяет выводить только те ключи и значения реестра, которые могут быть полезны криминалисту.
• Поиск MZ-заголовков, командных оболочек, lnk-файлов, email, IPv4-адресов, сценариев и многого другого
• Имеет вывод результатов по сети, что может быть удобно в корпоративной сети.
• Возможно задать временное окно, по которому будут выведены только те ключи, которые были записаны в указанном интервале.
#registry #windows #rust
[https://github.com/theflakes/reg_hunter]
Инструмент криминалистики реестра Windows. Помимо функционала обычного просмотра и поиска ключей и веток ресстра, имеет ряд удобного для криминалитса функционала.
• Выходные данные представлены в формате JSON с разграничением строк.
• Позволяет выводить только те ключи и значения реестра, которые могут быть полезны криминалисту.
• Поиск MZ-заголовков, командных оболочек, lnk-файлов, email, IPv4-адресов, сценариев и многого другого
• Имеет вывод результатов по сети, что может быть удобно в корпоративной сети.
• Возможно задать временное окно, по которому будут выведены только те ключи, которые были записаны в указанном интервале.
#registry #windows #rust
👍8