Metadata Cleaner
[https://gitlab.com/rmnvgr/metadata-cleaner]
Метаданные в файле могут многое рассказать о нас. Этот инструмент позволяет просматривать метаданные в ваших файлах и максимально избавляться от них. Под капотом он полагается на mat2 (https://0xacab.org/jvoisin/mat2) для анализа и удаления метаданных.
#antiforensic
[https://gitlab.com/rmnvgr/metadata-cleaner]
Метаданные в файле могут многое рассказать о нас. Этот инструмент позволяет просматривать метаданные в ваших файлах и максимально избавляться от них. Под капотом он полагается на mat2 (https://0xacab.org/jvoisin/mat2) для анализа и удаления метаданных.
#antiforensic
👍6
CapAnalysis
[https://www.capanalysis.net/ca/]
анализатор трафика большого размера. Выполняет индексацию набора данных PCAP-файлов и представляет их содержимое во многих формах, начиная от списка TCP, UDP или ESP потоков до географического представления соединений.
• во время анализа сетевого трафика использует глубокую проверку пакетов (DPI)
• для каждого соединения CapAnalysis пытается определить страну пункта назначения
• мощный набор фильтров: по IP/портам, размеру данных, дате/времени и др.
• строит таймлайн соединений и имеет достаточно много различных вкладок визуализации
[https://www.capanalysis.net/ca/]
анализатор трафика большого размера. Выполняет индексацию набора данных PCAP-файлов и представляет их содержимое во многих формах, начиная от списка TCP, UDP или ESP потоков до географического представления соединений.
• во время анализа сетевого трафика использует глубокую проверку пакетов (DPI)
• для каждого соединения CapAnalysis пытается определить страну пункта назначения
• мощный набор фильтров: по IP/портам, размеру данных, дате/времени и др.
• строит таймлайн соединений и имеет достаточно много различных вкладок визуализации
👍5
RecuperaBit
[https://github.com/Lazza/RecuperaBit]
программное обеспечения для восстановления структуры поврежденной файловой системы NTFS. RecuperaBit пытается восстановить структуру каталогов независимо от отсутствующей таблицы разделов, неизвестных границ разделов или частично перезаписанных метаданных.
[https://github.com/Lazza/RecuperaBit]
программное обеспечения для восстановления структуры поврежденной файловой системы NTFS. RecuperaBit пытается восстановить структуру каталогов независимо от отсутствующей таблицы разделов, неизвестных границ разделов или частично перезаписанных метаданных.
❤8👍3
Toolsey
[https://www.toolsley.com/]
веб-сайт, посвященный тому, чтобы предоставить вам беспроблемные онлайн-инструменты, которые просто работают и могут пригодиться в работе. На сайте сразу PGP - менеджер, Верификатор электронной подписи, Вычисление хэша, Разделитель файлов, Определение формата файла, Поиск мультимедийных ресурсов в файле, Очистка метаданных, Декодер и генератор URL и паролей.
[https://www.toolsley.com/]
веб-сайт, посвященный тому, чтобы предоставить вам беспроблемные онлайн-инструменты, которые просто работают и могут пригодиться в работе. На сайте сразу PGP - менеджер, Верификатор электронной подписи, Вычисление хэша, Разделитель файлов, Определение формата файла, Поиск мультимедийных ресурсов в файле, Очистка метаданных, Декодер и генератор URL и паролей.
Toolsley
Toolsley - Browser tools for the modern web
Fast, easy to use tools for common tasks that run directly in your browser. No need to install anything.
👍7
A Docker forensics toolkit
[https://github.com/docker-forensics-toolkit/toolkit]
инструментарий для выполнения криминалистического анализа контейнеров Docker на основе криминалистических копий жестких дисков хост-системы docker.
Позволяет монтировать образ хоста, искать образы на машине и файлы журналов контейнеров, извлекает метаданные файловой системы.
• скрипт, который автоматизирует процесс сбора артефактов из docker - https://github.com/dingtoffee/linuxforensictool/blob/main/Docker%20Forensic/dockerforensic
• сценарий использования - https://github.com/docker-forensics-toolkit/toolkit/blob/master/USAGE.md
• интересная статья на эту тему - https://blog.compass-security.com/2021/11/docker-forensics/
[https://github.com/docker-forensics-toolkit/toolkit]
инструментарий для выполнения криминалистического анализа контейнеров Docker на основе криминалистических копий жестких дисков хост-системы docker.
Позволяет монтировать образ хоста, искать образы на машине и файлы журналов контейнеров, извлекает метаданные файловой системы.
• скрипт, который автоматизирует процесс сбора артефактов из docker - https://github.com/dingtoffee/linuxforensictool/blob/main/Docker%20Forensic/dockerforensic
• сценарий использования - https://github.com/docker-forensics-toolkit/toolkit/blob/master/USAGE.md
• интересная статья на эту тему - https://blog.compass-security.com/2021/11/docker-forensics/
GitHub
GitHub - docker-forensics-toolkit/toolkit: A toolkit for the post-mortem examination of Docker containers from forensic HDD copies
A toolkit for the post-mortem examination of Docker containers from forensic HDD copies - docker-forensics-toolkit/toolkit
👍9
usbrip
[ https://github.com/snovvcrash/usbrip ]
Простая консольная утилита для восстановления истории подключения USB-носителей к компьютерам под управлением Linux.
Позволяет получить следующие данные:
• Подключение (дата & время)
• Имя устройства к которому подключалось устройство
• VID (vendor ID)
• PID (product ID)
• Название устройства
• Производитель
• Серийный номер
• Порт подключения
• Отключения (дата & время)
[ https://github.com/snovvcrash/usbrip ]
Простая консольная утилита для восстановления истории подключения USB-носителей к компьютерам под управлением Linux.
Позволяет получить следующие данные:
• Подключение (дата & время)
• Имя устройства к которому подключалось устройство
• VID (vendor ID)
• PID (product ID)
• Название устройства
• Производитель
• Серийный номер
• Порт подключения
• Отключения (дата & время)
GitHub
GitHub - snovvcrash/usbrip: Tracking history of USB events on GNU/Linux
Tracking history of USB events on GNU/Linux. Contribute to snovvcrash/usbrip development by creating an account on GitHub.
👍15
Способы верификации контента для журналистов.
Верификация — это проверка, проверяемость, способ подтверждения. О чем необходимо помнить журналисту при работе с данными из открытых источников?
Основные вопросы при верификации стоит обратить внимание:
⁃ Происхождение: Является ли контент оригинальным?
⁃ Источник: Кто загрузил рассматриваемый контент?
⁃ Время и местоположение: Когда и где был создан контент?
Факторы подтверждения даты события:
⁃ газета в руках с датой выхода
⁃ штамп даты и времени в YouTube в формате Pacific Standard Time (иногда видео оказывает загруженным до того, как событие произошло).
⁃ информация о погоде. Сайт www.wolframalpha.com по запросу «what was the weather in /место/ /дата/» выдает информацию о температуре, облачности, изменении погоды во времени.
Факторы подтверждения места события:
⁃ имеют ли посты в соц сетях геометки?
⁃ видно ли вам достопримечательности (минарет, собор, знак, памятник)?
⁃ существует ли вид улицы в Google для этого места?
⁃ данные EXIF.
Факторы подтверждения видео:
⁃ знаком ли нам этот аккаунт?
⁃ зарекомендовал ли владелец этого аккаунта себя как надежный источник в прошлом?
⁃ где зарегистрирован аккаунт?
⁃ где находится человек, загрузивший контент, если судить по истории аккаунта?
⁃ являются ли описания к видео непротиворечивыми и в большей части из одного конкретного места?
⁃ устарело ли видео?
⁃ произвел ли загрузивший «чистку» видео, или он загрузил оригинальный контент?
⁃ логотип на всех видео присутствует везде?
⁃ использует ли загрузивший в письменном тексте сленг или диалект, который можно опознать в закадровом тексте видео?
⁃ все видео одного качества?
⁃ в описании виде есть ли обозначения форматов .avi или .mp4
⁃ есть ли в описании видео «Загружено через YouTube»? Если да, то возможно это был смартфон.
⁃ поищите в Twitter или Facebook по уникальному коду видео
⁃ в YouTube и Facebook уникальный код находится между буками «v=» и следующим символом «&» в адресе видео.
Верификация — это проверка, проверяемость, способ подтверждения. О чем необходимо помнить журналисту при работе с данными из открытых источников?
Основные вопросы при верификации стоит обратить внимание:
⁃ Происхождение: Является ли контент оригинальным?
⁃ Источник: Кто загрузил рассматриваемый контент?
⁃ Время и местоположение: Когда и где был создан контент?
Факторы подтверждения даты события:
⁃ газета в руках с датой выхода
⁃ штамп даты и времени в YouTube в формате Pacific Standard Time (иногда видео оказывает загруженным до того, как событие произошло).
⁃ информация о погоде. Сайт www.wolframalpha.com по запросу «what was the weather in /место/ /дата/» выдает информацию о температуре, облачности, изменении погоды во времени.
Факторы подтверждения места события:
⁃ имеют ли посты в соц сетях геометки?
⁃ видно ли вам достопримечательности (минарет, собор, знак, памятник)?
⁃ существует ли вид улицы в Google для этого места?
⁃ данные EXIF.
Факторы подтверждения видео:
⁃ знаком ли нам этот аккаунт?
⁃ зарекомендовал ли владелец этого аккаунта себя как надежный источник в прошлом?
⁃ где зарегистрирован аккаунт?
⁃ где находится человек, загрузивший контент, если судить по истории аккаунта?
⁃ являются ли описания к видео непротиворечивыми и в большей части из одного конкретного места?
⁃ устарело ли видео?
⁃ произвел ли загрузивший «чистку» видео, или он загрузил оригинальный контент?
⁃ логотип на всех видео присутствует везде?
⁃ использует ли загрузивший в письменном тексте сленг или диалект, который можно опознать в закадровом тексте видео?
⁃ все видео одного качества?
⁃ в описании виде есть ли обозначения форматов .avi или .mp4
⁃ есть ли в описании видео «Загружено через YouTube»? Если да, то возможно это был смартфон.
⁃ поищите в Twitter или Facebook по уникальному коду видео
⁃ в YouTube и Facebook уникальный код находится между буками «v=» и следующим символом «&» в адресе видео.
👍26👨💻1
10 форензик инструментов марта.pdf
4 MB
Мартовский выпуск десяти лучших бесплатных форензик инструментов по версии нашего канала
👍16👎3
KnockKnock
[ https://objective-see.com/products/knockknock.html ]
Показывает полный список элементов (программ, скриптов, команд, двоичных файлов), которые автоматически выполняются в macOS
[ https://objective-see.com/products/knockknock.html ]
Показывает полный список элементов (программ, скриптов, команд, двоичных файлов), которые автоматически выполняются в macOS
👍7
FOCA (Fingerprinting Organizations with Collected Archives)
[ https://github.com/ElevenPaths/FOCA ]
Начинавшийся как инструмент используемый в основном для поиска метаданных и скрытой информации в сканируемых документах, превратившийся в последствии в целый криминалистический комплекс для поиска документов в сети и извлечения из них истории создания и размещения. Способен анализировать широкий спектр документов.
Возможности:
• Извлечение метаданных.
• Сетевой анализ.
• Отслеживание DNS.
• Поиск общих файлов.
• Сочные файлы.
• Поиск прокси.
• Идентификация технологий.
• Фингирпринтинг.
• Утечки.
• Поиск резервных копий.
• Поиск по открытым каталогам.
Кроме того, FOCA имеет ряд плагинов для увеличения функциональности или количества атак, которые могут быть проведены на элементы, полученные в ходе анализа.
[ https://github.com/ElevenPaths/FOCA ]
Начинавшийся как инструмент используемый в основном для поиска метаданных и скрытой информации в сканируемых документах, превратившийся в последствии в целый криминалистический комплекс для поиска документов в сети и извлечения из них истории создания и размещения. Способен анализировать широкий спектр документов.
Возможности:
• Извлечение метаданных.
• Сетевой анализ.
• Отслеживание DNS.
• Поиск общих файлов.
• Сочные файлы.
• Поиск прокси.
• Идентификация технологий.
• Фингирпринтинг.
• Утечки.
• Поиск резервных копий.
• Поиск по открытым каталогам.
Кроме того, FOCA имеет ряд плагинов для увеличения функциональности или количества атак, которые могут быть проведены на элементы, полученные в ходе анализа.
👍15
MapCheking
[ https://www.mapchecking.com ]
Сервис для примерного подсчета того сколько человек может уместиться на определенной площади
[ https://www.mapchecking.com ]
Сервис для примерного подсчета того сколько человек может уместиться на определенной площади
👍6👎1
Serelay idem
[ www.serelay.com ]
Serelay Idem позволяет снимать фото и видео с дополнительным уровнем доказательства подлинности снятого вами материала. По сути это решение предназначенное для журналистов точной верификации передаваемого контента.
Загрузите фото в приложение, и оно проведет серию тестов, чтобы определить, было ли изображение изменено. В случае если изображение было изменено, приложение покажет, какая именно часть была изменена. Для защиты конфиденциальности пользователей Serelay не запоминает загруженные фотографии. Но приложение хранит "цифровые отпечатки пальцев" каждого изображения – с помощью них можно определить, было ли фото или видео изменено, даже если изменен был всего один пиксель. Так же обогащает метаданные дополнительными способами верификации местоположения (например по ближайшим wifi точкам доступа)
[ www.serelay.com ]
Serelay Idem позволяет снимать фото и видео с дополнительным уровнем доказательства подлинности снятого вами материала. По сути это решение предназначенное для журналистов точной верификации передаваемого контента.
Загрузите фото в приложение, и оно проведет серию тестов, чтобы определить, было ли изображение изменено. В случае если изображение было изменено, приложение покажет, какая именно часть была изменена. Для защиты конфиденциальности пользователей Serelay не запоминает загруженные фотографии. Но приложение хранит "цифровые отпечатки пальцев" каждого изображения – с помощью них можно определить, было ли фото или видео изменено, даже если изменен был всего один пиксель. Так же обогащает метаданные дополнительными способами верификации местоположения (например по ближайшим wifi точкам доступа)
👍15
Инструменты анализа логов Windows
epagneul
[https://github.com/jurelou/epagneul]
инструмент для визуализации и исследования журналов событий windows. За основу взят инструмент LogonTracer
(https://github.com/JPCERTCC/LogonTracer), который анализирует журнал событий входа в систему.
APT-Hunter
[https://github.com/ahmedkhlief/APT-Hunter]
инструмент обнаружения движений действий злоумышленников, скрытых в море журналов событий windows. В первую очередь, инструмент позволяет уменьшить время обнаружения подозрительной активности, что зачастую может быть необходимо. Статья автора инструмента - https://shells.systems/introducing-apt-hunter-threat-hunting-tool-via-windows-event-log/.
epagneul
[https://github.com/jurelou/epagneul]
инструмент для визуализации и исследования журналов событий windows. За основу взят инструмент LogonTracer
(https://github.com/JPCERTCC/LogonTracer), который анализирует журнал событий входа в систему.
APT-Hunter
[https://github.com/ahmedkhlief/APT-Hunter]
инструмент обнаружения движений действий злоумышленников, скрытых в море журналов событий windows. В первую очередь, инструмент позволяет уменьшить время обнаружения подозрительной активности, что зачастую может быть необходимо. Статья автора инструмента - https://shells.systems/introducing-apt-hunter-threat-hunting-tool-via-windows-event-log/.
GitHub
GitHub - jurelou/epagneul: Graph Visualization for windows event logs
Graph Visualization for windows event logs. Contribute to jurelou/epagneul development by creating an account on GitHub.
👍7
Bitscout
[https://github.com/vitaly-kamluk/bitscout]
настраиваемый конструктор загрузочной ОС, написанный полностью на языке bash. Его основная цель - помочь вам быстро создать собственный образ диска для удаленной сортировки и сбора данных из скомпрометированной системы без риска загрязнения или потери данных. Кстати, разработан экспертами лаборатории Касперского для криминальных подразделений правоохранительных органов или учебных учреждений.
• Получение образа диска даже у необученного персонала
• Удаленное сканирование автономных систем с помощью Yara или AV
• Поиск и просмотр ключей реестра
• Удаленное восстановление удаленных файлов
• Удаленное сканирование других узлов сети
[https://github.com/vitaly-kamluk/bitscout]
настраиваемый конструктор загрузочной ОС, написанный полностью на языке bash. Его основная цель - помочь вам быстро создать собственный образ диска для удаленной сортировки и сбора данных из скомпрометированной системы без риска загрязнения или потери данных. Кстати, разработан экспертами лаборатории Касперского для криминальных подразделений правоохранительных органов или учебных учреждений.
• Получение образа диска даже у необученного персонала
• Удаленное сканирование автономных систем с помощью Yara или AV
• Поиск и просмотр ключей реестра
• Удаленное восстановление удаленных файлов
• Удаленное сканирование других узлов сети
👍19👎5
Lab-DFIR-SOC
[https://github.com/StevenDias33/Lab-DFIR-SOC]
лаборатория автоматизированного развертывания виртуальных машин на базе ESXi, ориентированная на DFIR и SOC. Подметим, что авторы используют бесплатные инструменты, о которых многим уже известно и их мы уже, конечно, затрагивали, но ценность проекта состоит в предложенной концепции. Подобную виртуальную сетевую инфраструктуру, набор инструментов и конфигурации перспективно использовать в командах и собственных проектах.
[https://github.com/StevenDias33/Lab-DFIR-SOC]
лаборатория автоматизированного развертывания виртуальных машин на базе ESXi, ориентированная на DFIR и SOC. Подметим, что авторы используют бесплатные инструменты, о которых многим уже известно и их мы уже, конечно, затрагивали, но ценность проекта состоит в предложенной концепции. Подобную виртуальную сетевую инфраструктуру, набор инструментов и конфигурации перспективно использовать в командах и собственных проектах.
👍10🤔1
RouterOS Scanner
[https://github.com/microsoft/routeros-scanner]
Криминалистический инструмент для продуктов Mikrotik. Инструмент поможет специалисту найти подозрительные настройки и слабые точки безопасности конфигураций, которые имеет смысл исправить.
• Получение версии устройства и сопоставление ее с CVE
• Проверка запланированных задач
• Поиск правил перенаправления трафика
• Поиск отравления кэша DNS
• Поиск изменений портов по умолчанию
• Поиск пользователей, не являющихся пользователями по умолчанию
• Поиск подозрительных файлов
• Поиск прокси, socks и правил фаеврвола
[https://github.com/microsoft/routeros-scanner]
Криминалистический инструмент для продуктов Mikrotik. Инструмент поможет специалисту найти подозрительные настройки и слабые точки безопасности конфигураций, которые имеет смысл исправить.
• Получение версии устройства и сопоставление ее с CVE
• Проверка запланированных задач
• Поиск правил перенаправления трафика
• Поиск отравления кэша DNS
• Поиск изменений портов по умолчанию
• Поиск пользователей, не являющихся пользователями по умолчанию
• Поиск подозрительных файлов
• Поиск прокси, socks и правил фаеврвола
GitHub
GitHub - microsoft/routeros-scanner: Tool to scan for RouterOS (Mikrotik) forensic artifacts and vulnerabilities.
Tool to scan for RouterOS (Mikrotik) forensic artifacts and vulnerabilities. - microsoft/routeros-scanner
👍12
Forwarded from popCrim
Для интересующихся, а тем более для пишущих детективы и crime fiction - очень советую.
Подробно, и доступно о том как исследовать всевозможные улики: от волос и документов до наркотических и взывчатых веществ. Практически у себя дома.
То, чем пользовались и пользуются до сих пор в лабораториях.
Но что доступно почти для всех.
Для криминалистов: вспомнить забытые техники или даже узнать - никогда не помешает))
/содержание в комментах
Подробно, и доступно о том как исследовать всевозможные улики: от волос и документов до наркотических и взывчатых веществ. Практически у себя дома.
То, чем пользовались и пользуются до сих пор в лабораториях.
Но что доступно почти для всех.
Для криминалистов: вспомнить забытые техники или даже узнать - никогда не помешает))
/содержание в комментах
👍13👎2
Прям вот очень хорошо про выявления подделок печатных документов- https://youtu.be/b99ofy6Kp9E
YouTube
Вебинар «Диагностика признаков технической подделки документов и современные экспертные возможности»
Программа:
• Документ и его реквизиты как предмет подлога
• Оттиски печатей и штампов. Способы подделки и экспертные возможности по их выявлению
• Подписи на документах. Современные технические приемы по их подделке и возможности экспертного исследования…
• Документ и его реквизиты как предмет подлога
• Оттиски печатей и штампов. Способы подделки и экспертные возможности по их выявлению
• Подписи на документах. Современные технические приемы по их подделке и возможности экспертного исследования…
👍12
image_2022-04-10_22-17-04.png
236.1 KB
ForensiX
[ https://github.com/ChmaraX/forensix ]
Инструмент для сбора, анализа и визуализации артефактов Google Chrome
Возможности:
- Сбор персональных данных (электронная почта, номера телефонов, дата рождения, пол, страна, город, адрес...)
- Метаданные Chrome (Аккаунты, версия)
- Метаданные целевой системы (ОС, Разрешение экрана, Имя устройства)
- История просмотров + Классификация URL-адресов по категориям с использованием ML модели
- Активность при просмотре в течение периодов времени (тепловая карта, гистограмма)
- Наиболее посещаемые веб-сайты
- Парсинг автозаполнений
- Геолокация
- Загрузки (включая каталог загрузки по умолчанию, статистика загрузки...)
- Закладки
- Кэш
Интерфейс и возможности - загляденье!!! Живет в докер контейнере.
[ https://github.com/ChmaraX/forensix ]
Инструмент для сбора, анализа и визуализации артефактов Google Chrome
Возможности:
- Сбор персональных данных (электронная почта, номера телефонов, дата рождения, пол, страна, город, адрес...)
- Метаданные Chrome (Аккаунты, версия)
- Метаданные целевой системы (ОС, Разрешение экрана, Имя устройства)
- История просмотров + Классификация URL-адресов по категориям с использованием ML модели
- Активность при просмотре в течение периодов времени (тепловая карта, гистограмма)
- Наиболее посещаемые веб-сайты
- Парсинг автозаполнений
- Геолокация
- Загрузки (включая каталог загрузки по умолчанию, статистика загрузки...)
- Закладки
- Кэш
Интерфейс и возможности - загляденье!!! Живет в докер контейнере.
👍24
Forwarded from Open Source
Sub3 Suite
Sub3 Suite — это набор инструментов исследовательского уровня для перечисления поддоменов, сбора информации OSINT и картирования поверхностей атак.
Поддерживает как ручной, так и автоматический анализ различных типов целей с множеством доступных функций и инструментов.
https://github.com/3nock/sub3suite
Документация: https://github.com/3nock/s3s_doc/blob/main/md/index.md
Sub3 Suite — это набор инструментов исследовательского уровня для перечисления поддоменов, сбора информации OSINT и картирования поверхностей атак.
Поддерживает как ручной, так и автоматический анализ различных типов целей с множеством доступных функций и инструментов.
https://github.com/3nock/sub3suite
Документация: https://github.com/3nock/s3s_doc/blob/main/md/index.md
👍10