usbrip
[ https://github.com/snovvcrash/usbrip ]

Простая консольная утилита для восстановления истории подключения USB-носителей к компьютерам под управлением Linux.

Позволяет получить следующие данные:
• Подключение (дата & время)
• Имя устройства к которому подключалось устройство
• VID (vendor ID)
• PID (product ID)
• Название устройства
• Производитель
• Серийный номер
• Порт подключения
• Отключения (дата & время)

Способы верификации контента для журналистов.

Верификация — это проверка, проверяемость, способ подтверждения. О чем необходимо помнить журналисту при работе с данными из открытых источников?

Основные вопросы при верификации стоит обратить внимание:

⁃ Происхождение: Является ли контент оригинальным?
⁃ Источник: Кто загрузил рассматриваемый контент?
⁃ Время и местоположение: Когда и где был создан контент?

Факторы подтверждения даты события:

⁃ газета в руках с датой выхода
⁃ штамп даты и времени в YouTube в формате Pacific Standard Time (иногда видео оказывает загруженным до того, как событие произошло).
⁃ информация о погоде. Сайт www.wolframalpha.com по запросу «what was the weather in /место/ /дата/» выдает информацию о температуре, облачности, изменении погоды во времени.

Факторы подтверждения места события:

⁃ имеют ли посты в соц сетях геометки?
⁃ видно ли вам достопримечательности (минарет, собор, знак, памятник)?
⁃ существует ли вид улицы в Google для этого места?
⁃ данные EXIF.

Факторы подтверждения видео:

⁃ знаком ли нам этот аккаунт?
⁃ зарекомендовал ли владелец этого аккаунта себя как надежный источник в прошлом?
⁃ где зарегистрирован аккаунт?
⁃ где находится человек, загрузивший контент, если судить по истории аккаунта?
⁃ являются ли описания к видео непротиворечивыми и в большей части из одного конкретного места?
⁃ устарело ли видео?
⁃ произвел ли загрузивший «чистку» видео, или он загрузил оригинальный контент?
⁃ логотип на всех видео присутствует везде?
⁃ использует ли загрузивший в письменном тексте сленг или диалект, который можно опознать в закадровом тексте видео?
⁃ все видео одного качества?
⁃ в описании виде есть ли обозначения форматов .avi или .mp4
⁃ есть ли в описании видео «Загружено через YouTube»? Если да, то возможно это был смартфон.
⁃ поищите в Twitter или Facebook по уникальному коду видео
⁃ в YouTube и Facebook уникальный код находится между буками «v=» и следующим символом «&» в адресе видео.

Мартовский выпуск десяти лучших бесплатных форензик инструментов по версии нашего канала

KnockKnock
[ https://objective-see.com/products/knockknock.html ]

Показывает полный список элементов (программ, скриптов, команд, двоичных файлов), которые автоматически выполняются в macOS

FOCA (Fingerprinting Organizations with Collected Archives)
[ https://github.com/ElevenPaths/FOCA ]

Начинавшийся как инструмент используемый в основном для поиска метаданных и скрытой информации в сканируемых документах, превратившийся в последствии в целый криминалистический комплекс для поиска документов в сети и извлечения из них истории создания и размещения. Способен анализировать широкий спектр документов.

Возможности:
• Извлечение метаданных.
• Сетевой анализ.
• Отслеживание DNS.
• Поиск общих файлов.
• Сочные файлы.
• Поиск прокси.
• Идентификация технологий.
• Фингирпринтинг.
• Утечки.
• Поиск резервных копий.
• Поиск по открытым каталогам.

Кроме того, FOCA имеет ряд плагинов для увеличения функциональности или количества атак, которые могут быть проведены на элементы, полученные в ходе анализа.

MapCheking
[ https://www.mapchecking.com ]

Сервис для примерного подсчета того сколько человек может уместиться на определенной площади

Serelay idem
[ www.serelay.com ]

Serelay Idem позволяет снимать фото и видео с дополнительным уровнем доказательства подлинности снятого вами материала. По сути это решение предназначенное для журналистов точной верификации передаваемого контента.

Загрузите фото в приложение, и оно проведет серию тестов, чтобы определить, было ли изображение изменено. В случае если изображение было изменено, приложение покажет, какая именно часть была изменена. Для защиты конфиденциальности пользователей Serelay не запоминает загруженные фотографии. Но приложение хранит "цифровые отпечатки пальцев" каждого изображения – с помощью них можно определить, было ли фото или видео изменено, даже если изменен был всего один пиксель. Так же обогащает метаданные дополнительными способами верификации местоположения (например по ближайшим wifi точкам доступа)

Инструменты анализа логов Windows

epagneul
[https://github.com/jurelou/epagneul]
инструмент для визуализации и исследования журналов событий windows. За основу взят инструмент LogonTracer
(https://github.com/JPCERTCC/LogonTracer), который анализирует журнал событий входа в систему.

APT-Hunter
[https://github.com/ahmedkhlief/APT-Hunter]
инструмент обнаружения движений действий злоумышленников, скрытых в море журналов событий windows. В первую очередь, инструмент позволяет уменьшить время обнаружения подозрительной активности, что зачастую может быть необходимо. Статья автора инструмента - https://shells.systems/introducing-apt-hunter-threat-hunting-tool-via-windows-event-log/.

Bitscout
[https://github.com/vitaly-kamluk/bitscout]

настраиваемый конструктор загрузочной ОС, написанный полностью на языке bash. Его основная цель - помочь вам быстро создать собственный образ диска для удаленной сортировки и сбора данных из скомпрометированной системы без риска загрязнения или потери данных. Кстати, разработан экспертами лаборатории Касперского для криминальных подразделений правоохранительных органов или учебных учреждений.

• Получение образа диска даже у необученного персонала
• Удаленное сканирование автономных систем с помощью Yara или AV
• Поиск и просмотр ключей реестра
• Удаленное восстановление удаленных файлов
• Удаленное сканирование других узлов сети

Lab-DFIR-SOC
[https://github.com/StevenDias33/Lab-DFIR-SOC]

лаборатория автоматизированного развертывания виртуальных машин на базе ESXi, ориентированная на DFIR и SOC. Подметим, что авторы используют бесплатные инструменты, о которых многим уже известно и их мы уже, конечно, затрагивали, но ценность проекта состоит в предложенной концепции. Подобную виртуальную сетевую инфраструктуру, набор инструментов и конфигурации перспективно использовать в командах и собственных проектах.

RouterOS Scanner
[https://github.com/microsoft/routeros-scanner]

Криминалистический инструмент для продуктов Mikrotik. Инструмент поможет специалисту найти подозрительные настройки и слабые точки безопасности конфигураций, которые имеет смысл исправить.

• Получение версии устройства и сопоставление ее с CVE
• Проверка запланированных задач
• Поиск правил перенаправления трафика
• Поиск отравления кэша DNS
• Поиск изменений портов по умолчанию
• Поиск пользователей, не являющихся пользователями по умолчанию
• Поиск подозрительных файлов
• Поиск прокси, socks и правил фаеврвола

Для интересующихся, а тем более для пишущих детективы и crime fiction - очень советую.
Подробно, и доступно о том как исследовать всевозможные улики: от волос и документов до наркотических и взывчатых веществ. Практически у себя дома.
То, чем пользовались и пользуются до сих пор в лабораториях.
Но что доступно почти для всех.

Для криминалистов: вспомнить забытые техники или даже узнать - никогда не помешает))

/содержание в комментах

Прям вот очень хорошо про выявления подделок печатных документов- https://youtu.be/b99ofy6Kp9E

ForensiX
[ https://github.com/ChmaraX/forensix ]

Инструмент для сбора, анализа и визуализации артефактов Google Chrome

Возможности:

- Сбор персональных данных (электронная почта, номера телефонов, дата рождения, пол, страна, город, адрес...)
- Метаданные Chrome (Аккаунты, версия)
- Метаданные целевой системы (ОС, Разрешение экрана, Имя устройства)
- История просмотров + Классификация URL-адресов по категориям с использованием ML модели
- Активность при просмотре в течение периодов времени (тепловая карта, гистограмма)
- Наиболее посещаемые веб-сайты
- Парсинг автозаполнений
- Геолокация
- Загрузки (включая каталог загрузки по умолчанию, статистика загрузки...)
- Закладки
- Кэш

Интерфейс и возможности - загляденье!!! Живет в докер контейнере.

​​Sub3 Suite

Sub3 Suite — это набор инструментов исследовательского уровня для перечисления поддоменов, сбора информации OSINT и картирования поверхностей атак.

Поддерживает как ручной, так и автоматический анализ различных типов целей с множеством доступных функций и инструментов.

https://github.com/3nock/sub3suite

Документация: https://github.com/3nock/s3s_doc/blob/main/md/index.md

Простая и хорошая методичка по верификации данных в медиа.

На Хабре отличный мануал по "канареечным токкенам" - отличный инструмент в умелых руках!

https://habr.com/ru/company/ruvds/blog/495466/?utm_source=habrahabr&utm_medium=rss&utm_campaign=495466

Moriarty-Project V3.0 - инструмент предоставляет информацию о введенном вами номере телефона.
♾ https://github.com/AzizKpln/Moriarty-Project

Неделю тому назад был я во Владивостоке на конференции организованной дорогими @codeibcommunity И кроме привычного уже конферанса зашел с маленькой выжимкой из того что читаю на мастре-классах про корпоративную разведку: https://youtu.be/MXT9L4eYmfE

Интересная статья про разведку при помощи отслеживанию событий по времени: https://telegra.ph/Time-Attack-mify-i-realnost-04-11

Как искать в огромных файлах мгновенно на Windows

AstroGrep — ищет в гигантских файлах любого расширения за секунды.

Приложение помогает искать в скаченных файлах даже на слабых ПК. Очень удобен для проверки в утечках. Так как обычные редакторы не могут их открыть

Поддерживает регулярные выражения.