Comentado por : CeMIT Cuntis
domingo, 20 de novembro de 2016
¿en q煤e consiste? Test de penetraci贸n
An谩lise forense dixital An谩lise forense Windows 10
gu铆a de toma de evidencias en entornos windows - INCIBE
adquisici贸n de RAM en windows adquirir memoria de m谩quina virtual VirtualBox
adquisici贸n en ficheiros de hibernaci贸n an谩lise forense de fotograf铆as dixitais
an谩lise forense en entornos virtuais
b煤squeda selectiva de tipos de arquivos corrupci贸n de datos nun disco duro
crear imaxe forense dun m贸bil Android resumo
c贸mo aportar os correos electr贸nicos como proba xudicial de forma correcta
ThinkDFIR
exame forense de capturas de rede c贸mo comprobar copia clonada
extracci贸n de datos forenses do rexistro como abrir unha imaxe de disco en windows
contrasinal documentos MS Office creaci贸n e an谩lise b谩sica dunha imaxe forense en windows
The Art of Defacement un forense levado a xuicio
metodolox铆a m茅todo Guttman exemplos metadatos
obter informaci贸n dun chip-flash usando flash-dumping OSINT email
principios durante a recolecci贸n de evidencias probas e evidencias telem谩ticas
proba pericial inform谩tica
recuperaci贸n de arquivos borrados repositorio ENISA
recolecci贸n de informaci贸n
c贸mo descubrir USB conectados
Cadea de custodia
5 consellos para non invalidar a evidencia dixital
cadea de custodia da evidencia dixital firmas hash e cadeas de custodia
formulario - exemplo manual de manexo de evidencias dixitais
Exemplos
extracci贸n de memoria RAM en linux
c贸mo recuperar conversaci贸ns borradas de whatsapp
c贸mo realizar unha an谩lise forense con Autopsy an谩lise de Android.Bmaster
Ferramentas
D茅bese traballar con r茅plicas exactas (imaxes) dos discos duros e en modo de s贸 lectura
listado de ferramentas Distribuci贸ns lista de ferramentas utilidades
Automatizando a extracci贸n de evidencia forense en Windows
Ferramentas LINUX para an谩lise forense Imaxes para practicar
recursos gratu铆tos para profesionais
CALDERA - DFIR - sistema de emulaci贸n para xerar datos reais que simulan c贸mo se comportar铆a un atacante. 脡 moi 煤til para identificar novas fontes de datos, crear e aprender sobre detecci贸n de intrusi贸ns basados no comportamiento.
websec empresa recuperaci贸n de datos
KITS
Autopsy e Sleuth Kit
CAINE 茅 unha distribuci贸n con ferramentas para a an谩lise forense. Novedades versi贸n 6
DEFT DEFT Zero manual
DFF FTK Forensic Toolkit Debian 9
Androl4b - m谩quina virtual para an谩lise forense de APPs en Android
Documentos maliciosos - utilidades para a s煤a an谩lise
DropBox - forense ao cliente (windows)
Encrypted Disk Detector: amosa tipo de cifrados atopado
Facebook - informes de publicidade
FAW: navegador forense para a recollida de p谩xinas web
Ghiro - An谩lise forense de imaxes
GRR - An谩lise forense - Google
hashcat - recuperador avanzado de contrasinais
Helix 茅 unha distribuci贸n con ferramentas para a an谩lise forense - gu铆a
HIBR2BIN utilidade para o tratamento de arquivos de hibernaci贸n
LaZagne - recupera contrasinais windows
OSForensics 茅 un conxunto de utilidades.
RecuperaBit: an谩lise de discos. Permite reconstruir e recuperar estructuras, ficheiros do sistema de arquivos (NTFS)
Redline: an谩lise procesos e servicios en RAM - FireEye
script que recupera rexistros eliminados de bases de datos SQLite
Tom's AD Object Recovery buscar e restaurar obxectos do Directorio Activo
Twitter analiza conta e seguidores busca seguidores falsos
Xplico: an谩lise de datos de rede
ver fotos utilizadas anteriormente: Google Reverse Image Search Tineye
exercicios forense de malware
instaladores Firefox
Clonezilla ou OSFClone permiten o clonado
Foca serve para atopar Metadatos e informaci贸n oculta en documentos de Microsoft Office, OpenOffice e documentos PDF/PS/EPS.
Permite extraer t贸dolos datos de eles e cruzar dita informaci贸n para obter datos relevantes.
Foca Open SourceMDD enc谩rgase de xerar unha imaxe forense da memoria f铆sica do sistema e almacenala como un arquivo binario (raw)
Sysinternals Suite 茅 unha suite de ferramentas que aporta recursos t茅cnicos e utilidades para diagnosticar, xestionar, supervisar e solucinar problemas nun entorno Microsoft Windows.
Cifrado
BitLocker c贸mo activalo en Windows 10 pode ser enganado
TrueCrypt pechou
Historial de navegaci贸n
Google Chrome:
C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Local Storage.
Mozilla Firefox: %HOMEPATH%\AppData\Roaming\Mozilla\Firefox\Profiles\<carpeta de perfil>.
Internet Explorer: %HOMEPATH%\AppData\Local\Microsoft\Windows\History.
Dumpzilla.py ten como finalidade extraer toda a informaci贸n de interese forense dos navegadores Firefox, Iceweasel e Seamonkey para a s煤a posterior an谩lise. Python
Mostrar谩 o hash SHA256 de cada arquivo utilizado para extraer a informaci贸n e ao final da extracci贸n mostrar谩 un resumo cos totais. exemplo screenshots
Google History
Galleta para cookies de IE ChromeCookiesView MZCookiesView
ipconfig /displaydns permite ver cach茅 DNS
esta web sabe o que descargache por Torrent
RAM
Belkasoft RAM capturer permite extraer contido da memoria vol谩til.
Memorize permite extraer contido da memoria vol谩til.
MDD volcado da RAM mdd -o ramWin7.img
Volatility 茅 usada para analizar a memoria RAM de Windows, sendo posible extraer a tabla de conexi贸ns, entradas ARP, arquivos abertos, m贸dulos cargados, procesos existentes e m谩is informaci贸n. interface gr谩fico Workbench - interface gr谩fico v铆deo
a continuaci贸n am贸sase uns exemplos feitos coa captura dun equipo con Win7
info. b谩sica: volatility ident -f ramWin7.img
volatility imageinfo -f ramWin7.img
2.- Direcci贸ns de memoria dos rexistros do sistema (redireccion谩ndoas a un arquivo de texto)
volatility hivelist -f ramWin7.img --profile=Win7SP1x86 > dirmem.txt
O resultado ser谩 algo similar a isto: (cada equipo ter谩 sempre uns valores distintos)
Virtual Physical Name
---------- ---------- ----
0x8ff23740 0x676c0123 \SystemRoot\System32\Config\SOFTWARE
0x87c1a008 0x069ac005 \REGISTRY\MACHINE\SYSTEM
0x93acb9f0 0x542dc4e4 \SystemRoot\System32\Config\DEFAULT
0x82546008 0x136de130 \SystemRoot\System32\Config\SAM
0x9555c1d0 0x1bb407f0 \??\C:\Users\CeMIT\ntuser.dat
0x9555f9d0 0x07e424c0 \??\C:\Users\Cuntis\AppData\Local\M1cr0s0ft\W1nd0ws\UsrClass.dat
0x9bb25208 0x12d69007 \SystemRoot\System32\Config\SECURITY
0x9cac19d0 0x11b234d0 \??\C:\W1nd0ws\ServiceProfiles\LocalService\NTUSER.DAT
0x9dbc1906 0x0b7b1010 \??\C:\W1nd0ws\ServiceProfiles\NetworkService\NTUSER.DAT
3.- Hashes de contas usuarias (Debemos quedarnos cos valores Virtuais de SYSTEM e SAM, obtidos no punto 2 . Ditos valores ser谩n exclusivos de cada m谩quina, polo que deber谩n escollerse sempre os obtidos no punto 2 de cada captura ).
volatility hashdump -f ramWin7.img -y 0x87c1a008 -s 0x82546008 --profile=Win7SP1x86 > hashes.txt
Crearase un ficheiro de texto cos nomes e hashes das contas usuarias do equipo, dando como resultado algo similar a isto:
Administrador:500:aad3b435b51404eeaad3b435b51404ee:b9f917853e3dbf6e6831ecce60725930:::
Invitado:501:aad3b435b51404eeaad3b435b51404ee:fc525c9683e8fe067095ba2ddc97889:::
(Se queremos obter o contrasinal asociado a unha conta do equipo copiamos o hash do ficheiro resultante a partires dos 2 puntos. No exemplo anterior 茅 a parte destacada a cor amarela.
desencriptar hashes NTLM ou en crackstation
O contrasinal do Administrador deste exemplo ser谩: passw0rd
4.- Procesos activos
volatility pslist -f ramwin7.img --profile=Win7SP1x86
5.- Historial IE volatility -f ramwin7.img iehistory
.- Conexi贸ns TCP activas volatility -f ramwin7.img --profile=Win7SP1x86 connections
.- Portos abertos e conexi贸ns volatility -f ramwin7.img --profile=Win7SP1x86 netscan
.- conexi贸ns pechadas no momento do volcado da memoria
volatility -f ramwin7.img connscan2
Redline: detecta actividade maliciosa na an谩lise de RAM
Rekall Forensics - similar a Volatily, pero con axentes remotos. Framework avanzado para equipos DFIR (Digital Forensics and Incident Response)
Recuperar arquivos
Recuperar arquivos borrados - OSI
Recuva serve para recuperar datos eliminados. Foremost
Data Recovery DiskDigger
Linux OSx
yaru - recuperar claves do rexistro de windows
Eraser permite borrado seguro c贸mo borrar definitivamente
¿c贸mo recuperar mensaxes de WhatsApp?
Recuperar cach茅 webs antigas
Archive Google
Recuperar estados de WhatsApp
dende o xestor de arquivos Os meus arquivos / axustes Mostrar arquivos ocultos
cartafol onde garda
WhatsApp / Media / .Statuses
Sinatura dixital
HashMyFiles HashCalc hfind Multihasher
M贸biles
UFED 4PC oxigen forensics extracci贸n f铆sica chipsets extracci贸n iOS
UFED phisical analizer extracci贸n r谩pida e segura - UFED
An谩lise forense en dispositivos m贸biles
an谩lise de log en WhatsApp
¿c贸mo extraer datos?
clasificaci贸n e estudio de ferramentas
filtrado o firmware de Cellebrite
imaxes f铆sicas Samsung
Infograf铆as
DFIR Memory Forensics
an谩lise Windows
Ligaz贸ns
LIFe