Узнаем, что делал пользователь через дамп реестра
При расследовании компьютерных инцидентов одним из важнейших действий является сбор улик. Так нам очень важно иметь дамп оперативной памяти, потому что из него можно получить информацию о том, какие процессы были запущены в системе, и, например, можно выделить и сделать дамп процессов, созданных...
[recovery mode] BlueTeam Trainings — разбор задания BlackEnergy категории Digital Forensics от CyberDefenders
Это вторая статья из цикла “BlueTeam Trainings”. CyberDefenders является учебно-тренировочной платформой, которая предоставляет возможность на практике проверять уже имеющиеся навыки и приобретать новые в области информационной безопасности. Читать далее...
Расследуем инциденты в дампе оперативной памяти Windows (GrrCon2016)
В этой статье нам вновь предстоит провести расследование двух инцидентов в файлах виртуальных машин. Расследовать будем фишинговую атаку и заражение трояном, доберёмся до чужих переписок в дампах памяти, почитаем письма, изучим фишинговые вложения и другие артефакты в памяти. Работать будем с...
Привет Emotet! Заключительная 3-я часть.Продолжаем исследовать дамп оперативной памяти заражённый Emotet
Эта статья - продолжение серии статей "Привет Emotet!", заключительная её часть Первую и вторую статьи вы можете найти здесь и здесь. В данной статье, мы решили убрать в сторону плагины volalatility, автоматизирующие нашу работу и прогуляться по узким коридорам памяти, в поисках артефактов. Давайте...
Привет Emotet! Исследуем дамп оперативной памяти заражённый Emotet
Всем привет, как обещал в первой части статьи «Привет Emotet!», в данной статье мы приступим к расследованию инцидента в дампе оперативной памяти и заодно пройдём задание от cyberdefenders.org ответив на 10 несложных вопросов, а также узнаем как вредонос скрывает свою активность в скрытых процессах...
Memory forensics, Rubber Duck и пароли GPO. Решение задач с r0от-мi. Часть 2
Данная статья содержит решений заданий, направленных на криминалистику оперативной памяти, разбора пэйлоада для USB Rubber Duck, а так же расшифрования перехваченных паролей групповой политики Windows. Организационная информация Специально для тех, кто хочет узнавать что-то новое и развиваться в...
Disk forensics, memory forensics и log forensics. Volatility framework и Autopsy. Решение задач с r0от-мi. Часть 1
Данная статья содержит решений заданий, направленных на криминалистику памяти, оперативной памяти, и логов web-сервера. А также примеры использования программ Volatility Framework и Autopsy. Организационная информация Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер...