Digital Forensics:C5W-100 INTRODUCTION TO DIGITAL FORENSICS

We are a team of digital forensics specialists dedicated to helping businesses, law enforcement, and individuals understand and investigate cyber crime. We love solving puzzles, teaching, and asking questions – which is why "5W" is part of our company's name.

อบรมฟรี  free computer forensics

ที่มา: https://cyber5w.com/into-dfir.html

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้
น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

Digital Forensics:DumpMe Lab—Memory Forensics Writeup— Cyber Defenders

Cyberdefenders: DumpMe

Description

One of the SOC analysts took a memory dump from a machine infected with a meterpreter malware. As a Digital Forensicators, your job is to analyze the dump, extract the available indicators of compromise (IOCs) and answer the provided questions.

Q1 What is the SHA1 hash of Triage-Memory.mem (memory dump)?

#shasum Triage-Memory.mem 

Ans: c95e8cc8c946f95a109ea8e47a6800de10a27abd 

Q2: What volatility profile is the most appropriate for this machine? (ex: Win10x86_14393)

We can use the imageinfo  plugins to determine the proper profile of Triage-Memory.mem.

vol.py -f Triage-Memory.mem imageinfo

Q9 What is the LM hash of Bob's account?

#vol.py -f Triage-Memory.mem --profile=Win7SP1x64 procdump hashdump | grep "Bob"

Bob:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

User: Bob

LM:aad3b435b51404eeaad3b435b51404ee

Make a file on your computer and copy/paste Bob_account’s hash in there. 

We will use Hashcat to crack it. Look through Hashcat’s mode LIST and you’ll see that NTLM is mode 1000:

Make sure you have the rockyou.txt list saved on your system before we start.

#hashcat -m 1000 <hash file location> <wordlist file location>

In a few seconds we will have our password (up top after the hash).

If you’d like an easier alternative, use CrackStation.

*ขออภัยที่ทำไม่เสรฺ็จ ค่อยกลับมาทำใหม่ครับ

BlueTeam CTF Challenges - CyberDefenders

ที่มา:   cyberdefenders.org 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

DIGITAL FORENSICS: Breaking Password and Encryption

DIGITAL FORENSICS: Breaking Password and Encryption

#sb_release -a

Example 1.Brute-Force Attacks

We will create & compress a text file name text.txt into a password-protected ZIP file named Protected.zip, with the password kali. The command we will be using is zip --encrypt Protected.zip text.txt.

• zip – Selects the tool we want to use
• –encrypt – Selections the function of the tool we want to use. ‘Encrypt’ will encrypt our ZIP archive and require a password to decrypt the contents.
• Protected.zip – The name of the outputted ZIP file.
• text.txt – The file we want to compress.

#zip --encrypt Protected.zip Desktop/text.txt 

Brute-Force Attacks

fcrackzip is a fast password cracker partly written in assembler. It is able to crack password protected zip files with brute force or dictionary based attacks, optionally testing with unzip its results. It can also crack cpmask’ed images.

This package is useful for pentesters, ethical hackers and forensics experts.

How to install: sudo apt install fcrackzip

#fcrackzip -h

Known Characters:

• If you recall parts of the password, fcrackzip can use this information to reduce cracking time: 
• -l denotes the password length(in this case, between 1 and 4 characters), and -c defines the character set (a for lower-case).

[-l|--length min-max] check password with length min to max

#fcrackzip -b Protected.zip -u -c a -l 1-4 –u

PASSWORD FOUND!!!!: pw == kali

Example 2. Brute-Force Attacks

#zip --encrypt Protected.zip Desktop/text.txt 

#fcrackzip -b Protected.zip -u -c a1 -l 1-4 –u

Example 3.Dictionary Attacks

In this example, our target ZIP is topsecret.zip  with the password monkeybutts. Here’s the command we’ll be using.

• fcrackzip – Selecting the tool we want to use.
• -D – Selecting the option for a dictionary attack.
• -u – This makes sure fcrackzip actually tries to unzip the file, without this we won’t actually get the right password.
• -p – Use strings as password.
• /usr/share/wordlists/rockyou.txt – This is the location of our wordlist, required to perform a dictionary attack.
• topsecret.zip – The file we want to crack.

#fcrackzip -D -u -p Downloads/rockyou.txt Downloads/topsecret.zip 

fcrackzip tells us that it has found the correct password

we can now successfully extract the contents of the file.

Credit:  kali 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

Digital Forensics:SEC Playground Bloody Xmas2024 CTF

โพสไว้ก่อนเดี่ยวหลังปีใหม่มาเขียนเพิ่มน่ะครับ

เดี่ยวเค้าจะหาว่าไม่ร่วมกิจกรรม แข่งขัน #BloodyXmas2024 ของ SEC Playground  

หมายเหตุ: ขอขอบคุณผู้สนับสนุนที่ให้มีกิจกรรมดีๆ ในครั้งนี้ 

ที่มา: SEC Playground NCSA

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้
น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

Digital Forensics:CDIC2024  

งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ 27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา

วันนี้แอดแวะมางาน CDIC  งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ 27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา  มีหลายบูธที่น่าสนใจ และงานนี้จะได้เรียนรู้ พฤติกรรมการใช้งานในยุคดิจิทัล จะได้พบกับผู้เชี่ยวชาญ และนักวิชาการด้านความมั่นคงปลอดภัยทางไซเบอร์ รับรู้ประสบการณ์ใหม่ๆ Update ความรู้และข่าวสารใหม่ล่าสุด ด้าน Cybersecurity และ Generative AI รับฟังการถ่ายทอดประสบการณ์จริงจากผู้บริหารระดับสูง และผู้เชี่ยวชาญ

และวันนี้แอดได้แวะมาบูธที่เกีียวข้องกับบริการ Digital Forensics เลยขอคำแนะนำและบริการจากทางบูธ มีรายละเอียดดังนี้ครับ.

Photo Credit :ICMS Cyber Solution

Forensic Explorer

Suitable for new or experienced investigators, Forensic Explorer combines a flexible and easy to use GUI with advanced sort, filter, keyword search, data recovery and script technology. Quickly process large volumes of data, automate complex investigation tasks, produce detailed reports and increase productivity. Manage all aspects of the investigation

Photo Credit :ICMS Cyber Solution

Photo Credit :ICMS Cyber Solution

Carbon-Paladin  CARBON is a virtualized forensic analysis tool for the Windows operating system, developed by SUMURI. 

Virtualizing with CARBON allows examiners to see and document a Windows computer in the exact

state that the original user saw it without making any changes to the source device. If an examiner does

not have the user’s password,CARBON has the ability to bypass the user’s login credentials.

Photo Credit :ICMS Cyber Solution

MSAB XRY ชุดเครื่องมือเก็บข้อมูลจากสมาร์ทโฟน 

XRY — Mobile Data Forensic Phone Extraction & Recovery, Recover more mobile data, in less time, with full integrity

Photo Credit :ICMS Cyber Solution

ขอบคุณของแจกจากทางบูธ Smart Device Tracker

Photo Credit :ICMS Cyber Solution

Photo Credit :ICMS Cyber Solution

Forensic UltraDock:Professional drive write blocker gives fast forensic access to bare hard drives.

The Tableau Forensic PCIe Bridge : The Tableau Forensic PCIe Bridge must be used in combination with one of the Tableau PCIe Adapters: Tableau PCIe Card SSD Adapter, Tableau PCIe M.2 SSD Adapter, or Tableau PCIe Adapter for Apple SSD

Photo Credit :ICMS Cyber Solution

Photo Credit :ICMS Cyber Solution

Photo Credit :ICMS Cyber Solution

อ่านเพิ่มเติม:

Computer Forensics Tools

XAMN Viewer

FORENSIC ACQUISITION OF SOLID STATE DRIVES

ที่มา: ICMS Cyber Solution  #CDIC2024

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

Digital Forensics:WhatsMyName (OSINT)

Welcome to WhatsMyName

This tool allows you to enumerate usernames across many websites

How to use:

1. Enter the username(s) in the search box, select any category filters & click the search icon or press CTRL+Enter

2. Results will present as icons on the left & in a searchable table on the right

3. Document & Google searches will automatically populate at the bottom, using the first username in your list as the search term

Example 

Image credit: Google Search

Image credit: WhatsMyName

Image credit:WhatsMyName

Image credit: WhatsMyName

Image credit: WhatsMyName

Image credit: WhatsMyName

Image credit: WhatsMyName

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud