Saturday, July 29, 2017

Digital Forensics:How to Remotely Shut Down or Restart Windows PCs

Digital Forensics:How to Remotely Shut Down or Restart Windows PCs


Remote Shutdown Overview

In order to get this to work, there are a couple of steps you have to complete first otherwise you’ll constantly get an Access is Denied (5) error message and it will drive you mad.
Step 1: Firstly, in order to remotely shutdown a computer on your network, you’ll need to make sure you have Administrative access to the target computer. If you’re on a home network, the best way to do this is to make sure all computers are in the same workgroup and that they all have at least one Administrator account with the same username and password.
You don’t have to use the built-in administrator account on either computer for this to work, but the user account you do use on both computers has to be part of the Administrators group on the local computer. If you go to Control Panel and click on User Accounts and it says Administrator or Local Administrator, then you’re fine. Again, the names of the user accounts and the password have to be the same.
If you’re in a corporate environment with a domain, you will probably want to login using the domain administrator account. Using those credentials, you should be able to shutdown any other computer on the network, even if they are logged in using different credentials.
Step 2: Lastly, if you are trying to target a Windows Vista, Windows 7 or Windows 8 computer remotely, you will need to modify the registry. Unless you do this, it simply won’t work. You will only get the Access is Denied message no matter what.
Open the registry editor by going to Start and typing in regedit. Now navigate to the following key:
HKEY_LOCAL_MACHINE – SOFTWARE – Microsoft – Windows – CurrentVersion – Policies – System
Right-click on System on the left hand side and choose New – DWORD (32-bit) Value.
A new value will pop up at the bottom in the right window and the text will be highlighted. Change the name to LocalAccountTokenFilterPolicy and press Enter. Now double-click on it and change the value from 0 to 1.
Click OK and close out of the registry. You don’t need to restart the computer as the changes should take effect immediately. This registry key is needed because in Windows Vista and higher, an administrator account is stripped of its credentials when connecting remotely. This will allow the account to remain with administrative privileges.
You’ll also read on other sites to start the Remote Registry service if that’s not running and to edit the local security policy by adding the Everyone group to Force shutdown from a remote system policy setting. In my testing on Windows 7 and 8, there was no need to complete these tasks and you really shouldn’t because it opens up your system to potential hackers.
Obviously, you’ll also need to know all the names of the other computers on the network. You can do that by going to Control Panel and then clicking on System.

Remote Shutdown via Command Prompt

The shutdown command is most flexible when using it from the command prompt because you can add a bunch of switches to it, which allow you to customize the behavior. Go to Start, then Run, and type in CMD. You can see the list of switches by typing shutdown /? in the command window.
So for remotely shutting down another machine on your network, you would type into the command prompt the following commands:
shutdown /m \\computername /r /f
This command will restart the computer named computername and force all programs that are still running to close.
shutdown –m \\computername –s –f –c “The computer will restart, please save all work.” –t 60
This command will shutdown the computer named computername, force all programs that are running to close, show a message to the user and countdown 60 seconds before it shuts down.

Remote Shutdown via Shutdown Dialog

If you don’t like all those switches or using the command prompt in general, then you can bring up the shutdown dialog box. You can do that easily by just using the /i command switch for the shutdown command.
The remote shutdown dialog will now appear as shown below.

Click the Add or Browse button to add computers to the list. You can then run the commands on the entire batch of computers. If you click Add, you’ll need to enter in the network name of the computer in the format \\computername or just computername, either works.
Of course, you need to know the actual computer name, which I mentioned how you can determine above. So add as many computers to the list as you like and then set your options. You can shutdown, restart or annotate unexpected shutdown.
You can also display a warning, if you like, for however many seconds you choose and you can type in a comment at the bottom which will be displayed to users. That’s about it!
Force shutdown from a remote system security policy setting.

Best practices

  • Explicitly restrict this user right to members of the Administrators group or other specifically assigned roles that require this capability, such as non-administrative operations staff.

Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

REF:


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


Saturday, July 22, 2017

Digital Forensics:Check the report IP history

Digital Forensics:Check the report IP history


    วันนี้มาแนะนำเว็ปไซต์ฐานข้อมูลสำหรับ ตรวจสอบ IP address ที่น่าสงสัยหรือมีข้อมูลเคยโดน Report  เช่น เคยมีประวัติการ  Port Scan, Brute-Force ,DDoS, malicious host และ อื่นๆ

เราสามารถใช้ abuseipdb.com  ตรวจสอบประวัติ IP address ใด ๆ เพื่อดูว่ามีคนอื่นรายงานกิจกรรมที่เป็นอันตรายหรือไม่ และรายงาน IP address ที่ไม่เหมาะสมที่มีส่วนร่วมในการพยายามแฮ็กหรือพฤติกรรมที่เป็นอันตรายอื่น ๆ 

1. โดยเข้าไปที่เว็บ https://abuseipdb.com 

abuseipdb
2. ใส่ IP address ที่เราต้องการตรวจสอบ แล้วกด Check IP

3.  ก็จะแสดงรายละเอียดของ IP address  นอกจากนั้นยังสามารถ ส่งรายงาน (report ) ว่า IP address มีพฤติกรรมที่น่าสงสัยได้

หมายเหตุ Ip address ที่ปรากฎนี้อาจจะเป็น IP address  ของเว็ปไซต์ หรือ เซิร์ฟเวอร์ที่ถูกแฮกแล้วนำมาเป็นเครื่องโจมตี เครื่องอื่นก็ได้ หรือจะเป็นระบบเช่า VPS Virtual Private Server ,Web Hosting เพื่อใช้โนโจมตี และปกปิดตัวตนที่แท้จริงของแฮกเกอร์  ดังนั้นการตรวจสอบ ควรจะต้องมี log จากหลายๆที่ เพื่อใช้ในการรวบรวมหลักฐานให้มากที่สุดต่อไป

#computerforensics #networkforensics #digitalforensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Saturday, July 15, 2017

Digital forensics: Certified Computer Forensic Technician (CCFT)

Digital forensics: Certified Computer Forensic Technician (CCFT)

High Tech Crime Network (HTCN)

The mission of the High Tech Crime Network is to achieve the most valuable and recognized certifications for our members, through a comprehensive process that verifies an applicant's training and experience, while enforcing the highest standards of certification requirements, diligent enforcement of our policies, procedures and code of ethics.

High Tech Crime Network

Digital Forensic Academy Five Day Course


  • Intro to Computer Forensics
  • Interacting With Attorney’s & Clients
  • Understanding the Role of an Expert Witness
  • Electronic Discovery & Electronically Stored Information
  • Ethics in Computer Forensics
  • The Business of Computer Forensics
  • Building a Forensic Lab
  • The Forensic Process
  • Anti-Forensics
  • Forensic Image vs Backup
  • Importance of Chain of Custody
  • Documenting the Forensic Acquisition
  • Understanding Write-Blockers
  • Intro to Forensic Acquisition
  • Types of Forensic Images
  • Intro to Forensic Analysis
  • Authoring Forensic Reports

Certified Computer Crime Investigator

  • Three (3) years experience directly related to the investigation of technical incidents or technical crimes. (law enforcement or corporate)
  • Successfully complete a total of forty (40) hours of computer crimes training course(s) provided by an approved agency, organization or training company.
  • Provide a narrative report detailing your experience derived from the investigation of at least ten (10) cases related to computer crimes.

 

Certified Computer Forensic Technician (CCFT)

  • Three (3) years experience directly related to the forensic acquisition and analysis of digital devices including but not limited to hard drives, tablets and or cell phones while employed by a law enforcement agency or corporation.
  • Successfully complete a total of forty (40) hours training course(s) for the forensic acquisition and analysis of hard drives, tablets and or cell phones provided by an approved agency, organization or company.
  • Provide a narrative report detailing your experience derived from the forensic acquisition and analysis of digital devices including but not limited to hard drives, tablets and or cell phones of at least ten (10) forensic cases while employed by a law enforcement agency or corporation.

Certified Computer Forensic Technician

 HTCN Application:


Ref:
htcn.org


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #CCFT #HTCN

Saturday, July 8, 2017

Digital Forensics: Find your Facebook ID

Digital Forensics: Find your Facebook ID

วิธีการค้นหาหมายเลข Facebook ID


Facebook ID

         การดำเนินคดีที่เกี่ยวข้องกับ Facebook นั้น ขั้นตอนหนึ่งที่มีความสำคัญ คือการระบุ
Facebook ที่เกี่ยวข้องกับการกระทำความผิด ซึ่งส่วนใหญ่แล้ว ชื่อเพจ ชื่อเฟสบุ๊ก ต่าง ๆ อาจ
ใช้ชื่อซ้ำกันได้ เพื่อให้สามารถระบุได้อย่างชัดเจน จึงควรระบุด้วยหมายเลขประจำตัวเฟสบุ๊ค 
หรือ Facebook ID ส่วนวิธีการค้นหา สามารถดำเนินการตามขั้นตอนต่อไปนี้

วิธีที่ 1
        เข้าใช้งานเฟสบุ๊ค แล้วเปิดหน้าเฟสบุ๊คที่ต้องการตรวจสอบ จากนั้น ลากเมาส์ไปวางไว้เหนือรูปโลโก้ที่เป็น Profile สังเกตว่าจะมีแถบสถานะปรากฎบริเวณด้านล่างสุด ให้กดปุ่ม Print Screen เพื่อบันทึกหน้าจอไว้เป็นหลักฐาน 
        จากนั้น เปิดโปรแกรม MS Paint หรือ โปรแกรมแก้ไขภาพอื่น ๆ ขึ้นมา แล้ว กดปุ่ม Paste เพื่อนำภาพที่เก็บไว้ในหน่วยความจำมาไว้ในโปรแกรม เมื่อปรากฎภาพขึ้นมาแล้ว ให้บันทึกภาพและพิมพ์ออกมาเป็นหลักฐาน
วิธีที่ 2
1. ค้นหา Facebook เป้าหมาย  เมื่อพบแล้วให้ทำการคัดลอก Profile ของผู้ใช้งาน
   Facebook ตัวอย่างเช่น www.facebook.com/hightech.crime   
ให้ใช้เมาส์
   คลิ๊กเลือกที่ช่องสำหรับพิมพ์ใส่ชื่อเว็บ ด้วยการกดเมาส์ค้างไว้ขณะเลือกชื่อเว็บ
   ทั้งหมดให้
เป็นแถบสีน้ำเงิน ตามหมายเลข 1)   จากนั้น กดปุ่ม Ctrl + C หรือ คลิ๊ก
   เมาส์ขวา เลือกเมนู Copy 
เพื่อทำการคัดลอกชื่อ Facebook Profile ดังกล่าว ตาม 2)


2. เข้าไปที่เว็บไซต์ findmyfbid.com ด้วยการพิมพ์ชื่อเว็บ ตามหมายเลข 1) แล้วพิมพ์ชื่อ
    Facebook Profile ของเป้าหมาย ลงในช่องสำหรับสืบค้น หากได้ทำการคัดลอกไว้แล้ว
    ให้กดปุ่ม Ctrl + V หรือ  คลิ๊กเมาส์ขวา ที่ตรงช่องสำหรับสืบค้น หมายเลข 2)  แล้วเลือก
    เมนู Paste (วาง) จากนั้น กดปุ่ม Find ตามหมายเลข 3)

findmyfbid.com

3. ผลลัพธ์ที่ได้ จะปรากฎหมายเลข Facebook ID เป็น 100002106320699





ทีมา:
 http://www.hightechcrime.org/fbid
ศูนย์อาชญากรรมทางเทคโนโลยี (High-Tech Crime Center)


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud