digital forensics:Challenge Images

digital forensics:Challenge Images

Digital Forensic Challenge Images (Datasets)

This page contains all the digital forensic challenges (datasets) I prepare either for a training course I teach, a DFIR challenge done @Security4Arabs, testing an application or written code, or just for fun! The current challenges are: Challenge #1, Challenge #2, Challenge #3, Challenge #4 and different Linux Forensic Cases. More will be added soon, so keep checking the site for updates.

Note: if you have any comments or notes, please don't hesitate to contact me, I will do my best to get back to you ASAP. Also, if you use any of my work for your training, presentation, etc, I would appreciate if you inform me. Don't worry, I won't charge you anything, and use them for free as you like. I just want to be informed for referencing purposes only.

---

• Challenge #1 - Web Server Case

A company’s web server has been breached through their website. Our team arrived just in time to take a forensic image of the running system and its memory for further analysis. All of the case files can be found here. Old upload could be found below (I'm using them as an alternative now):
1. System Image: here
2. System Memory: here
3. Hashes: here
4. Passwords = here
5. Other download URLs from (Archive.org) could be found here: here
To successfully solve this challenge, a report with answers to the tasks below is required:
1. What type of attacks has been performed on the box?
2. How many users has the attacker(s) added to the box, and how were they added?
3. What leftovers (files, tools, info, etc) did the attacker(s) leave behind? (assume our team arrived in time and the attacker(s) couldn’t clean and cover their tracks)
4. What software has been installed on the box, and were they installed by the attacker(s) or not?
5. Using memory forensics, can you identify the type of shellcode used?
6. What is the timeline analysis for all events that happened on the box?
7. What is your hypothesis for the case, and what is your approach in solving it?
8. Is there anything else you would like to add?
Bonus Question: what are the directories and files, that have been added by the attacker(s)? List all with proof.
Important Note: do not use commercial tools for your own learning benefit.


End of Case.

---

• Challenge #2 - User Policy Violation Case

This is another digital forensics image that was prepared to cover a full Windows Forensics course.
1. System Image: here
2. Hashes: here
3. Password = here
4. Other download URLs from (Archive.org) could be found here: here
You can use the image to learn the following:
1. File Carving, Custom Carving, and Keyword Searching
2. File System Forensics - NTFS
3. Deep Windows Registry Forensics: System and User Hives
• SYSTEM
• SOFTWARE
• SAM
• NTUSER.DAT
• USRCLASS.DAT
4. Other Windows Files: LNK, Jump Lists, Libraries, etc
5. Application Compatibility Cache (ShimCache)
6. Analyzing Windows Search (Search Charm)
7. Analyzing Thumb Caches
8. Analyzing Prefetch Files
9. Analyzing Recycle Bin(s)
10. USB Forensics
11. Events Analysis
12. Email Forensics: Web and Outlook
13. Browser Forensics: Internet Explorer and Google Chrome
14. Skype Forensics
This image covers most if not all of the recent system artifacts that you might encounter. Let me know if you need any help or if you are an instructor and want the answers to each part of the case. I will only send the answers to verified instructors.
Due to lots of requests, I have decided to compile a manual or a book for the second image with Q&As to help you go through the challenge and solve every part of it. URLs and further explanations will be provided very soon. Stay tuned my friends and happy hunting ;)
End of Case.

---

• Challenge #3 - Mystery Hacked System

This is another digital forensics image that was prepared to for a Windows and File System Forensics course. This is a little of a mystery, so I won't be giving out too much clues about what you can learn in this case, but I assure you, you can learn a lot ;)
1. System Image: here
2. Hashes: here
3. Password = here
4. Other download URLs from (Archive.org) could be found here: here
One day an IT dept. guy/gal came to work to find the message below written in a file on his/her system! He/Her immediately reported that to you. Now you must: 
• How was this system hacked? (What is your hypothesis)
• What evidence did you find that proves your hypothesis?
• How did you approach and solve the case? (write a report)
• Anything you would like to add?
End of Case.

---

• Challenge #4 - Launching Attacks from Alternate Data Streams

This is another digital forensics image that was prepared for to test the following:
1. Hidding EXEs in ADS
2. Running Malicious EXEs from ADS
3. Checking if Windows Defender (or other AVs), truly scan ADS
4. Hiding Malicious EXEs in Stealthy ADS
5. Showing How all of the above methods could be detected
File are below:
1. Forensic Image: here
2. Hashes: here
3. File List: here
End of Case.

---

• Linux Forensic Cases

These are four different cases to cover Linux forensic investigations and a brief could be found below:
1. Case1: Compromised Web Server
2. Case2: Compromised Hadoop (HDFS) Cluster
3. Case3: Attacker's Kali Linux System
4. Case4: Investigating/Hunting Hidden Processes
All case files could be found here
End of Summary.

ที่มา:

https://www.ashemery.com/dfir.html

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #ฝึกทำLab

DIGITAL FORENSICS:Defcon DFIR CTF 2019

DIGITAL FORENSICS:Defcon DFIR CTF 2019

Click here to download all evidence files.

Evidence Hashes (MD5):

• Laptop-Deadbox.zip = 5e35e01cfb14bd3762e7e3e5228cbb37
• Triage-VM.7z = bbe242e1ba3bb1dc9d67c087b3eb8517
• Triage-Memory.mem = c0c80a06ad336a6e20d42c895a0e067f

This year an unofficial Defcon DFIR CTF was provided by Champlain College’s Digital Forensic Association. They created challenges in 5 topics which are available for anyone for a little practice on this site: defcon2019.ctfd.io. The challenges are sorted into the following categories:

• DFA Crypto Challenge
• Deadbox Forensics
• Linux Forensics
• Memory Forensics
• Triage VM Questions

Ref:

defcon2019

jaiminton

defcon-dfir-ctf-2019-memory-forensics

defcon-2019-dfir-ctf

defcon_dfir_ctf/

โจทย์ CTF มาให้ลองเล่น เป็นโจทย์แนว forensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

DIGITAL FORENSICS:picoCTF

DIGITAL FORENSICS:picoCTF

วันนี้มาแนะนำเว๊ปสำหรับฝึกเล่น CTF สำหรับคนที่ยังไม่พร้อมลงแข่ง มาฝึกก่อนลงสนามจริงครับ
picoCTF เป็นเกม ด้าน computer security ที่จัดโดย มหาวิทยาลัย Carnegie Mellon หรือ CMU ที่มุ่งเป้าไปที่นักเรียนมัธยมและ มหาวิทยาลัยให้มาแสดงทักษะความสามารถ

PICOCTF

โจทย์ CTF มาให้ลองเล่น เป็นโจทย์แนว forensics

ส่วนใหญ่ผมจะเลือกโจทย์เฉพาะ Digital forensic เท่านั้น เนื่องจากศึกษาด้านนี้อยู่

 ข้อ1. นี้ 50 คำแนน  Hints บอกว่า unzip จะพบ Flag

เราใช้เครื่องมือที่ชื่อว่า Jeffrey's Image Metadata Viewer  จะแสดงรายละเอียด metadata ของรุปภาพ

 

Jeffrey's Image Metadata Viewer

แต่หาอย่างไรก็ไม่เจอ ก็เลยเอาข้อความที่ปรากฎในรูปไปตอบ

  ข้อ2. นี้ 50 คำแนน  Hints บอกว่า ให่้ใช้ HEx editor จะพบ Flag

 

 เปิดไฟล์ garden.jpg มาเป็นรูป สวน

 ผมใช้โปรแกรม Osforensics ในการเปิดไฟล์ garden.jpg  เลือกโหมด Hex/String Viewer และทำการค้นหา Flag

Osforensics

 ข้อ 3. มี 150 Point  Hint บอกว่าอยู่ใน Meta

 ไปที่เว็บ http://exif.regex.info/exif.cgi  และ Upload รูปดู เจอ Flag จบครับ

  ข้อ 4.  มี 150 Point  Hint บอกว่าต้อง Encode Decode  ด้วย

ลองดู Metadata ก่อนว่าในรูปมีอะไร  แต่ไม่มีอะไร

ลอง ไปที่ website https://stylesuxx.github.io/steganography/  และ Upload รูปดู เจอ Flag จบครับ

  ข้อ 5.  มี 150 Point  Hint บอกว่า ระบบปฏิบัติการรู้ได้อย่างไรว่าเป็นไฟล์ประเภทใด

   เนื่องจากโจทย์ให้ flag.txt  มาแต่เมื่อเราดูใน Header แล้วมันเป็นรูป PNG

 5.1 เปลี่ยนนามสกุลไฟล์(Re-extension)  flag.txt > flag.png  เจอ Flag จบครับ
 5.2.หรือลอง ไปที่ website https://stylesuxx.github.io/steganography/  และ Upload รูปดู เจอ Flag จบครับ

6. shark on wire 1 - Points: 150  Hint บอกว่า ให้ดู  What are streams?  ก็จัดเลยครับ  Follow Stream อย่างเดี่ยวก็เจอครับ

และเป็นอีกครั้งที่ผมทำไม่เสร็จ ขอค้างไว้แค่นี้ก่อนแล้วค่อยทยอย ทำเรื่อยๆครับ

หมายเหตุ : เหมาะสำหรับการฝึกฝน Digital Forensics & Incident Response และทำให้ใช้เครื่องมือต่างๆ ได้คล่อง

ที่มา:

https://picoctf.com
http://exif.regex.info 
OSforensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #ฝึกทำLab

DIGITAL FORENSICS: Free Tools To Analyze Windows LNK Shortcut Files

DIGITAL FORENSICS: Free Tools To Analyze Windows LNK Shortcut Files

Windows Forensic .LNK files-Part 1

.LNK ไฟล์นามสกุล

.LNK File Extension

Developer: Microsoft
File Type: Windows File Shortcut File
Popularity:

What are LNK Files?

LNK FILES คืออะไร

ไฟล์ LNK คืออะไร เป็นทางลัดหรือ "ลิงค์" ที่ Windows ใช้เป็นข้อมูลอ้างอิงไปยังไฟล์ต้นฉบับ

ไฟล์ .LNK ( ดอทลิงก์) เชื่อมโยงกับ Windows File Shortcut เป็นไฟล์ที่มีรูปแบบ Binary และอยู่ในหมวด System Files มีขนาดประมาณ 1-2 KB แสดงที่อยู่ใน LNK ไฟล์ 

LNKไฟล์สามารถสร้างได้ใน Windows โดยคลิกขวาที่ไฟล์จากนั้นเลือก "create shortcut" 
โดยทั่วไปไฟล์ LNK จะใช้ไอคอนเดียวกับไฟล์เป้าหมาย แต่เพิ่มลูกศรโค้งเล็ก ๆ เพื่อระบุว่าไฟล์นั้นชี้ไปยังตำแหน่งอื่น เมื่อดับเบิลคลิกที่shortcut จะทำหน้าที่เช่นเดียวกับที่ผู้ใช้คลิกไฟล์ต้นฉบับ
ไฟล์ LNK พร้อมทางลัดไปยังโปรแกรม (ไฟล์. EXE) สามารถระบุคุณสมบัติสำหรับวิธีการเรียกใช้โปรแกรม ในการตั้งค่าคุณสมบัติให้คลิกขวาที่ไฟล์ทางลัดเลือก "Properties" และแก้ไขฟิลด์ Target
 

Autopsy shortcut

LNK FILES คืออะไร

ไฟล์ LNK เป็นสิ่งสำคัญช่วยในการสืบสวนสำหรับผู้ตรวจสอบทาง Digital Forensics   ไฟล์ LNKเป็นไฟล์ทางลัด(shortcut files )ที่เชื่อมโยงไปยังแอปพลิเคชันหรือไฟล์ที่พบได้ทั่วไปบนเดสก์ท็อปของผู้ใช้หรือทั่วทั้งระบบและลงท้ายด้วยนามสกุล. LNK ผู้ใช้สามารถสร้างไฟล์ LNK หรือถูกสร้างโดยระบบปฏิบัติการ Windows โดยอัตโนมัติ  ไฟล์ LNK ที่สร้างจาก Windows จะถูกสร้างขึ้นเมื่อผู้ใช้เปิดไฟล์หรือเอกสารในตัวเครื่องหรือจาก Remote จาก Network โดยให้ข้อมูลที่มีค่าเกี่ยวกับกิจกรรมของผู้ต้องสงสัย

Why are LNK Files Important to Your Digital Forensics Investigation?

ทำไมไฟล์ LNK จึงมีความสำคัญต่อการสืบสวน Digital Forensics ?
ไฟล์ LNK เป็นสิ่งสำคัญสำหรับผู้ตรวจสอบทางDigital Forensics ที่พยายามค้นหาไฟล์ที่อาจไม่มีอยู่ในระบบที่พวกเขากำลังตรวจสอบอยู่  ไฟล์อาจถูกลบหรือเก็บไว้ใน USB หรือเครือข่ายที่แชร์ดังนั้นแม้ว่าไฟล์อาจจะไม่มีอยู่แล้ว ไฟล์ LNK ที่เชื่อมโยงกับไฟล์ต้นฉบับจะยังคงอยู่ (และเปิดเผยข้อมูลที่มีค่าเกี่ยวกับสิ่งที่ถูกดำเนินการบนระบบ).

Link Parser

1. Download Link Parser V1.3

• Parses a single item, multiple selected items, or recursively over a folder or mounted forensic image
• Multi-Select individual files
• Exports to CSV for easy analysis
• GUI supports Date/Time sorting
• Over 30 attributes extracted
• Free for both personal and commercial use

MAC Time

File Size

Recent Documents

 serial number

Export To CSV

2. Download lnkanalyser.v.1.0.1.zip Tools
#lnkanalyser -i [path\]shortcut.lnk

Lnkanalyser

   สิ่งสำคัญที่ต้องพบเมื่อทำการตรวจสอบไฟล์ LNK

โดยทั่วไปไฟล์ LNK จะมีรายการของค่าหลักฐานต่อไปนี้:

L  LNK files typically contain the following items of evidentiary value:

•   Path of the LNK file 
•   Path of the  file being linked to
• MAC times for the LNK file
• Volume name and serial number
• NetBIOS name and MAC address of source computer

Lnkanalyser

3. LNK Parser

LNK Parser

Command-line Usage

Example 1: lnk_parser_cmd.exe shortcut.lnk

Example 2: lnk_parser_cmd.exe C:\Users\User\Desktop

LNK Parser

 4. LNK File Previewer v.10

5.LECmd  1.3.2.0 Parse lnk files
https://github.com/EricZimmerman/LECmd
Examples: LECmd.exe -f "C:\Temp\foobar.lnk"

LECmd 

6. Windows File Analyzer V2.8.0

Shoutcut Analysis

Windows File Analyzer

Windows File Analyzer

ที่มา:
https://www.magnetforensics.com/blog/forensic-analysis-of-lnk-files/
https://bit.ly/312JORX
https://filesemut.com/lnk-file-extension
https://www.errorkit.com/file-extensions/lnk-4325

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

DIGITAL FORENSICS:MAGNET USER SUMMIT 2019 MUS2019 DFIR CTF

DIGITAL FORENSICS:Magnet User Summit 2019 MUS2019 DFIR CTF

You can download the evidence and a 30 day license key for Magnet Axiom here:
https://drive.google.com/drive/u/0/mobile/folders/1E0lELj9NouMwSMGZCI7lXWRqYE2uQCpW?usp=sharing

You can register for the CTF and play here:
https://mus2019.ctfd.io/

1. What is the SHA1 hash of the desktop post's forensic image?

If the forensic capture does not have hashes, it is not a forensic capture. We review the file MUS-CTF-19-DESKTOP-001.E01.txt and find the hash in no time.

2. Who acquired the forensic image of the desk?

The same log file of the forensic acquisition in the previous section gives us the answer.

3. What is the serial number of the OS volume of the desktop station?

The volume serial number is a hexadecimal value that is generated when the filesystem is created. The Microsoft documentation tells us that for NTFS file systems we have it in position 0x48 of the BPB (Bios Parameter Block), which is part of the boot sector. We have this sector on the disk in the $ boot (at the root of the disk). We mount the disk with FTK Imager and access the hexadecimal value:

4. What is the timezone of the desktop station?

If it is a system configuration, it has to be in the Windows registry. We mount the image with FTK Imager Lite, we extract the folder C: \ Windows \ System32 \ config (because surely we will need more). The key in question is:

5. Which user installed TeamViewer?

A quick look at C: \ Users indicates 

7. How Many Times 2

At least how many times did the teamviewer_desktop.exe run?

8. What is the name of the file associated with MFT entry number 102698?

  we just have to export the $ MFT and pass it through the mftdump.exe tool:

opening the .csv with MSOffice and locate the input.

12.What is the IP address of the Desktop?

 

To extract Registry files you must search in the directory at the path %SystemRoot%\System32\Config, right-click on the file you need them and then select the export option.

System

HKEY_LOCAL_MACHINE\SYSTEM

 

Open the following path in the Registry Editor: HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet \Services \Tcpip\Parameters\Interfaces.

13. Which User Shutdown Windows on February 25th 2019?

Windows Server Event: 1074

Event 1074 applies to the following operating systems:

• Windows Server 2008 R2 and 7
• Windows Server 2012 R2 and 8.1
• Windows Server 2016 and 10

 Event ID 1074: System has been shutdown by a process/user.

โจทย์ CTF มาให้ลองเล่น เป็นโจทย์แนว forensicsและเป็นอีกครั้งที่ผมทำLab ไม่เสร็จ ขอค้างไว้แค่นี้ก่อนแล้วค่อยทยอย ทำเรื่อยๆครับ

Ref:

mus2019

solving-magnet-forensics-ctf-with-plaso-timesketch-colab

ctf-on-budget-magnet-user-summit-2019-part3.html#

learndfir

magnet-user-summit-dfir-ctf-2019-basic-desktop

/mus-ctf-dfir-desktop-nivel-4/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud