Monday, June 29, 2020

DIGITAL FORENSICS:Recover deleted files with Shadow Explorer.

DIGITAL FORENSICS:Recover deleted files with Shadow Explorer.
การกู้ข้อมูลบน Windows ด้วย Shadow Explorer


Tools 
Shadow Explorer.
- Windows 8 pro workstation

Step 1.  เข้าไป download  Shadow Explorer.
Shadow Explorer
Step 2.  เปิด ShadowExplorerPortable.exe
After successfully installing ShadowExplorer, you can find a shortcut on your desktop or in your start menu.  running ShadowExplorer Or  running ShadowExplorer ShadowExplorerPortable.exe


ShadowExplorerPortable
Optional: The first thing you see after you start ShadowExplorer as administrator, is the user account control screen, require administrator privileges.

Shadow Explorer
Step 3.  เลือกช่วงเวลาก่อนไฟล์โดนลบ
This is what ShadowExplorer looks like if everything works correctly.
From the drop down list you can select from one of the available point-in-time Shadow Copies.



หน้าต่างด้านซ้ายแสดงข้อมูลปัจจบัน   และหน้าต่างด้านขวาแสดงข้อ วันที่ 25-2-2020

Step 4. ทำการ export ไฟล์ออก
You can right-click any file or folder and export it.


Step 5. รอสถานะจนกว่าจะเสร็จ
A progress bar shows the status of the retrieval process.


Note: You can try Previous versions to recover the files first. If no success, then you may try Shadow Explorer. Sometimes, Shadow Explorer may recover some files that Previous versions cannot.

Shadow Explorer is a free tool which allows you to browse the Shadow Copies, which created by Volume Shadow Copy Service, to retrieve older versions from files that you accidentally deleted or altered.

การกู้ข้อมูลบน Windows ด้วย Shadow Explorer 

ที่มา :สอนวิธีการกู้ข้อมูลที่ถูกลบหรือเสียหายด้วย Shadow Explorer ช่อง Team's IT

** ข้อแนะนำ: เมื่อคุณรู้ว่าจะต้องกู้ไฟล์จาก HDD ให้พยายามหลีกเลี่ยงการเขียนข้อมูลใหม่ลงไปยัง HDD นั้นๆ และไม่ควรทำการกู้ไฟล์เก็บใน HDD เดิม เพราะมีโอกาสที่ข้อมูลที่เราเขียนลงไปใหม่ อาจจะไปทับข้อมูลเดิมที่เราต้องการกู้คืนมา ทำให้ไม่สามารถกู้ข้อมูลกลับมาได้ หรืออาจจะได้ข้อมูลที่ไม่สมบูรณ์

Ref: shadowexplorer 


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Saturday, June 27, 2020

DIGITAL FORENSICS:ZIP PASSWORD BRUTEFORCE

DIGITAL FORENSICS:ZIP Password BruteForcer


    วันนี้มาฝึก ทำ Lab โจทย์เราได้หลักฐานเป็นไฟล์ topsecret.zip  มา แต่โดนเข้ารหัสอยู่ให้เราหารหัสผ่านของไฟล์  ZIP ได้ที่   โหลดหลักฐานจาก https://drive.google.com/file/d/1hAWdIP3dL4zMfFwuMIS7GkF08H1q-Zy3/view?usp=sharing แต่ไฟล์ (topsecret.zip) ถูกเข้ารหัสอยู่  ให้เราลองหาดู  *

1. ขั้นแรกให้ทำการใช้ เครื่องมือ
ZIP PASSWORD BRUTEFORCER คือ เครื่องมือที่เอาไว้ Brute force รหัสผ่าน ของ zip file ที่ถูกเข้ารหัส

Download from https://github.com/The404Hacking/ZIP-Password-BruteForcer/archive/master.zip
ZIP-Password-BruteForcer-master.zip
Extract files.
cd ZIP-Password-BruteForcer
python ZIP-Password-BruteForcer.py

2. เตรียม Wordlist  (rockyou.txt) สำหรับถอดรหัส 
https://www.mediafire.com/file/z9t045j5nkbtxjw/rockyou.zip/file

3.  ทำการเริ่มถอดรหัสผ่าน

3.1 #PYTHON ZIP-PASSWORD-BRUTEFORCER.PY
ZIP PASSWORD BRUTEFORCER
3.2 เลือก 1
3.3    Zip file Address : ใส่ที่ตำแหน่ง  J:\SECURITY LAB\topsecret.zip
         Password List Address :  J:\SECURITY LAB\wordlist\rockyou.txt
      

3.4 ดูผลลัพธ์ Password:



สรุป 
   ปัจจัยสำคัญคือ  wordlist  สำหรับ BRUTEFORCE


ที่มา:


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

#ไฟล์ ZIP ติด PASSWORD  แก้อย่างไร


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ

DIGITAL FORENSICS: MD5 conversion and reverse lookup

DIGITAL FORENSICS: MD5 conversion and reverse lookup

 

goto website  https://gromweb.com/

 

Insert MD5  71DF5A33EFFDEA5B1882C9FBDC1240C6  to Textbox

Reversed into the string:

Free Password Hash Cracker

 f8c83023e2d613426e3055db990aab5c48ce3764
rainbow table online tool

 

passwordsgenerator

SHA256 Hash Generator

AES Encryption and Decryption Online Tool(Calculator)



ref:

https://gromweb.com
https://crackstation.net

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

 


Saturday, June 13, 2020

Mobile Forensics:Cellebrite Reader

Mobile Forensics:Cellebrite Reader

  วันนี่จะมาแนะคำเครื่องมือ Mobile Forensics Tools สำหรับทำ Report ง่ายๆของ ชุดตรวจพิสูจน์โทรศัพท์เคลือนที่ Cellebrite  UFED   ชื่อว่า Cellebrite Reader   สามารถไปเปิดที่ไหนก็ได้โดยไม่ต้องติดตั้งโปรแกรม  และสามารถออกรายงานได้สะดวก  เช่น PDF,HTML ,XML ได้

Mobile Forensics Tools 

สิ่งที่ต้องเตรียม
1.Cellebrite Reader
2.Androind Image
3.computer forensic workstations with Cellebrite Reader

ขั้นตอน
1. ทำการ Download Android Image เพื่อใช้ในการทดสอบ 



2.  เปิดโปรแกรม Cellebrite Reader
3. เลือก Open UFDR file จาก Android Image 
4. ดูรายละเอียดต่างๆ Contaces > Facebook Messenger

 File Systems > Google Photos ,Skype
 Data Files >Videos > Thumbnail View
 Call Log

5 ทำการ Generate Report  เลือก Tab report > Generate report

 ใส่รายละเอียดของรายงาน  General
 เลือกชนิดของรายงาน  > data types

ตั้งรหัส Security> Password Protection
Generating Report

 6. Report

Extraction Summary





Credit:
https://www.cellebrite.com/en/cellebrite-reader/


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD


DIGITAL FORENSICS: HOW TO MOUNT A FORENSIC IMAGE WITH FULL DISK BITLOCKER ENCRYPTED

DIGITAL FORENSICS: HOW TO MOUNT A Forensic IMAGE WITH  Full Disk BITLOCKER ENCRYPTED



วันนี้มาทดสอบการทำ  Disk Image ที่โดนเข้ารหัส  ( Full disk ENCRYPTED with BITLOCKER)

เครื่องมือที่ใช้ (Tools)
1. Bitlocker Disk image + Key Recovery
2. Tableau Forensic Duplicator - TD2
3. Forensic Workstations
4. Arsenal Image Mounter  
5. OSForensics
6. FTK Imager 

ขั้นตอน

1. ได้รับเคสให้ตรวจสอบ Harddisk  ที่พบว่ามีการทำ Full disk ENCRYPTED โดย BITLOCKER  ขนาด 120 gb
Full disk ENCRYPTED WITH BITLOCKER


2. ทำสำเนาหลักฐานโดยใช้Tableau Forensic Duplicator - TD2
    ตั้งค่า forensics image file เป็น e01
Tableau Forensic Duplicator - TD2



3. เมื่อเสร็จให้ตรวจสอบ สำเนาหลักฐานและดู Log
ใช้ FTK Imager เปิด CF-BITLOCKER.E01  ว่าไฟล์สมบูรณ์หรือไม่

สังเกต Header  The FVE metadata block header consists of the signature “-FVE-FS”.
BitLocker
ตรวจสอบ log file 2020-05-19 11-09-04 00358 D2F.LOG จาก Tableau Forensic Duplicator - TD2


4. ทำการใช้ FTK Imager   ทดสอบเปิด forensics image file ว่าสามารถเปิดได้หรือไม่
    ทดสอบ Mount  CF-BITLOCKER.E01 file พบว่าสามารถ Mount  แต่ไม่สามารถเปิด Drive: K ได้ เนื่องจาก โปรแกรม FTK Imager  ไม่รองรับการใส่ recovery Key ของBIT-LOCKER
Mount CF-BITLOCKER.E01 image file


Mount drive k: แต่เปิดไม่ได้



5. ใช้โปรแกรม Arsenal Image Mounter  Mount CF-BITLOCKER.E01 image file

Mount CF-BITLOCKER.E01 image file
เปิด Drive I:
 Drive I: Recover key
 Unlock this Drive.



6. ใช้โปรแกรม 
OSForensics ทำการค้นหาหลักฐานที่เราได้ mount Drive I: ออกมา ทำการวิเคราะห์และค้นหาข้อมูล



 จากการตรวจสอบพบว่าเครื่องคอมพิวเตอร์ติดตั้ง OS Windows 10 pro


สรุป
1. ขนาด Forensic Image file  ที่จากการทำสำเนาได้ประมาณ 14 GB จาก SSD harddisk 120 GB
2. โปรแกรม FTK Imager ไม่สามารถ  Mount ไฟล์ forensic image ที่มีการเข้ารหัส Bitlocker  ได้ ทำให้เปิดไม่ได้
3. โปรแกรมArsenal Image Mounter สามารถ  Mount ไฟล์ forensic image  รองรับการใส่ recovery Key ของ BIT-LOCKER   ทำให้เปิด drive ได้
4. ใน Header  ของ forensic image file จะมี signature “-FVE-FS” เกิดจากการเข้ารหัสโดย Bitlocker

อ่านเพิ่ม

Ref:


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #Full disk ENCRYPTED