Sunday, December 27, 2020

Memory Forensics:How to analyze a VMware memory image with Volatility

Memory Forensics:How to analyze a VMware memory image with Volatility


ในการวิเคราะห์ Memory   ซึ่งเป็นข้อมูลในหน่วยความจำชั่วคราว (RAM) ที่กำลังทำงานอยู่ ซึ่งอาจเรียกว่าหลักฐานที่สูญสลายได้ (Volatile data) เราจำเป็นต้องใช้ เครื่องมือสำหรับการเก็บข้อมูลชนิดนี้และวิเคราะห์ Memory โดยเฉพาะ

Volatile memory หมายถึง หน่วยความจำแบบลบเลือนได้ ซึ่งเป็นหน่วยความจำที่ต้องใช้กระแสไฟฟ้าหล่อเลี้ยง เพื่อเก็บข้อมูล หากเกิดไฟฟ้าดับข้อมูลและโปรแกรมคำสั่งจะสูญหายไป หน่วยความจำประเภทนี้ เช่น แรม (RAM) ของเครื่องคอมพิวเตอร์ เป็นต้น


Memory analysis Tools

Evidence 

Malware Analysis.vmem 

1.Acquisition  (การได้มาซึ่งหลักฐาน)

ทำการเปิด Virtual Machine ที่เราสงสัยว่ามีโปรแกรมอันตรายติดตั้งอยู่ที่เตรียมไว้ 

Memory Forensics with Volatility
ทำการ copy Malware Analysis.vmem จาก  Virtual Machine
Memory Forensics with Volatility

2.Analyze Evidence 
2.1 PassMark Volatility Workbench เป็นเครื่องมือสำหรับวิเคราะห์ memory อีกตัวที่ใช้งานง่าย ไม่ต้องใช้ Command line เพราะเป็น  (Graphical User Interface, GUI) ลดปัญหาพิมพ์คำสังผิด เครื่องมือนี้ชื่อว่า volatility-workbench  จาก PassMark Software  พัฒนาจาก Volatility  นอกจากนี้ยัง สนับสนุน Mac and Linux memory ด้วยครับ
เรียก PassMark Volatility Workbench เพื่อเปิด  Malware Analysis.vmem เลือกคำสั่ง  คำสั่ง info เพื่อดูไฟล์  Malware Analysis.vmem ว่าเป็นระบบปฎิบัติการอะไร WindowsXP
Memory Forensics with Volatility

เลือกคำสั่ง Pslist สามารถเรียกดูข้อมูลของ memory และ thread ของแต่ละ process เวลาที่ process ทำการรัน หมายเลข PID (หมายเลข process)
Memory Forensics with Volatility
เลือกคำสั่ง Malfind สามารถเรียกดูข้อมูลของ memory และ process ทำการรัน ค้นหาโปรแกรมที่น่าสงสัย PID 1484 Beast2.07.exe
Memory Forensics with Volatility


2.2 Volatility Framework เป็นเครื่องมือสำหรับวิเคราะห์ memory เป็นเครื่องมือวิเคราะห์พยานหลักฐานดิจิทัลที่ใช้วิเคราะห์ ข้อมูลชนิด Volatile data จาก (RAM) ผ่าน Command lineที่เก็บมาสามารถนำไปวิเคราะห์ต่อ สนับสนุน Winodws, Mac and Linux memory ตัวนี้ฟรีครับ ใครศึกษาด้าน malware analysis ,Memory analysis 


เรียก Volatility Framework  เลือกคำสั่ง  คำสั่ง imageinfo เพื่อดูโปรไฟล์  Malware Analysis.vmem ว่าเป็นระบบปฎิบัติการอะไร WindowsXPSP2x86

Memory Forensics with Volatility

Pslist สามารถเรียกดูข้อมูลของ process ทำการรัน และหมายเลข PID (หมายเลข process)
#vol.exe --profile=WinXPSP2x86 -f "C:\CF101\Malware Analysis.vmem" pslist พบว่าโปรแกรมที่น่าสงสัย PID 1484 Beast2.07.exe
Memory Forensics with Volatility

ทำการใช้คำสั่ง connscan   ใช้สำหรับ  scan tcp connections ทั้งหมดที่ถูกใช้ ผลลัพถ์แสดงรายละเอียด IP address ที่เชื่อมต่อยู่
#vol.exe --profile=WindowsXPSP2x86 -f  c:\CF101\Malware Analysis.vmem  connscan
Memory Forensics with Volatility

ทำการใช้คำสั่ง dlllist   ใช้สำหรับ  แสดงรายละเอียด DLL ที่ถูกเรียกใช้ โดย Process ID 1484
#vol.exe --profile=WindowsXPSP2x86 -f  c:\CF101\Malware Analysis.vmem  dlllist -p 1484
Memory Forensics with Volatility
ทำการใช้คำสั่ง dlldump   ใช้สำหรับ dump รายละเอียด DLL ที่ถูกเรียกใช้ โดย Process ID 1484 ไปที่Folder ที่เราสร้างไว้
#vol.exe --profile=WindowsXPSP2x86 -f  c:\CF101\Malware Analysis.vmem  dlldump  -D dlls/ -p 1484


ทำการใช้คำสั่ง iehistory   ใช้สำหรับว่ามีการเรียกใช้ browser IE ทั้งหมดผลลัพถ์แสดงรายละเอียด ไฟล์ *.htm
#vol.exe --profile=WindowsXPSP2x86 -f  c:\CF101\Malware Analysis.vmem  iehistory
Memory Forensics with Volatility

ทำการ Scan virus  ในโฟรเดอร์ dlls ผลลัพธ์ที่ได้พบ Threats found : 5
Memory Forensics with Volatility

2.3 Magnet AXIOM เป็นซอฟต์แวร์สำหรับตรวจพิสูจน์หลักฐานดิจิทัล พัฒนาโดยบริษัท Magnet Forensics ช่วยในการตรวจพิสูจน์ข้อมูลดิจิทัล เพื่อสืบค้นและวิเคราะห์ข้อมูล ที่บันทึกอยู่ในสื่อบันทึกข้อมูลดิจิทัลต่าง ๆ อีกทั้งยังสามารถสืบค้นและวิเคราะห์ข้อมูล  memory  ซอฟต์แวร์นี้ต้องซื้อ license 


ทำการใช้ Magnet Axiom Process  เปิด Malware Analysis.vmem และประมวลผล

Memory Forensics with Volatility
ขั้นต่อไปให้ใช้ Magnet Axiom Examine เปิด Artifact categories >Memory
Memory Forensics with Volatility

Memory > เลือกคำสั่ง  คำสั่ง imageinfo เพื่อดูโปรไฟล์ *.Vmem
Memory Forensics with Volatility

Memory > เลือกคำสั่ง Malfind สามารถเรียกดูข้อมูล ค้นหาprocess  และโปรแกรมที่น่าสงสัย

Memory Forensics with Volatility


Memory > ทำการ Filter Process ID 1484 ซึ่งเป็นPID และ โปรแกรม Beast2.07.exeที่น่าสงสัย จากขั้นตอนที่แล้ว

Memory Forensics with Volatility

ทำการตรวจสอบ Process ID 1484 แลBeast2.07.exe มีความเชื่อมโยงกัน

Memory Forensics with Volatility


Memory >  ทำการใช้คำสั่ง Export dlldump ,Procdump,dumpfile   ใช้สำหรับ dump รายละเอียด DLL ที่ถูกเรียกใช้ โดย Process ID 1484 ไปที่Folder ที่เราสร้างไว้

Memory Forensics with Volatility
แสดงไฟลเดอร์ที่  Export dlldump ,Procdump,dumpfile 
Memory Forensics with Volatility

ทำการ Scan virus  ในโฟรเดอร์ Export dlldump ,Procdump,dumpfile ผลลัพธ์ที่ได้พบ Detections : 24
Memory Forensics with Volatility


ที่มา:

https://steemit.com/security/@nybble/forensic-extracting-files-from-mft-table-with-volatility-part-2-en

https://www.andreafortuna.org/2017/07/03/volatility-my-own-cheatsheet-part-2-processes-and-dlls/

https://github.com/volatilityfoundation/volatility/wiki/Volatility-Usage

https://www.andreafortuna.org/2019/04/03/how-to-analyze-a-vmware-memory-image-with-volatility/


 หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Friday, December 18, 2020

Digital Forensics:Belkasoft Evidence Center X Challenge

Digital Forensics:Belkasoft Evidence Center X Challenge

Digital Forensics

Prerequisites:

1. Install Belkasoft Evidence Center X (request a trial version at https://belkasoft.com/get).

Make sure you chose to install sample data image during the product installation.

2. Create a new case

3. Add "samples.E01" as a an Image. The path to the file looks like "C:\Program

Files\Belkasoft Evidence Center x64 10.0\Sample Data".

4. Settings:

- Analysis type: everything except "Snapshots"

- Carving type: select "Carve free space"

- Artifacts: make sure all types are selected

- Media: select "Faces" and "Text (English)"

- Encryption: search for encrypted files and volumes

5. Enter passwords for iPhone backup, Chrome and weChat - find them in C:\Program

Files\Belkasoft Evidence Center x64 10.0\Sample Data\Passwords.


The challenge questions.

1. How did the picture “Gun_9mm.png” get into the data source?

  • Mailboxes

Digital Forensics

2. How many Cookies records have been found for the “youtube.com” host?
Digital Forensics

3. What is the geolocation data (Latitude, Longitude) for the point “Aviaticka,
16108 Praha 6, Czech Republic”?


Digital Forensics CTF

4. How many pictures are taken by iPhone 4? (Hint: use filters in List View)

Digital Forensics CTF

5. What is “Date and time of original data generation” of “iphone_London.jpg”?
Digital Forensics CTF

6. Which pictures contain guns? (Hint: if you have a full-featured license of
Belkasoft X,
Digital Forensics CTF

7. What types of files are found within the following data range: 01/01/2013-
31/12/2013?
Digital Forensics CTF

8. What is the database size for “live%003a.cid.5240e092bf788b59” Skype
account?
Digital Forensics CTF


9. What is the complexity of decrypting the document “protected2.pdf”?
Digital Forensics CTF

Digital Forensics CTF


10. How long was the first sleeping period of Detective Blore on 11/15/2018
according to MiFit records?
Digital Forensics CTF
4 hours 37 minutes

11. What famous composer is mentioned in the case key dictionary?
Digital Forensics CTF

12. Look for an address containing “Westminster” in conversations. What is the
full address?
Digital Forensics CTF

13. What Wi-Fi network was connected on 9/23/2016?
Digital Forensics CTF

14. Who is the sender of an email, containing a California Zip code?

Digital Forensics CTF
website@tesla.com

15. What phone numbers does Professor have in his iPhone WhatsApp address
book? (Hint: check it in ContactsV2.sqlite, using built-in SQLite Viewer. Find the
database using “Show in File System” option)

Digital Forensics CTF
+7 (953) 164-62-91

First steps with Belkasoft X



Ref: More useful information for you:
1) Belkasoft tutorials at https://belkasoft.com/tutorials
2) Belkasoft User Reference in your Belkasoft product and at https://belkasoft.com/downloads/info/Evidence%20Center%20Help.pdf

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Digital Forensics:Convert Your Base64 to Image

Digital Forensics:Convert Your Base64 to Image

วันนี้เรามา เปลี่ยนข้อมูลประเภทอักขระที่ถูกเข้ารหัสโดย “Base64 เป็นรูปภาพ เนื่องจากการแข่งขัน CTF หลายๆ ครั้งต้องมีโจทย์ที่ต้อง Convert Base64 ทุกครั้งก็เลยเอาตัวอย่างมาให้ดูครับ


Digital-forensics-challenge-2020
Credit:dfchallenge.org/digital-forensics-challenge-2020

 มีโจทย์ข้อหนึ่งให้ไฟล์ power point  มา สักเกตเห็นว่าใน comment มีข้อความยาว ประเภทอักขระอยู่เลยเอามาใส่ในเว็ป

 https://codebeautify.org/base64-to-image-converter  
จะได้รูปข้อความออกมาครับ


https://www.base64decode.org/

Base64 Part I


ที่มา:
https://www.base64decode.org
https://codebeautify.org/base64-to-image-converter
 หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud