Friday, May 28, 2021

DIGITAL FORENSICS:OSforensic Decryption & Password Recovery

DIGITAL FORENSICS:OSforensic Decryption & Password Recovery

 วันนี้มาฝึก ทำ Lab โจทย์เราได้หลักฐานเป็นไฟล์ secret.zip  มา แต่โดนเข้ารหัสอยู่ ให้เราหารหัสผ่านของไฟล์  ZIP โหลดหลักฐานได้ที่ https://drive.google.com/file/d/10cDW00mnku9XU35erVvNUQrwp0m1IH4T/view?usp=sharing ชื่อไฟล์คือ secret.zip แต่ไฟล์นี้ถูกเข้ารหัสอยู่ ซึ่งเจ้าของข้อมูลก็ลืม password ในการเปิดไฟล์นั้นขึ้นมาอ่านแล้วด้วย  Hint: เจ้าของข้อมูลจำได้ว่า password มีขนาดไม่เกิน 4 ตัวอักษร เป็นภาษาอังกฤษตัวพิมพ์เล็ก และตัวเลข เท่านั้น *

1. ขั้นแรกให้ทำการใช้ เครื่องมือ

OSforensic คือ เครื่องมือใช้ตรวจหลักฐานดิจิทัล และสามารถทำ BRUTE FORCE รหัสผ่าน ของ ZIP FILE ที่ถูกเข้ารหัสได้

OSForensics V7
Download 
เลือก Menu Passwords

2. ไปที่หัวช้อ Encrypted file เลือกไฟล์ที่จะถอดรหัส ไฟล์ secret.zip  
Encrypted file

3. เตรียม เลือกวิธีการ BRUTEFORCE สำหรับถอดรหัส LOWERCASE LETTERS & NUMBERS / DIGITS  เจ้าของข้อมูลจำได้ว่า password มีขนาดไม่เกิน 4 ตัวอักษร เป็นภาษาอังกฤษตัวพิมพ์เล็ก

 LOWERCASE LETTERS & NUMBERS / DIGITS 

4.  ทำการเริ่มถอดรหัสผ่าน  กด START 


5. Password Found นำรหัสไปใส่เพื่อถอดรหัสในไฟล zip



Watch the below video for a tutorial on password recovery.



สรุป 
   - ผู้สืบสวนควรเลือกเครื่องมือที่ใช้ถอดรหัสที่ปลอดภัย ไม่มีมัลแวร์ หรือ rootkit ฝังอยู่ใน Tools   เพื่อลดการปนเปื้อนในหลักฐานที่ตรวจสอบและเครื่อง forensic workstation
   - ผู้สืบสวนควรฝึกการใช้เครื่องมือให้คล่อง ลดความผิดพลาดแล้ว ลดเวลาในการทำงาน
 
   - ปัจจัยสำคัญในการถอดรหัสคือ ความยาวของรหัสผ่าน, ความซับซ้อนของรหัส  สำหรับ BRUTEFORCE


ที่มา:

https://www.osforensics.com/download.html


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #ZIP Decryption & Password Recovery#ไฟล์ ZIP ติด PASSWORD  แก้อย่างไร


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ

Tuesday, May 25, 2021

Digital Forensics:Windows Artifacts

Digital Forensics:Windows Artifacts

Windows Artifact Analysis:

  1. Program Execution
    • UserAssist
    • Shimcache
    • Windows 10 Timeline
    • Amcache.hve
    • Shimcache
    • System Resource Usage Monitor (SRUM)
    • Jump Lists
    • Last-Visited MRU
    • Prefetch
  2. File Download 
    • Open/Save MRU
    • Email Attachments
    • Skype History
    • Browser Artifacts
    • Downloads
    • ADS Zone.Identifer
  3. Deleted File or File Knowledge
    • XP Search – ACMRU
    • Thumbs.db
    • Search – WordWheelQuery
    • Thumbcache
    • IE|Edge file://
    • Win7/8/10 Recycle Bin
    • Last-Visited MRU
    • XP Recycle Bin
  4. Network Activity/Physical Location
    • Timezone
    • Cookies
    • Network History
    • WLAN Event Log
    • Browser Search Terms
    • System Resource Usage Monitor (SRUM)
  5. File/Folder Opening
    • Open/Save MRU
    • Shell Bags
    • Last-Visited MRU
    • Recent Files
    • Jump Lists
    • Shell Bags
    • Shortcut (LNK) Files
    • Prefetch
    • Last-Visited MRU
    • IE|Edge file://
    • Office Recent Files
  6. Account Usage
    • Last Login
    • Last Password Change
    • RDP Usage
    • Services Events
    • Logon Types
    • Authentication Events 
    • Success/Fail Logons
  7. External Device/USB Usage
    • Key Identification
    • First/Last Times
    • User
    • PnP Events
    • Volume Serial Number
    • Drive Letter and Volume Name
    • Shortcut (LNK) Files
  8. Browser Usage
    • History 
    • Cache
    • Session Restore
    • Cookies
    • Flash & Super Cookies
    • Google Analytics Cookies


Refer: SANS Poster

           windows-forensics-and-security


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Friday, May 21, 2021

Digital Forensics: Incognito mode

Digital Forensics: Incognito mode


Web Browser ในการใช้งานโดยปรกติทั่วไปนั้น เมื่อผู้ใช้เข้าไปที่เว็บไซต์อะไร หรือกระทำอะไรต่าง ๆ ลงไปโดยใช้ Web Browser นั้น โปรแกรมเว็บเบราเซอร์จะทำการบันทึกข้อมูลบางส่วนเก็บเป็น History ไว้กับ Web Browser เช่น บันทึก URL ของเว็บไซต์ที่เปิดดู, บันทึกข้อมูลการค้นหาจาก Search Engine อย่าง Google เป็นต้น
----------------

วิธีแก้ปัญหาสำหรับผู้ที่ไม่ต้องการให้โปรแกรมเว็บเบราว์เซอร์เก็บประวัติข้อมูลการท่องเว็บไว้ในเครื่อง คือการเข้าชมเว็บไซต์
ผ่านฟังก์ชั่น “เข้าชมแบบไม่ระบุตัวตน” หรือ incognito mode ใน Google Chrome บางเบราว์เซอร์อาจจะเรียกว่า
Private Window แต่หลัก ๆ แล้วมีลักษณะและคุณสมบัติการใช้งานเหมือนกัน

วิธีเปิดใข้งาน Incognito mode



เปิดโปรแกรมเว็บเบราว์เซอร์ขึ้นมา ไปที่เมนู File -> incognito mode หรือกดคีย์ลัด คือ
กด Ctrl+SHIFT+N สำหรับ Google Chrome สำหรับเครื่อง Macintosh เปลี่ยนจาก Ctrl เป็น Command

แต่เราสามารถตรวจสอบข้อมูลว่ามีการเข้าไป website ที่ไหนบ้าง ผ่านทาง DNS

1. ให้ทำการ ล้างค่าใน DNS ก่อน  เผื่อจะได้สังเกตุว่ามีข้อมูลอะไรใหม่บ้าง
Step 1 Flushdns
 2.ทำการเข้า www.kapook.com   เพื่อตรวจสอบข้อมูลเบื้องต้นก่อนการทดสอบ  และตรวจสอบ IP address ของเว็บไซต์  คือ 202.183.165.45
Step 2 Whois
 3.  ทำการล้างค่าในตาราง DNS  โดยใช้คำสั่ง  IPconfig /flusdns  และตรวจสอบอีกครั้งว่ามีข้อมูลเหลืออยู่หรือไม่
Step 3 Flushdns
 4. ทำการเปิด incognito mode ใน Google Chrome
Step 4 Incongnito
  5. ทำการเปิด incognito mode ใน Google Chrome
Step 5 website
 6. ทำการเข้า www.kapook.com     และตรวจสอบ IP address  โดยใช้คำสั่ง IPconfig /dnsdisplay  ของเว็บไซต์  คือ 202.183.165.45
Step 6 dnsdisplay
นอกจากนั้น เราสามารถตรวจสอบข้อมูลจาก router log ,Firewall log  หรือข้อมูลจาก ISP

Web Browser Privacy Modes





ที่มา :
           opensecuritytraining
           shorturl.at/biyGT
          shorturl.at/nvAMR
          shorturl.at/mpwKM
          https://www.dwthai.com
          https://www.codebee.co.th

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Saturday, May 15, 2021

Digital Forensics:CAPTURE THE FLAG:DRUG DEALER CASE

Digital Forensics:CAPTURE THE FLAG:DRUG DEALER CASE

วันนี้มาแนะนำการแข่งขัน Belkasoft CTF  ซึ่งจัดโดยบริษัท  Belkasoft  เป็นโซลูชันด้านนิติวิทยาศาสตร์และ incident response ที่ใช้งานง่ายและมีประสิทธิภาพซึ่งช่วยลดความซับซ้อนและเร่งขั้นตอนการสืบสวนทางดิจิทัล   โดยกิจกรรมจะเปิดและปิดเป็นช่วง   May 2021

Digital Forensics CTF

 Direct: dl.spbctf.com/BelkaDayUS_CTF_IMAGE.7z
Torrent: dl.spbctf.com/BelkaDayUS_CTF_IMAGE.7z.torrent
Archive password: CwMglC7pLRHSkIlwoSqA

Digital Forensics CTF
Phone Image

Digital Forensics CTF
The background of a case?
Digital Forensics CTF

Digital Forensics CTF

1. What is the full name of the phone owner?

Digital Forensics CTF

Digital Forensics CTF
Digital Forensics CTF

Flag

Derek Hor

2.What is the phone number he reported to about drug delivery?

Digital Forensics CTF

Digital Forensics CTF

Digital Forensics CTF

Flag

+12395104974

3.What were the suspect’s delivery locations on the night of arrest?

Digital Forensics CTF

Digital Forensics CTF
Digital Forensics CTF
Digital Forensics CTF
Digital Forensics CTF
Digital Forensics CTF

Flag

Camelback Golf Club, 7847 N Mockingbird Ln, Scottsdale, AZ (33.5542226,-111.9340928)
2013 W Harwell Rd., Phoenix, AZ (33.374304,-112.1035501)
33°29'04.2"N 111°52'38.0"W (33.4845,-111.877215)

 

4.How long has the suspect been acting as a drug dealer?




  1. So now we see an interview on June 20th, 2020 and an arrest date of April 18th, 2021. If we navigate to https://www.timeanddate.com/date/duration.html and enter those dates (To include the date of the arrest) we get the flag

Solution without Belkasoft X

  1. The logic is the same

Flag

303 days 


5.From what Bitcoin wallet did he get paid the last time for his job ?


 

The next step involves us doing a search on https://blockchair.com/bitcoin/outputs (or a similar service) where we have to enter the evidence that we do have. We can filter by the date and time (April 15th, 2021 between 17:20 and 17:40) as well as the range of bitcoin value (0.0913 and around). This will give us the output of only one transaction that took place within those set parameters. Following that transaction link gives us our flag:

Flag

113JqY3CqsQPT7EN6wj5tRAVKftEP9rQC 


6.What is the phone number of the drug supplier?

 





Solution 

  1. After locating the Signal backup (manually) and the password (any SQLite viewerthis time you do not need WAL or freelist support), you can use an open source tool https://github.com/pajowu/signal-backup-decode as follows:

    /root/.cargo/bin/signal-backup-decode --password '04049 19810 47697 72485 91554 88046' signal-2020-12-20-21-04-59.backup
  2. The tool creates an SQLite database with the extracted data. In the 'recipient' table we see two phone numbers: +13148346839 corresponding to profile name horatio0.42k (it's Derek Hor), and +14233767293 which is our target supplier

Flag

+14233767293

7.When was the last time the suspect met his supplier?





 

Solution 

  1. The same logic and any SQLite viewer will help you to solve the task. This time, SQLite viewer does not necessarily has to support forensic features, so 'DB Browser for SQLite' will do
  2. For time conversion, use any online converter or the DCode tool

Flag

Sat, 10 Apr 2021 07:30:00 UTC


8.What is the supplier’s phone IMEI identifier?
  1. For this task, we were given an 'NSA' tool that allows us to look up cellphone registration history. When we look at the tool, we see we need a latitude, longitude, and a date in (MST). Now we must enter the data. Take the data extracted from the Calendar automatically by Belkasoft X or manually by yourself
  2. Feed every line into the lookup tool. You will get the output of the number of devices found with their IMEIs. Copy the list of IMEIs into an Excel spreadsheet. You can intersect all the lists by duplicates search (meaning that an IMEI was found in more than one location). Just two IMEIs will be common for all the locations, they are 350236009513272 and 332182208414842. One of those is Derek, the other is the supplier

Flag
332182208414842

“I sure am proud to work with you sonny boy!” – The Chief smiled and delivered a handshake that has never been so strong. And, I bet, now he was not cunning. – “This isn’t the end of the story, though. Thanks to your efforts,” – he smiled – “well, mine too, we now have a pretty solid lead. We are as close to the Boss as ever before. Go get a good night's sleep, and we will continue this later. I'll give a call.”

Belkasoft CTF Certificate Participation

BelkaCTF #2 (Drugdealer case)


Refer: https://belkasoft.com/ctf

            Write-Up

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #CTF