Friday, January 28, 2022

Digital Forensics:VirtualBox ไม่รู้จัก USB 3.0

Digital Forensics:VirtualBox ไม่รู้จัก USB 3.0

ปัญหาในรายละเอียด: อุปกรณ์ USB 3.0 หรือไดรฟ์ USB 3.0 ที่เชื่อมต่อกับพอร์ต USB 3.0 บนเครื่องโฮสต์ ไม่สามารถเชื่อมต่อหรือรู้จักในเครื่อง Guest VirtualBox Windows 

VirtualBox ไม่รู้จัก USB 3.0

ขั้นตอนที่ 1. ติดตั้ง VirtualBox Extension Pack

ในการเปิดใช้งานการสนับสนุน USB (USB v2 หรือ USB v3) บนเครื่อง Oracle VM VirtualBox Guest คุณต้องติดตั้ง Oracle VM Extension Pack บน Host 

1. Shutdown เครื่อง Guest VM

2. ดาวน์โหลดและ install ที่ Oracle VM VirtualBox Extension Pack (บนเครื่องโฮสต์). *

* หมายเหตุ: หากคุณใช้ VirtualBox   ให้ดาวน์โหลดและติดตั้งชุดส่วนขยายสำหรับเวอร์ชันนั้น  ตามตัวอย่าง  VirtualBox-6.1.32  และ VirtualBox_Oracle_VM_VirtualBox_Extension_Pack-6.1.32.vbox-extpack  

VirtualBox ไม่รู้จัก USB 3.0

ขั้นตอนที่ 2 เปิดใช้งานคอนโทรลเลอร์ USB 3.0 บนการตั้งค่าเครื่อง VirtualBox

เพื่อให้สามารถใช้อุปกรณ์ USB ใน VirtualBox Guest OS คุณต้องเปิดใช้งานคอนโทรลเลอร์ USB ในการตั้งค่า VM ดังนั้น เปิด USBของเครื่องรับแขกและ…

1. Enable USB Controller
2. Select ที่ USB 3.0 (xHXI) Controller กล่องกาเครื่องหมาย

ขั้นตอนที่ 3 ติดตั้ง VirtualBox Guest Additions บน Windows 7 Guest Machine

ในการใช้ประโยชน์จากคุณลักษณะทั้งหมดของ VirtualBox คุณต้องติดตั้ง Guest Additions ซึ่งมีไดรเวอร์อุปกรณ์และแอปพลิเคชันระบบที่ปรับระบบปฏิบัติการของแขกให้เหมาะสมเพื่อประสิทธิภาพและการใช้งานที่ดียิ่งขึ้น

1. Start เครื่องVM
2. จากเมนูของ VM ให้ไปที่ Devices และคลิกที่ Insert Guest Additions CD image…

VirtualBox ไม่รู้จัก USB 3.0

3. ตัวติดตั้ง Guest Additions ควรเริ่มทำงานโดยอัตโนมัติหลังจากผ่านไป 2-3 วินาที* Click Next และทำตามคำแนะนำที่เหลือเพื่อติดตั้ง VirtualBox Guest Additions

* หมายเหตุ: หากโปรแกรมติดตั้งไม่เปิดขึ้นโดยอัตโนมัติ ให้เปิด explorer และเรียกใช้แอปพลิเคชัน “VBox WindowsAdditions” บนอิมเมจซีดีที่โหลด

VirtualBox ไม่รู้จัก USB 3.0

VirtualBox ไม่รู้จัก USB 3.0

4. Restart Windows VM และทำตามขั้นตอนต่อไป

ขั้นตอนที่ 4. ติดตั้งไดรเวอร์ Intel USB 3.0 บนเครื่องแขกของ Windows 


ขั้นตอนที่ 5. แนบไดรฟ์ USB 3.0 ในเครื่อง VM

1. จากเมนูของเครื่อง VM ให้ไปที่ Devices > USB และคลิกไดรฟ์ USB 3.0 ที่คุณต้องการติดตั้งในระบบปฏิบัติการของ Guest 


2. เปิด Explorer แล้วคุณจะเห็นไดรฟ์ USB 3 ที่เชื่อมต่ออยู่ภายใน VM *

VirtualBox ไม่รู้จัก USB 3.0

* หมายเหตุ: หากหลังจากทำตามคำแนะนำด้านบนแล้ว คุณยังคงประสบปัญหาในการจับภาพอุปกรณ์ USB 3.0 ใน VirtualBox ให้ดู ที่นี่.


ที่มา:     Wintips.org

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ

Saturday, January 22, 2022

DIGITAL FORENSICS:FIND YOUR HARD DISK'S SERIAL NUMBER WITH COMMAND PROMPT

DIGITAL FORENSICS:Find Your Hard Disk's Serial Number With Command Prompt



Example 1: WD MY PASSPORT SSD 1TB
                  DISK SERIAL NUMBER= 19246U4


STep 1: FIND YOUR HARD DISK'S SERIAL NUMBER WITH COMMAND PROMPT

  1. Open the Start menu and search for Command Prompt.
  2. Launch Command Prompt.
  3. Inside Command Prompt, type the following command and press Enter: wmic diskdrive get model,serialnumber. ...
  4. Command Prompt will return the models and serial numbers of your hard disks.

STEP 2:Find Hard Disk Serial Number With PowerShell

Open PowerShell.
Type or copy-paste the following command: Get-WMIObject win32_physicalmedia | Format-List Tag,SerialNumber.


STEP 3:Find Hard Disk Serial Number With FTK Imager software

From the File menu, you can select Add Evidence Item to add a single evidence item to the evidence tree.  You can also select Add All Attached Devices to add all of the attached physical.


STEP 4:Find Hard Disk Serial Number With Magnet Acquire software




STEP 5:Encase software shows Hard Disk Serial Number, interprets hex values.

DISK SERIAL NUMBER= 31 39 32 34 36 55 34



STEP 6:Converts the input  hexadecimal bytes  to string.

 DISK SERIAL NUMBER: 31 39 32 34 36 55 34 >  19246U4



Example 2:Samsung  T7 Touch Portable SSD 1TB

Disk Serial number= K236309R0S

STEP 1: FIND YOUR HARD DISK'S SERIAL NUMBER WITH COMMAND PROMPT

  1. Open the Start menu and search for Command Prompt.
  2. Launch Command Prompt.
  3. Inside Command Prompt, type the following command and press Enter: wmic diskdrive get model,serialnumber. ...
  4. Command Prompt will return the models and serial numbers of your hard disks.

STEP 2:Find Hard Disk Serial Number With PowerShell

Open PowerShell.
Type or copy-paste the following command: Get-WMIObject win32_physicalmedia | Format-List Tag,SerialNumber.


STEP 3:Find Hard Disk Serial Number With FTK Imager software

From the File menu, you can select Add Evidence Item to add a single evidence item to the evidence tree.  You can also select Add All Attached Devices to add all of the attached physical.


STEP 4:Find Hard Disk Serial Number With Magnet Acquire software



STEP 5:  Encase software displays the Hard Disk Serial Number arrange from the first string to the last string.

DISK SERIAL NUMBER= S0R903632K  >    K236309R0S




ที่มา:     
how-to-find-your-hard-drives-serial-number-on-windows-10

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ


Friday, January 21, 2022

BlueTeam CTF Challenges - CyberDefenders

 BlueTeam CTF Challenges - CyberDefenders with Paraben's E3

CyberDefenders is a training platform focused on the defensive side of cybersecurity, aiming to provide a place for blue teams to practice, validate the skills they have, and acquire the ones they need.

Download Challenge 

DIGITAL FORENSICS: CTF 

SHA1SUM 88a22f6ad6d140c9151e6983b894c6eb6c64735d


1  What is the computer name of the suspect machine?


3 What was the DHCP LeaseObtainedTime?


4 What is the computer SID?


5 What is the Operating System(OS) version?





6 What was the computer timezone?




17 It looks like the suspect user deleted an important diagram after his conversation with the external attacker. What is the file name of the deleted diagram?


20 What are the serial numbers of the two identified USB storage?


24 Using prefetch, determine when was the last time ZENMAP.EXE-56B17C4C.pf was executed?

25 A JAR file for an offensive traffic manipulation tool was executed. What is the absolute path of the file?

27 Shellbags shows that the employee created a folder to include all the data he will exfiltrate. What is the full path of that folder?


29. Provide the name of the directory where information about jump lists items (created automatically by the system) is stored?


30 Using JUMP LIST analysis, provide the full path of the application with the AppID of "aa28770954eaeaaa" used to bypass network security monitoring controls.



อ่านเพิ่มเติม Cloud Forensics:Google Drive forensics with Paraben's E3
                      Digital forensics:P2CO-P2C Certified Operator

ที่มา:   cyberdefenders.org 
           


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Monday, January 10, 2022

Digital Forensics:Windows prefetch part III

Digital Forensics:Windows prefetch part III 

วันนี้มาลองทดสอบ Windows prefetch  โดยใช้เครื่องมือ PECmd 

Author: Eric Zimmerman  

https://github.com/EricZimmerman/PECmd


Prefetch เป็นโฟลเดอร์อยู่ที่ C: WindowsWindows ใช้สำหรับเก็บข้อมูลการใช้งานแอปพลิเคชันต่าง ๆ หลักการทำงาน คือ เมื่อเครื่องคอมพิวเตอร์เริ่มทำงานในแต่ละครั้ง วินโดว์จะติดตามวิธีการที่เครื่องคอมพิวเตอร์ของผู้ใช้งานเริ่มต้นทำงานและโปรแกรมที่ผู้ใช้เปิดใช้เป็นประจำ วินโดว์จะบันทึกข้อมูลนี้เป็นไฟล์เล็ก ๆ ไว้ในนี้ ดังนั้น ครั้งต่อไปที่ผู้ใช้เปิดเครื่องคอมพิวเตอร์ วินโดว์จะอ้างถึงไฟล์ต่าง ๆ เหล่านี้ เพื่อช่วยร่นระยะเวลาของกระบวนการเริ่มต้น สรุปคือจะทำให้ผู้ใช้สามารถใช้งานได้เร็วขึ้นนั่นเอง


Prefetch ไฟล์ มีนามสกุล .pf  


เมื่อผู้ใช้เปิดแอปพลิเคชันจากตำแหน่งเฉพาะเป็นครั้งแรก Windows จะสร้างไฟล์ Prefetch (.pf) สำหรับแอปพลิเคชันนั้นภายใต้  %SystemRoot%\Prefetch (C:\Windows\Prefetch).



ไฟล์เหล่านี้ถูกใช้โดยระบบปฏิบัติการเพื่อโหลดข้อมูลที่เก็บไว้ล่วงหน้าจากดิสก์ไปยังหน่วยความจำล่วงหน้า เพื่อเพิ่มความเร็วในการบู๊ตครั้งต่อๆ ไปหรือการเริ่มต้นแอพพลิเคชั่น คิดว่ามันเป็นกลไก AI บางประเภทที่คาดการณ์สิ่งที่คุณต้องการและ "ดึงข้อมูลล่วงหน้า" ให้กับคุณ

Maximum Number of Prefetch files:

  1. Windows XP to Windows 7: 128
  2. Windows 8 to Windows 10: 1024

File Header Offset 04, length of 4 bytes SCCA (0×53, 0×43, 0×43, 0×41)
Signature 'SCCA' (or in hexadecimal representation 0x53 0x43 0x43 0x41)

Prefetch Registry Setting

To see if the Prefetch/ Superfetch is on or off check the following location in the System hive:

HKLM\System\CurrentControlSet\Control\SessionManager\MemoryManagement\PrefetchParameters

EnablePrefetcher Values

0 – Disable PreFetcher
1 – Application launch Prefetching enabled
2 – Boot Prefetching enabled
3 – Application launch and Boot Prefetching enabled

โดยค่าตัวเลขจะมีความหมายดังต่อไปนี้

  • 0 ปิดการใช้งาน Prefetch
  • 1 เปิดใช้งานแอปพลิเคชันเปิดใช้งานการดึงข้อมูลล่วงหน้า
  • 2 เปิดใช้งาน Boot Prefetching
  • 3 เปิดทั้งข้อ 1 และ ข้อ 2 (จะเป็นค่าเริ่มต้นจะอยู่ที่เลข 3 นี้)

EnableSuperfetcher Values

0 – Disable SuperFetch
1 – Enable SuperFetch for boot files only
2 – Enable SuperFetch for applications only
3 – Enable SuperFetch for both boot files and applications

ไมโครซอฟท์คิดค้นฟีเจอร์ที่เรียกว่า Superfetch ขึ้นมาและเปลี่ยนชื่อเป็น SysMain ในตอนหลัง เพื่อให้สามารถเก็บข้อมูลพวกนี้เอาไว้ใน RAM เองเลย และถ้ามันถูกเรียกกลับมาใช้งานจะถูกเรียกจาก RAM ได้เลย

ทดลองทำโจทย์  Hacktober2020 - Prefetch Perfection


Download file

What time was Internet Explorer opened?

ใข้ PECmd เพื่อดึงค่า prefetch

#H:\Software\PECmd>PECmd.exe -d "H:\Hacktober2020\prefetch\prefetch" --csv "H:\CTF\Hacktober2020\prefetch"



จะได้ไฟล์ออกมา  2 file

timestamp_PECmd_Output.csv - detailed access log and timestamp of the process

timestamp_PECmd_Output_timeline.csv - last launch time of the process

ทำการค้นหาค่า RunTime คำว่า IEXPLORE.EXE   จากไฟล์  20220111070609_PECmd_Output_Timeline.csv


5/1/2017  9:11:41 PM

flag{2017–05–01 21:11:41}


สรุปจากทดสอบ

    1.ข้อมูลจากPrefetch สามารถบอก ประวัติการใช้งานแอปพลิเคชัน  IEXPLORE.EXE  เปิดใช้งานเมื่อใด

    2. ค่า PF File Signatures คือ'SCCA'

    3. เราสามารถตรวจสอบได้ว่าค่า Windows Prefetch เปิดหรือปิดอยู่  ใน Prefetch Registry Setting


ทีมา :  prefetch-forensics


ดูเพิ่มเติม : Windows prefetch part II
                 Windows_Prefetch_File_Format
                  Hacktober2020 
                 prefetch-files-in-windows 
               

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Saturday, January 8, 2022

Digital Forensics Professional - INE Lab 15 สอบ (ECDFP)

Digital Forensics Professional - INE Lab 15 สอบ (ECDFP)

วันนี้จะมาเตรียมสอบ  ECDFP  โดยการฝึกทำ LAB  Digital Forensics Professional - INE  Course

ขั้นแรกคือ การเข้าไปทำ LAB  โดย VPN 

TASK 6 : ANALYZING JUMP LISTS 

Tool 

  • Shellbags Explorer

questions:

1. To what file or application does this jump list point to?

2. Can you identify the exact location of the target?

3. What is the target creation date?

4. Can we identify the hostname of the system from a Jumplist, if “YES,” what is it then?

5. Is this target pinned to the Windows taskbar or not?

6. Locate the jump list that is related to an Nmap activity, and then locate the target.

7. How can we know when the port scan task was performed? Any ideas?

8. Locate the jump lists that have pointers to folders. There should be three folders in it (Outlook, Desktop, and Exfil). Can you verify their creation dates with the information you retrieved from the UsrClass.dat (Shellbags), and are they identical?

9. Did you find any jump list for URLs?

10. What URLs has the user opened?


Digital Forensics Professional - INE Lab 15 สอบ (ECDFP)

Select the jump list for the AppID that starts with  3f1ed.

1. To what file or application does this jump list point to?

Answer: it points to the Welcome.docx file.

2.Can you identify the exact location of the target?

Answer: yes, it is.

C:\Users\Hunter\Documents\Welcome.docx

Digital Forensics Professional - INE Lab 15 สอบ (ECDFP)

3.What is the target creation date?

Answer: it was created at 2016-06-21 12:27:37, which was found in the TargetCreationDate field.

Digital Forensics Professional - INE Lab 15 สอบ (ECDFP)


4.Can we identify the hostname of the system from a Jumplist, if “YES,” what is it then?

Answer: since it was on the C:\ and we found that the NetworkShareInfo.NetworkShareName property holds \\4ORENSICS\Users; this means the hostname is most probably 4orensics.

Digital Forensics Professional - INE Lab 15 สอบ (ECDFP)


5.Is this target pinned to the Windows task bar or not?

Answer: I don’t think so because the “Pinned count” holds the value 0,


6.Locate the jump list that is related to an Nmap activity, and then locate the target.

Answer: the jump list “ccb236c4222b614” is the one, as it refers to the nmap scanning report we found.

Digital Forensics Professional - INE Lab 15 สอบ (ECDFP)

7.How can we know when was the port scan task performed? Any ideas?

Answer: the jump list for the nmap scan report was created at 2016-06-21 12:13:57,

Digital Forensics Professional - INE Lab 15 สอบ (ECDFP)

8. Locate the jump lists that have pointers to folders. There should be three folders in it (Outlook, Desktop, and Exfil). Can you verify their creation dates with the information you retrieved from the UsrClass.dat (Shellbags), and are they identical?

 Answer: Yes, the Jump List with the AppID “f01b4d95cf55d32a” had them.

The first directory “Exfil” was created on: 2016-06-21 09:37:36

The second directory “Desktop” was created on: 2016-06-21 08:37:46

The third directory “Outlook” was created on 2016-06-21 13:14:25

Digital Forensics Professional - INE Lab 15 สอบ (ECDFP)

9.Did you find any jump list for URLs?

Answer: Yes, it contained two URLs.

Digital Forensics Professional - INE Lab 15 สอบ (ECDFP)

10.What URLs has the user opened?

Answer: they were http://www.metasploit.com/ and https://www.kali.org/


อ่านเพิ่มเติม: Digital Forensics Professional - INE Lab 3 สอบ (ECDFP)

                eLearnSecurity Certified Digital Forensics

                Jump list


Reference ine.com

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME