Digital Forensics: TryHackMe Forensics writeup.

This challenge is based on Memory Forensics

This is a memory dump of compromised system, do some forensics kung-fu to explore the inside.

Task 1: Information gather

#volatility imageinfo -f Desktop/victim.raw 

Looking for ‘SearchIndexer’ PID 

#volatility -f Desktop/victim.raw  --profile=Win7SP1x64 pslist | grep SearchIndexer

This information is stored by Windows using two registry keys called ShellBags.

#volatility -f victim.raw --profile=Win7SP1x64 shellbags

Last accessed directory

The ‘deleted_file’ is the last directory accessed by the user.

Task 2: Search for malicious processes

Let ‘s scan the open port using the following command

First we need to find a suspicious open port. Use netscan to find out open ports:

#volatility -f Desktop/victim.raw --profile=Win7SP1x64 netscan

PID  1368,2464  with multiple ports which look suspicious

How about dump the process and check with Virus total?

1820.dmp   1820 shows malicious sign. 2 security vendors and no sandboxes flagged this file as malicious

Task 3: Indicators of compromise (IOC)

We can dump the memory using the following command.

#volatility -f victim.raw -p <malicious PID> --profile=Win7SP1x64 memdump <Directory to save the file>

# strings Desktop/malware/1820.dmp | grep '\<www\.go....\.ru\>'

# strings Desktop/malware/1820.dmp | grep '\<www\.i....\.com\>'

# strings Desktop/malware/1820.dmp | grep '\<www\.ic......\.com\>'

# strings Desktop/malware/1820.dmp | grep '\<202\....\.233\....\>'

# strings Desktop/malware/1820.dmp | grep '\<...\.200\...\.164\>'

# strings Desktop/malware/1820.dmp | grep '\<209\.190\....\....\>'

To check with the environment variable from the memory image

#volatility Desktop/victim.raw -p 2464 --profile=Win7SP1x64 envars

You've completed the room! 

Credit: tryhackme , deskel , jarilaurila 

อ่านเพิ่ม Memory Forensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

DIGITAL FORENSICS:CCTV Forensics  Disk-to-Disk (clone) duplication

·         Dissembling HD from CCTV machine and Duplicate to the Blank HD by TD2 

Tableau Forensic Duplicator Disk-to-Disk (clone)

·      Save Log for Hash and none errors confirmation. 

·         Put the Blank HD into CCTV machine and check, the result has shown that it can replay and record accordingly.

--- The scenario shows that we can use this method to clone the source and then acquire the hash log for integrity purposes. --

--- Hence, following the practice above, we can extract the video content from CCTV evidence. However, it is essential to gain requirements from the client because it helps to shorten the process. --

--- If we can bring the CCTV machine along with the evidence source, we can produce a potential result. --

อ่านเพิ่มเติม  Tableau Forensic Duplicator.

Credit: Examiner Opal (Digital Forensic Technician)

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

Digital Forensics:การเก็บพยานหลักฐานทางดิจิทัล (Digital Evidence Collection)

การเก็บพยานหลักฐานพยานหลักฐานทางดิจิทัลอื่นๆ

ข้อแนะนำเกี่ยวกับการนำส่งพยานหลักฐานเพื่อตรวจพิสูจน์

ตัวอย่างประเด็นคำถามในการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล 

• มีไฟล์ภาพ รูปถ่าย หรือไฟล์วิดีโอที่มีลักษณะลามกอนาจาร/ลามกอนาจารตรงตาม ไฟล์ภาพหรือไฟล์วิดีโอที่ส่งมาด้วยนี้ ในวัตถุพยานหรือไม่ (อาจระบุค่าแฮซ (HashValue) ที่ต้องการ หรือภาพประกอบมาด้วย)
• มีไฟล์ภาพ การทำธุรกรรมทางการเงินในวัตถุพยานหรือไม่
• มีไฟล์ประเภท doc(x), xls(x), pdf ในวัตถุพยานหรือไม่
• มีไฟล์ที่ที่ปรากฏข้อความ “…” ในวัตถุพยานหรือไม่ (ระบุคำสำคัญที่ต้องการ)
• มีไฟล์ที่มีค่า Hash ตรงตามรายการที่ส่งมาด้วยนี้หรือไม่
• มีประวัติการเข้าถึงเว็บไซต์ ในวัตถุพยานหรือไม่ (ควรระบุ URLs หรือวันเวลาที่ต้องการ)
• มีประวัติการสนทนาผ่านโปรแกรม Messenger หรือ LINE หรือไม่ (อาจระบุชื่อที่ต้องการ)
• ข้อมูลการรับ-ส่งอีเมล ในวัตถุพยาน (อาจระบุชื่อผู้รับ-ส่ง หรือ ชื่ออีเมลที่ต้องการ)
• มีข้อมูลรายชื่อและเบอร์โทรศัพท์ในวัตถุพยานหรือไม่ (อาจระบุชื่อบุคคล หรือ เบอร์โทรศัพท์ที่ต้องการ)
• มีข้อมูลการโทรศัพท์ของวัตถุพยานหรือไม่ ข้อมูล การรับส่งข้อความสั้น (SMS) หรือ ข้อความสื่อผสม (MMS) ในวัตถุพยาน (อาจระบุชื่อบุคคล หรือ เบอร์โทรศัพท์ที่ต้องการ)
• สามารถกู้คืนไฟล์วิดีโอจากของกลางได้หรือไม่ (อาจระบุวันที่ เวลาที่ต้องการ)

การเก็บพยานหลักฐานจากเครื่องคอมพิวเตอร์

ควรจัดเก็บสายต่อหรืออุปกรณ์ต่อพ่วงมาด้วย

• ระบุรายละเอียดในเอกสารลำดับการครอบครองวัตถุพยาน
• เอกสารข้อมูลและลำดับการครอบครองวัตถุพยาน
• โดยบันทึกข้อมูลให้ครบถ้วน

การเก็บพยานหลักฐานจากโทรศัพท์

ห้ามถอดแบตเตอรี่ออกจากตัวเครื่อง

•  ระบุรายละเอียดในเอกสารลำดับการครอบครองวัตถุพยาน
• เอกสารข้อมูลและลำดับการครอบครองวัตถุพยาน
• โดยบันทึกข้อมูลให้ครบถ้วน

Credit: 29 มิถุนายน 2565 ,กองคุ้มครองแรงงานนอกระบบ, คู่มือการดำเนินคดี สำหรับคดีแรงงานเด็กและแรงงานบังคับ

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD