Sunday, July 24, 2022

Digital Forensics: TryHackMe Forensics writeup.

Digital Forensics: TryHackMe Forensics writeup.

This challenge is based on Memory Forensics
This is a memory dump of compromised system, do some forensics kung-fu to explore the inside.
This is a memory dump of compromised system, do some forensics kung-fu to explore the inside.
Task 1: Information gather
TryHackMe Room Forensics writeup.

#volatility imageinfo -f Desktop/victim.raw 
TryHackMe Memory Forensics writeup.
Looking for ‘SearchIndexer’ PID 
#volatility -f Desktop/victim.raw  --profile=Win7SP1x64 pslist | grep SearchIndexer
TryHackMe Memory Forensics writeup.

This information is stored by Windows using two registry keys called ShellBags.
#volatility -f victim.raw --profile=Win7SP1x64 shellbags
TryHackMe Memory Forensics writeup.
Last accessed directory
The ‘deleted_file’ is the last directory accessed by the user.
TryHackMe Memory Forensics writeup.

Task 2: Search for malicious processes
TryHackMe Room Forensics writeup.

Let ‘s scan the open port using the following command
First we need to find a suspicious open port. Use netscan to find out open ports:
#volatility -f Desktop/victim.raw --profile=Win7SP1x64 netscan

TryHackMe Memory Forensics writeup.
PID  1368,2464  with multiple ports which look suspicious
TryHackMe Memory Forensics writeup.

TryHackMe Memory Forensics writeup.

How about dump the process and check with Virus total?
1820.dmp   1820 shows malicious sign. 2 security vendors and no sandboxes flagged this file as malicious

How about dump the process and check with Virus total

How about dump the process and check with Virus total


Task 3: Indicators of compromise (IOC)
TryHackMe Room Forensics writeup.

We can dump the memory using the following command.
#volatility -f victim.raw -p <malicious PID> --profile=Win7SP1x64 memdump <Directory to save the file>
TryHackMe Memory Forensics writeup.

TryHackMe Memory Forensics writeup.

# strings Desktop/malware/1820.dmp | grep '\<www\.go....\.ru\>'
TryHackMe Memory Forensics writeup.

# strings Desktop/malware/1820.dmp | grep '\<www\.i....\.com\>'
TryHackMe Room Forensics writeup.

# strings Desktop/malware/1820.dmp | grep '\<www\.ic......\.com\>'
TryHackMe Memory Forensics writeup.

# strings Desktop/malware/1820.dmp | grep '\<202\....\.233\....\>'
TryHackMe Room Forensics writeup.

# strings Desktop/malware/1820.dmp | grep '\<...\.200\...\.164\>'
TryHackMe Memory Forensics writeup.

# strings Desktop/malware/1820.dmp | grep '\<209\.190\....\....\>'
TryHackMe Room Forensics writeup.

To check with the environment variable from the memory image
#volatility Desktop/victim.raw -p 2464 --profile=Win7SP1x64 envars

TryHackMe Room Forensics writeup.

You've completed the room! 
TryHackMe Memory Forensics writeup.



อ่านเพิ่ม Memory Forensics


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Tuesday, July 12, 2022

DIGITAL FORENSICS:CCTV Forensics Disk-to-Disk (clone) duplication

DIGITAL FORENSICS:CCTV Forensics  Disk-to-Disk (clone) duplication

·         Dissembling HD from CCTV machine and Duplicate to the Blank HD by TD2 

CCTV Forensics  Disk-to-Disk (clone) duplication


Tableau Forensic Duplicator Disk-to-Disk (clone)

CCTV Forensics  Disk-to-Disk (clone) duplication



Disk-to-Disk (clone) save log


·      Save Log for Hash and none errors confirmation. 


--- The scenario shows that we can use this method to clone the source and then acquire the hash log for integrity purposes. -- --- Hence, following the practice above, we can extract the video content from CCTV evidence. However, it is essential to gain requirements from the client because it helps to shorten the process. -- --- If we can bring the CCTV machine along with the evidence source, we can produce a potential result. --

CCTV Forensics  Disk-to-Disk (clone) duplication

·         Put the Blank HD into CCTV machine and check, the result has shown that it can replay and record accordingly.

CCTV Forensics  Disk-to-Disk (clone) duplication

CCTV Forensics  Disk-to-Disk (clone) duplication

--- The scenario shows that we can use this method to clone the source and then acquire the hash log for integrity purposes. --


--- Hence, following the practice above, we can extract the video content from CCTV evidence. However, it is essential to gain requirements from the client because it helps to shorten the process. --
--- If we can bring the CCTV machine along with the evidence source, we can produce a potential result. --


อ่านเพิ่มเติม  Tableau Forensic Duplicator.

Credit: Examiner Opal (Digital Forensic Technician)

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

Saturday, July 2, 2022

Digital Forensics:การเก็บพยานหลักฐานทางดิจิทัล (Digital Evidence Collection)

Digital Forensics:การเก็บพยานหลักฐานทางดิจิทัล (Digital Evidence Collection)

การเก็บพยานหลักฐานพยานหลักฐานทางดิจิทัลอื่นๆ

การเก็บพยานหลักฐานพยานหลักฐานทางดิจิทัลอื่นๆ

ข้อแนะนำเกี่ยวกับการนำส่งพยานหลักฐานเพื่อตรวจพิสูจน์

ข้อแนะนำเกี่ยวกับการนำส่งพยานหลักฐานเพื่อตรวจพิสูจน์

ตัวอย่างประเด็นคำถามในการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล 

  • มีไฟล์ภาพ รูปถ่าย หรือไฟล์วิดีโอที่มีลักษณะลามกอนาจาร/ลามกอนาจารตรงตาม ไฟล์ภาพหรือไฟล์วิดีโอที่ส่งมาด้วยนี้ ในวัตถุพยานหรือไม่ (อาจระบุค่าแฮซ (HashValue) ที่ต้องการ หรือภาพประกอบมาด้วย)
  • มีไฟล์ภาพ การทำธุรกรรมทางการเงินในวัตถุพยานหรือไม่
  • มีไฟล์ประเภท doc(x), xls(x), pdf ในวัตถุพยานหรือไม่
  • มีไฟล์ที่ที่ปรากฏข้อความ “…” ในวัตถุพยานหรือไม่ (ระบุคำสำคัญที่ต้องการ)
  • มีไฟล์ที่มีค่า Hash ตรงตามรายการที่ส่งมาด้วยนี้หรือไม่
  • มีประวัติการเข้าถึงเว็บไซต์ ในวัตถุพยานหรือไม่ (ควรระบุ URLs หรือวันเวลาที่ต้องการ)
  • มีประวัติการสนทนาผ่านโปรแกรม Messenger หรือ LINE หรือไม่ (อาจระบุชื่อที่ต้องการ)
  • ข้อมูลการรับ-ส่งอีเมล ในวัตถุพยาน (อาจระบุชื่อผู้รับ-ส่ง หรือ ชื่ออีเมลที่ต้องการ)
  • มีข้อมูลรายชื่อและเบอร์โทรศัพท์ในวัตถุพยานหรือไม่ (อาจระบุชื่อบุคคล หรือ เบอร์โทรศัพท์ที่ต้องการ)
  • มีข้อมูลการโทรศัพท์ของวัตถุพยานหรือไม่ ข้อมูล การรับส่งข้อความสั้น (SMS) หรือ ข้อความสื่อผสม (MMS) ในวัตถุพยาน (อาจระบุชื่อบุคคล หรือ เบอร์โทรศัพท์ที่ต้องการ)
  • สามารถกู้คืนไฟล์วิดีโอจากของกลางได้หรือไม่ (อาจระบุวันที่ เวลาที่ต้องการ)

การเก็บพยานหลักฐานจากเครื่องคอมพิวเตอร์


คอมพิวเตอร์ทำงานอยู่และหน้าจอเปิดใช้งานอยู่

คอมพิวเตอร์ทำงานอยู่แต่หน้าจอถูกปิด

ควรจัดเก็บสายต่อหรืออุปกรณ์ต่อพ่วงมาด้วย

  • ระบุรายละเอียดในเอกสารลำดับการครอบครองวัตถุพยาน
  • เอกสารข้อมูลและลำดับการครอบครองวัตถุพยาน
  • โดยบันทึกข้อมูลให้ครบถ้วน

การเก็บพยานหลักฐานจากโทรศัพท์

โทรศัพท์เปิดใช้งานอยู่ และสามารถเข้าใช้งานได้

โทรศัพท์เปิดใช้งานอยู่ แต่ติดล็อครหัสผ่าน

ห้ามถอดแบตเตอรี่ออกจากตัวเครื่อง

  •  ระบุรายละเอียดในเอกสารลำดับการครอบครองวัตถุพยาน
  • เอกสารข้อมูลและลำดับการครอบครองวัตถุพยาน
  • โดยบันทึกข้อมูลให้ครบถ้วน

Credit: 29 มิถุนายน 2565 ,กองคุ้มครองแรงงานนอกระบบ, คู่มือการดำเนินคดี สำหรับคดีแรงงานเด็กและแรงงานบังคับ


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD