DIGITAL FORENSICS:CORPORATE INVESTIGATIONS WITH BELKASOFT

free on-demand course Corporate Investigations with Belkasoft: Training Course

This course is designed for those who aim to harden the security of their business networks and learn how to enable quick incident response procedures to a variety of data breaches.  

Another potential audience for this course is CIRT/incident response team members, whose role is to take care of the company’s internal investigations, including employee misconduct, trade secrets theft and so on. Corporate eDiscovery and cyber compliance specialists will also find this course useful. 

ฟรีหลักสูตรอบรมตรวจพิสูจน์พยานหลักฐานทางดิจิทัลในเครือข่ายธุรกิจ  

หลักสูตรนี้ออกแบบมาสำหรับผู้ที่ต้องการเพิ่มความปลอดภัยให้กับเครือข่ายธุรกิจและเรียนรู้วิธีเปิดใช้งานขั้นตอนการตอบสนองต่อเหตุการณ์อย่างรวดเร็วต่อการละเมิดข้อมูลที่หลากหลาย และ  สมาชิกในทีมรับมือเหตุฉุกเฉิน CIRT ซึ่งมีหน้าที่ดูแลการสืบสวนภายในของบริษัท รวมถึงการประพฤติมิชอบของพนักงาน การขโมยความลับทางการค้า และอื่นๆ ผู้เชี่ยวชาญด้าน eDiscovery ขององค์กรและการปฏิบัติตามข้อบังคับทางไซเบอร์จะพบว่าหลักสูตรนี้มีประโยชน์เช่นกัน

a data source (E01 image)

1.  Download the image (7 GB) using one of these links:

Direct: dl.spbctf.com/BelkaDay_SUSPECT_LAPTOP.7z
Torrent: dl.spbctf.com/BelkaDay_SUSPECT_LAPTOP.7z.torrent

Unpack the archive file
Archive password: vr3KapmZ1tI42H7qARF0

What was the last wireless connection on the system?

What time zone is set on the suspect machine? Has it been changed recently?

:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Time Zones

:Easter Island Standard Time, not changed recently

You believe that SDelete was used to hide evidence in the training case. Where could you see the traces of its potential execution? Select all that apply.

Prefetch files

ActivitiesCache.db (Windows 10 Timeline) 

Location of Windows 10 Timeline Database

C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<profile>\ActivitiesCache.db

WxTCmd is a parser for the new Windows 10 Timeline feature database.

What information could be obtained from Jumplists?

You are going to first look in Anit.ghosh’s Recent folder. This is located in the following path for versions 7-10 of Windows:

This folder contains the user’s link files. A link file, or LNK, is a Windows shortcut that points back to an original file. A link file is generally created when a file is first opened. Link files are important during analysis, because they show where files were located, when they were opened, and they contain date and time stamps associated with the file. If you look at Windows Explorer and go to the Recent folder, you can see your own link files.

Back in Autopsy, look at the link file called PHOTOS.7z.lnk and click on the Results view. Autopsy will show you the path of where PHOTOS.7z was stored when it was opened. 

Highlight Jump Lists in AutomaticDestinations, Right-Click and Select Extract File(s)

Click Load in Jumplist Explorer. Navigate to your export folder that contains the jump list files. Highlight and select each jump list file and click Open

Find a source code package downloaded from git.pm.internal. What is the SHA256 hash of the archive file?

Which file was downloaded from a browser after the user connected to the wireless network: “Network 4”?

You have a hashset database and need to check which files were present on the suspect machine. Which of the following files were detected during hashset analysis?

Advanced Live RAM analysis with Belkasoft

 Thank you for completing the Belkasoft Training Course.

 

Refer: belkasoft corporate-investigations-training

         windows-10-timeline-analysis

         WxTCmd is a parser for the new Windows 10 Timeline feature database.

         windows-10-timeline-forensic-artefacts

         CARVING AND ITS IMPLEMENTATIONS IN DIGITAL FORENSICS

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

DIGITAL FORENSICS:How to Determine the Last Shutdown Time and Date in Windows

หากคุณเป็นผู้ตรวจสอบหลักฐานทางดิจิทัล อาจมีบางครั้งที่คุณจำเป็นต้องทราบประวัติการ ปิดเครื่องของคอมพิวเตอร์ มีหลายวิธี ทำตามขั้นตอนด้านล่างเพื่อดูประวัติการปิดใน Windows เช่น เครื่องมือ Windows ในตัวที่เรียกว่า Event Viewer

Windows Event log.

To find when was a computer last shutdown, check the Event Viewer for the most recent Event ID 1074.

1. Run eventvwr.msc to start the Event Viewer.
2. In the Event Viewer, expand Windows Logs → System
3. Sort the log by Date (descending)
4. Click Filter Current Log… on the right pane.
5. Add event id: 1074 in the Includes list, and enable all event types

Event ID 6005 and 6006

Alternately, you can also look for Event ID 6006 “The Event log service was stopped.” and 6005 “The Event log service was started.” which denotes that a shutdown or a restart event had taken place at the specified time.

Using Windows  registry

Windows also stores the last shutdown date and time in a REG_BINARY value named ShutdownTime in the following

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows

ShutdownTime Value = 4A 49 00 25 5C 3D D7 01

Time Decoding Using DCode

• DCode™ – Timestamp Decoder  You can decode values in the form of Little-Endian Hexadecimal, Big-Endian Hexadecimal, 64-bit Integers, 32-bit Integers, Double-precision floating-point numbers and various text formats.

Format  Little-Endian Hexadecimal  Windows Filetime (UTC) 2021-04-30 00:59:59

ShutdownTime Value = 4A 49 00 25 5C 3D D7 01

Working with a forensics image, you can follow the same steps with the image that you’ll have previously mounted as an Item on FTK Imager (or Imager Lite if you prefer).

To do this, you must launch FTK Imager and then click File→Add Evidence Item→Image file and then click on your image.

To extract Registry files you must search in the directory at the path %SystemRoot%\System32\Config, right-click on the file you need them and then select the export option. To extract the System file.

• AccessData Registry Viewer is a program that lets you view the contents of Windows operating system registries.

ShutdownTime Data = 4A 49 00 25 5C 3D D7 01  (30-Apr-21 00:59:59 UTC)

• Registry Recon, developed by Arsenal Recon, is a powerful computer forensics tool used to extract, recover, and parse registry data from Windows systems.

ShutdownTime Data = 4A 49 00 25 5C 3D D7 01  (30 Apr 21 12:59:59 AM UTC)

 Time Decoding Using DCode

อ่านเพิ่มเติม : เวลา UTC คือ

                      

                          HOW TO CHECK WINDOWS INSTALL DATE

REF: Windows Registry extraction with FTK Imager

              Shutdown Time and Date in Windows

 

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

DIGITAL FORENSICS:Verify the integrity of files by calculating the hash value with OSForensics

OSForensics เป็นโปรแกรมที่พัฒนาโดย PassMark Software ซอฟต์แวร์นี้ช่วยให้ผู้ใช้ดึงหลักฐานทางนิติวิทยาศาสตร์ดิจิทัลออกจากคอมพิวเตอร์ด้วยการค้นหาไฟล์ขั้นสูงและการจัดทำดัชนี และช่วยให้สามารถจัดการข้อมูลนี้ได้อย่างมีประสิทธิภาพ ระบุไฟล์และกิจกรรมที่น่าสงสัยด้วยการจับคู่แฮช การเปรียบเทียบลายเซ็นของไดรฟ์ อีเมล หน่วยความจำ และข้อมูลไบนารี จัดการการตรวจสอบทางดิจิทัลของคุณและสร้างรายงานจากข้อมูลทางนิติดิจิทัลที่เก็บรวบรวมได้

มีฟังก์ชั่น Verify / Create Hash ใช้สำหรับตรวจสอบความสมบูรณ์ของไฟล์โดยการคำนวณค่าแฮช นอกจากนี้ยังสามารถใช้เพื่อสร้างแฮชของทั้งพาร์ติชัน (partition)หรือฟิสิคัลดิสก์ไดรฟ์ (physical disk drive)หรือสตริงข้อความธรรมดา

How to check the MD5 (or SHA1) hash checksum of an entire Volume.

1. Navigate to "Verify/Create Hash" from the sidebar or Start page in OSForensics
2. Select "Volume" and the disk/volume that was added in Step 2 from the dropdown list
3. Select the hash function and click the Calculate button
4. Once the hash has been calculated, copy/paste the expected hash value into the comparison hash field. If the hash matches, a green checkmark appears. Otherwise, a red cross is displayed

How to check the MD5 (or SHA1) hash checksum of file.

1. Navigate to "Verify/Create Hash" from the sidebar or Start page in OSForensics
2. Select "File"  leakage-answers.pdf
3. Select the hash function and click the Calculate button
4. Once the hash has been calculated, copy/paste the expected hash value into the comparison hash field. If the hash matches, a green checkmark appears. Otherwise, a red cross is displayed

How to check the MD5 (or SHA1) hash checksum of text.

 partition 

อ่านเพิ่มเติม

• การคัดกรองข้อมูลในหลักฐาน (Triage/Preview)
• แนะนำการ Rebuild RAID ด้วยโปรแกรม OSForensic 
• How to Wipe Hard Disk with OSforensics

Referent: Passmark

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud