Monday, January 30, 2023

Digital Forensics:SQLite Forensics with OSForensic

Digital Forensics:SQLite Forensics with OSForensic

SQLite Database Browser

The SQLite Database (DB) Browser module allows the user to analyze the contents of SQLite database files. This module provides the ability to perform a deeper inspection of the contents and the ability to open BLOBs (binary data) with the Internal Viewer.

OSForensics™ 

includes an SQLite database viewer for databases stored in the SQLite file format. The SQLite database format is used by several platforms, such as the iPhone, Firefox and Chrome.


SQLite Forensics with OSForensic
 
Step 2.Click Other Devices available.. 
SQLite Forensics with OSForensic
Step 3. Open  Sample Database (msgstore.db)
SQLite Forensics with OSForensic

Step 4. Open  database ( msgstore.db) and find a message “Greetings, Tom”. When was this message received?


Step 5. Search Table
SQLite Forensics with OSForensic

SQLite Forensics with OSForensic

Step 6. Copy message received (1669655413313)
SQLite Forensics with OSForensic

Step 7.  Unix Timestamp Conversion Tools
SQLite Forensics with OSForensic

 Step 8. This answer is correct  11/28/2022 5:10:13 PM



Step 9. A few messages have been revoked from the same database (msgstore.db). When did it happen? Select all timestamps (UTC time) which apply. 

Hint: check the table “message_revoked” and use column conversion

SQLite Forensics with OSForensic



SQLite Forensics with OSForensic
SQLite Forensics with OSForensic


Step 11. This answer is correct 
        8/26/2022 9:31:28 AM
        8/30/2022 2:39:00 PM

Analyze the contents of SQLite Database Files with OSForensics



อ่านเพิ่มเติม:  Timestamp

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud


Friday, January 20, 2023

Audit Checklist software II

 Audit Checklist software II

วันนี้่มาเล่างานประจำที่ผมทำ คือการ Audit Checklist software เป็นปีที่ 17 จากตอนที่ 1 และได้ยกเลิกอุปกรณ์จัดเก็บข้อมูล  Floppy Disk  เนื่องจากตกยุคและไม่มีบริษัทผลิตแล้ว ต่อมาเมื่อกาลเวลาผ่านไป อุปกรณ์เก็บข้อมูลเปลี่ยนมาใข้ DVD  แผ่นดิจิทัลอเนกประสงค์ (Digital Versatile Disc)   และใช้ DVD-R หรือ ดีวีดี-อาร์ เป็นมาตรฐานดีวีดีซึ่งคิดค้น มีความจุ 4.7GB (กิกะไบต์)   คุณสมบัติจะคล้ายกับ DVD-ROM คือใช้เขียนได้ครั้งเดียว สำหรับเก็บหลักฐาน

เครื่องคอมพิวเตอร์โน๊ตบุ๊คที่ผมใช้ทำงานประจำ

อ่านเพิ่มเติม: Audit Checklist software

digitalforensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์

Saturday, January 14, 2023

Digital Forensics:Registry Forensics cheat sheet

Digital Forensics:Registry Forensics cheat sheet

Registry forensics is a branch of digital forensics focused on analyzing the Windows Registry, a hierarchical database used by the Microsoft Windows operating system to store configuration settings and options. The Registry contains information about user accounts, installed software, system settings, hardware configurations, and much more.

Registry forensics involves extracting and analyzing information from the Registry to gather evidence related to computer security incidents, investigations, or legal proceedings. This information can include user activities, system changes, malware traces, and other artifacts that can provide insights into the history and usage of a computer system.

Registry Forensics cheat sheet

Forensic analysts use specialized tools and techniques to access and parse Registry data, looking for patterns, anomalies, or suspicious entries that could indicate unauthorized access, malicious activity, or system compromise. By examining the Registry, investigators can reconstruct events, identify potential security breaches, and piece together a timeline of activities on a computer system.

อ่านเพิ่มเติม: Windows Registry

       Windows Registry


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

Friday, January 13, 2023

HEX & LITTLE ENDIAN CONVERTER

Digital Forensics:HEX & LITTLE ENDIAN CONVERTER 



วันนี้่จะมาแนะนำเครื่องมือสำหรับ  convert ค่า LITTLE ENDIAN To DEC

What is the first cluster for each file?
How many clusters are being used for each file?

The first cluster for the second file  is calculated like this:
Data run: 0x2285009107

91 07 > number of the first cluster (little endian)
= 1937 

HEX & LITTLE ENDIAN CONVERTER 




What is the first sector number for each non-resident file?

First sector = (First cluster no. * cluster size ) / sector size
Means, for the second file 
First sector = 1937 * 4096 / 512 = 15496


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Friday, January 6, 2023

Digital Forensics:Analyzing Recycle Bin

Digital Forensics:Analyzing Recycle Bin 


Analyzing Recycle Bin using Rifiut
Analyzing Recycle Bin using Rifiut

Digital Forensics:Analyzing Recycle Bin

C:\Users\...\Downloads\rifiuti2-0.7.0-win-x86_64>rifiuti-vista.exe -x -z
-o result.xml C:\$Recycle.Bin\S-1-5-21-56828990-623760515-1839852479-1001 

Analyzing Recycle Bin


Analyzing Recycle Bin using FTK
Analyzing Recycle Bin using FTK



อ่านเพิ่มเติม:  Windows Recycle Bin analyser

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Digital Forensics:How to Aquire vmdk to dd using FTK Imager

Digital Forensics:How to Aquire vmdk to dd using FTK Imager

วันนี้จะมาแนะนำการทำ Image file จาก vmdk  ให้เป็นไฟล์ DD โดยใช้ FTK Imager

VMDK (short for Virtual Machine Disk) is a file format that describes containers for virtual hard disk drives to be used in virtual machines like VMware Workstation or VirtualBox.

Initially developed by VMware for its proprietary[1] virtual appliance products, VMDK became an open format[2] with revision 5.0 in 2011, and is one of the disk formats used inside the Open Virtualization Format for virtual appliances.

Refer: https://en.wikipedia.org/wiki/VMDK

Requisites

Steps to create forensic image (vmdk ) using FTK Imager

Step 1: Download and extract FTK Imager lite version on USB drive

Install FTK Imager on USB drive

In this step we download FTK Imager lite version from their official website and extract the downloaded zip file on our USB drive. The lite version contains the only necessary files to run FTK Imager tool from the USB drive.

Install FTK Imager on USB drive  In this step we download FTK Imager lite version from their official website and extract the downloaded zip file on our USB drive. The lite version contains the only necessary files to run FTK Imager tool from the USB drive.

Step 2: Running FTK Imager exe from USB drive



Step 3: Running FTK Imager for forensic image acquisition

To create a forensic image 1. Do one of the following:   Click File > Create Disk Image.   Click the Create Disk Image button on the Toolbar


Step 4: Selecting theSource to acquire image

In the Select Source dialog box, select the source you want to make an image of

How to Aquire vmdk to dd using FTK Imager
Select File *.Vmdk

Step 5: Setting the acquired image destination and image file type

Step 6: Filling in the evidence item information

Step 7: Selecting image destination


Step 8:After the images are successfully created, the Drive/Image Verify Results box shows detailed image information, including MD5 and SHA1 check sums, and bad sectors. 
The Image Summary also includes the data you entered in the Evidence Item Information 




Refer:Booting a forensic image in VirtualBox with FTK Imager

Mount Disk Images (VDMK) With OSFMount



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

DIGITAL FORENSICSP:How to Scan Multiple URLs from Command Line using VirusTotal?

How to Scan Multiple URLs from Command Line using VirusTotal?

VT-Domain-Scanner

Takes an input file with domains or IPs on each line and passes them to the VT API then writes the following items to a CSV. IPs that are put through this scanner is effectively doing a HTTP/HTTPS check to see if a direct IP connection is malicious.

  • Most recent scan date/time
  • Sanitized domain
  • Count of non-clean detections
  • Total AV scans
  • Link to scan results
How to Scan Multiple URLs from Command Line using VirusTotal?
API Key

How to Scan Multiple URLs from Command Line using VirusTotal?
Daily quota 500 lookups / day
URL List
How to Scan Multiple URLs from Command Line using VirusTotal?

VT_Domain_Scanner_py3.exe
How to Scan Multiple URLs from Command Line using VirusTotal?

Step 1 #VT_Domain_Scanner_py3.exe
Step 2 #API Key
Step 3 #public
Step 4#URL_List.txt
Results.csv
How to Scan Multiple URLs from Command Line using VirusTotal?


How to Scan Multiple URLs from Command Line using VirusTotal?
Step 5:URL double check 




อ่านเพิ่ม :FILE HASH CHECK WITH VIRUSTOTAL
                vtlookup


Referent:
VirusTotal-Tools



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #MagnetForensic

Sunday, January 1, 2023

Digital Forensics: Challenge #2 - User Policy Violation Case

 Digital Forensics: Challenge #2 - User Policy Violation Case

  • Challenge #2 - User Policy Violation Case

  • This is another digital forensics image that was prepared to cover a full Windows Forensics course.

    1. System Image: here
    2. Hashes & Password: here
    3. Other download URLs from (Archive.org) could be found here: here
Digital Forensics: Challenge


    You can use the image to learn the following:
    1. File Carving, Custom Carving, and Keyword Searching
    2. File System Forensics - NTFS
    3. Deep Windows Registry Forensics: System and User Hives
      • SYSTEM
      • SOFTWARE
      • SAM
      • NTUSER.DAT
      • USRCLASS.DAT
    4. Other Windows Files: LNK, Jump Lists, Libraries, etc

      1. Jump Lists

      2. Microsoft Windows Recent Items

    5. Application Compatibility Cache (ShimCache)

      1. Artifacts of Application Compatibility Cache

    6. Analyzing Windows Search (Search Charm)
    7. Analyzing Thumb Caches
    8. Analyzing Prefetch Files

      1. Analyzing Prefetch Files
        Winprefetchview , NirSoft
      2. Analyzing Prefetch Files
    9. Analyzing Recycle Bin(s)

      1. Analyzing Recycle Bin

    10. USB Forensics
    11. Events Analysis
    12. Email Forensics: Web and Outlook
    13. Browser Forensics: Internet Explorer and Google Chrome
    14. Skype Forensics

    This image covers most if not all of the recent system artifacts that you might encounter. Let me know if you need any help or if you are an instructor and want the answers to each part of the case. I will only send the answers to verified instructors.

    End of Case.


Extension Mismatch 
Extension Mismatch

Extension Mismatch



Refer:Ali Hadi

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...