Digital Forensics:SQLite Forensics with OSForensic

SQLite Database Browser

The SQLite Database (DB) Browser module allows the user to analyze the contents of SQLite database files. This module provides the ability to perform a deeper inspection of the contents and the ability to open BLOBs (binary data) with the Internal Viewer.

OSForensics™ 

includes an SQLite database viewer for databases stored in the SQLite file format. The SQLite database format is used by several platforms, such as the iPhone, Firefox and Chrome.

Step 1. SQLite Sample Database

 

Step 2.Click Other Devices available.. 

Step 3. Open  Sample Database (msgstore.db)

Step 4. Open  database ( msgstore.db) and find a message “Greetings, Tom”. When was this message received?

Step 5. Search Table

Step 6. Copy message received (1669655413313)

Step 7.  Unix Timestamp Conversion Tools

 Step 8. This answer is correct  11/28/2022 5:10:13 PM

Step 9. A few messages have been revoked from the same database (msgstore.db). When did it happen? Select all timestamps (UTC time) which apply. 

Hint: check the table “message_revoked” and use column conversion

Step 8.  Unix Timestamp Conversion Tools

Step 11. This answer is correct 

        8/26/2022 9:31:28 AM

        8/30/2022 2:39:00 PM

Analyze the contents of SQLite Database Files with OSForensics

Refer:SQLite Database Browser

อ่านเพิ่มเติม:  Timestamp

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

 Audit Checklist software II

วันนี้่มาเล่างานประจำที่ผมทำ คือการ Audit Checklist software เป็นปีที่ 17 จากตอนที่ 1 และได้ยกเลิกอุปกรณ์จัดเก็บข้อมูล  Floppy Disk  เนื่องจากตกยุคและไม่มีบริษัทผลิตแล้ว ต่อมาเมื่อกาลเวลาผ่านไป อุปกรณ์เก็บข้อมูลเปลี่ยนมาใข้ DVD  แผ่นดิจิทัลอเนกประสงค์ (Digital Versatile Disc)   และใช้ DVD-R หรือ ดีวีดี-อาร์ เป็นมาตรฐานดีวีดีซึ่งคิดค้น มีความจุ 4.7GB (กิกะไบต์)   คุณสมบัติจะคล้ายกับ DVD-ROM คือใช้เขียนได้ครั้งเดียว สำหรับเก็บหลักฐาน

เครื่องคอมพิวเตอร์โน๊ตบุ๊คที่ผมใช้ทำงานประจำ

อ่านเพิ่มเติม: Audit Checklist software

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์

Digital Forensics:Registry Forensics cheat sheet

อ่านเพิ่มเติม: Windows Registry

ที่มา: windows-registry-information

      Windows-Forensics-1

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD 

HEX & LITTLE ENDIAN CONVERTER

Digital Forensics:HEX & LITTLE ENDIAN CONVERTER 

วันนี้่จะมาแนะนำเครื่องมือสำหรับ  convert ค่า LITTLE ENDIAN To DEC

What is the first cluster for each file?

How many clusters are being used for each file?

The first cluster for the second file  is calculated like this:

Data run: 0x2285009107

91 07 > number of the first cluster (little endian)

= 1937 

HEX & LITTLE ENDIAN CONVERTER 

What is the first sector number for each non-resident file?

First sector = (First cluster no. * cluster size ) / sector size

Means, for the second file 

First sector = 1937 * 4096 / 512 = 15496

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Digital Forensics:Analyzing Recycle Bin 

Analyzing Recycle Bin using Rifiut

C:\Users\...\Downloads\rifiuti2-0.7.0-win-x86_64>rifiuti-vista.exe -x -z

-o result.xml C:\$Recycle.Bin\S-1-5-21-56828990-623760515-1839852479-1001 

Analyzing Recycle Bin using FTK

อ่านเพิ่มเติม:  Windows Recycle Bin analyser

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Digital Forensics:How to Aquire vmdk to dd using FTK Imager

วันนี้จะมาแนะนำการทำ Image file จาก vmdk  ให้เป็นไฟล์ DD โดยใช้ FTK Imager

VMDK (short for Virtual Machine Disk) is a file format that describes containers for virtual hard disk drives to be used in virtual machines like VMware Workstation or VirtualBox.

Initially developed by VMware for its proprietary^[1] virtual appliance products, VMDK became an open format^[2] with revision 5.0 in 2011, and is one of the disk formats used inside the Open Virtualization Format for virtual appliances.

Refer: https://en.wikipedia.org/wiki/VMDK

Requisites

Steps to create forensic image (vmdk ) using FTK Imager

Step 1: Download and extract FTK Imager lite version on USB drive

Install FTK Imager on USB drive

In this step we download FTK Imager lite version from their official website and extract the downloaded zip file on our USB drive. The lite version contains the only necessary files to run FTK Imager tool from the USB drive.

Step 2: Running FTK Imager exe from USB drive

Step 3: Running FTK Imager for forensic image acquisition

To create a forensic image 1. Do one of the following:   Click File > Create Disk Image.   Click the Create Disk Image button on the Toolbar

Step 4: Selecting theSource to acquire image

In the Select Source dialog box, select the source you want to make an image of

Select File *.Vmdk

Step 5: Setting the acquired image destination and image file type

Step 6: Filling in the evidence item information

Step 7: Selecting image destination

Step 8:After the images are successfully created, the Drive/Image Verify Results box shows detailed image information, including MD5 and SHA1 check sums, and bad sectors. 

The Image Summary also includes the data you entered in the Evidence Item Information 

Refer:Booting a forensic image in VirtualBox with FTK Imager

Mount Disk Images (VDMK) With OSFMount

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

DIGITAL FORENSICSP:How to Scan Multiple URLs from Command Line using VirusTotal?

How to Scan Multiple URLs from Command Line using VirusTotal?

VT-Domain-Scanner

Takes an input file with domains or IPs on each line and passes them to the VT API then writes the following items to a CSV. IPs that are put through this scanner is effectively doing a HTTP/HTTPS check to see if a direct IP connection is malicious.

• Most recent scan date/time
• Sanitized domain
• Count of non-clean detections
• Total AV scans
• Link to scan results

API Key

Daily quota 500 lookups / day

URL List

VT_Domain_Scanner_py3.exe

Step 1 #VT_Domain_Scanner_py3.exe

Step 2 #API Key

Step 3 #public

Step 4#URL_List.txt

Results.csv

Step 5:URL double check 

อ่านเพิ่ม :FILE HASH CHECK WITH VIRUSTOTAL

                vtlookup

Referent:VirusTotal-Tools

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #MagnetForensic

Digital Forensics: Challenge #2 - User Policy Violation Case

 Digital Forensics: Challenge #2 - User Policy Violation Case

• Challenge #2 - User Policy Violation Case

This is another digital forensics image that was prepared to cover a full Windows Forensics course.


1. System Image: here
2. Hashes & Password: here
3. Other download URLs from (Archive.org) could be found here: here

You can use the image to learn the following:
1. File Carving, Custom Carving, and Keyword Searching
2. File System Forensics - NTFS
3. Deep Windows Registry Forensics: System and User Hives
• SYSTEM
• SOFTWARE
• SAM
• NTUSER.DAT
• USRCLASS.DAT
4. Other Windows Files: LNK, Jump Lists, Libraries, etc
1. 
   
   
   
   
2. 
   
   
5. Application Compatibility Cache (ShimCache)
1. 
   
   
   
   
6. Analyzing Windows Search (Search Charm)
7. Analyzing Thumb Caches
8. Analyzing Prefetch Files
1. 
   
   
   Winprefetchview , NirSoft
2. 
9. Analyzing Recycle Bin(s)
1. 
   
   
   
   
10. USB Forensics
11. Events Analysis
12. Email Forensics: Web and Outlook
13. Browser Forensics: Internet Explorer and Google Chrome
14. Skype Forensics

This image covers most if not all of the recent system artifacts that you might encounter. Let me know if you need any help or if you are an instructor and want the answers to each part of the case. I will only send the answers to verified instructors.

End of Case.

Extension Mismatch 

Refer:Ali Hadi

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล