Digital Forensics:C5W-100 INTRODUCTION TO DIGITAL FORENSICS

We are a team of digital forensics specialists dedicated to helping businesses, law enforcement, and individuals understand and investigate cyber crime. We love solving puzzles, teaching, and asking questions – which is why "5W" is part of our company's name.

อบรมฟรี  free computer forensics

ที่มา: https://cyber5w.com/into-dfir.html

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้
น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

Digital Forensics:DumpMe Lab—Memory Forensics Writeup— Cyber Defenders

Cyberdefenders: DumpMe

Description

One of the SOC analysts took a memory dump from a machine infected with a meterpreter malware. As a Digital Forensicators, your job is to analyze the dump, extract the available indicators of compromise (IOCs) and answer the provided questions.

Q1 What is the SHA1 hash of Triage-Memory.mem (memory dump)?

#shasum Triage-Memory.mem 

Ans: c95e8cc8c946f95a109ea8e47a6800de10a27abd 

Q2: What volatility profile is the most appropriate for this machine? (ex: Win10x86_14393)

We can use the imageinfo  plugins to determine the proper profile of Triage-Memory.mem.

vol.py -f Triage-Memory.mem imageinfo

Q9 What is the LM hash of Bob's account?

#vol.py -f Triage-Memory.mem --profile=Win7SP1x64 procdump hashdump | grep "Bob"

Bob:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

User: Bob

LM:aad3b435b51404eeaad3b435b51404ee

Make a file on your computer and copy/paste Bob_account’s hash in there. 

We will use Hashcat to crack it. Look through Hashcat’s mode LIST and you’ll see that NTLM is mode 1000:

Make sure you have the rockyou.txt list saved on your system before we start.

#hashcat -m 1000 <hash file location> <wordlist file location>

In a few seconds we will have our password (up top after the hash).

If you’d like an easier alternative, use CrackStation.

*ขออภัยที่ทำไม่เสรฺ็จ ค่อยกลับมาทำใหม่ครับ

BlueTeam CTF Challenges - CyberDefenders

ที่มา:   cyberdefenders.org 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

DIGITAL FORENSICS: Breaking Password and Encryption

DIGITAL FORENSICS: Breaking Password and Encryption

#sb_release -a

Example 1.Brute-Force Attacks

We will create & compress a text file name text.txt into a password-protected ZIP file named Protected.zip, with the password kali. The command we will be using is zip --encrypt Protected.zip text.txt.

• zip – Selects the tool we want to use
• –encrypt – Selections the function of the tool we want to use. ‘Encrypt’ will encrypt our ZIP archive and require a password to decrypt the contents.
• Protected.zip – The name of the outputted ZIP file.
• text.txt – The file we want to compress.

#zip --encrypt Protected.zip Desktop/text.txt 

Brute-Force Attacks

fcrackzip is a fast password cracker partly written in assembler. It is able to crack password protected zip files with brute force or dictionary based attacks, optionally testing with unzip its results. It can also crack cpmask’ed images.

This package is useful for pentesters, ethical hackers and forensics experts.

How to install: sudo apt install fcrackzip

#fcrackzip -h

Known Characters:

• If you recall parts of the password, fcrackzip can use this information to reduce cracking time: 
• -l denotes the password length(in this case, between 1 and 4 characters), and -c defines the character set (a for lower-case).

[-l|--length min-max] check password with length min to max

#fcrackzip -b Protected.zip -u -c a -l 1-4 –u

PASSWORD FOUND!!!!: pw == kali

Example 2. Brute-Force Attacks

#zip --encrypt Protected.zip Desktop/text.txt 

#fcrackzip -b Protected.zip -u -c a1 -l 1-4 –u

Example 3.Dictionary Attacks

In this example, our target ZIP is topsecret.zip  with the password monkeybutts. Here’s the command we’ll be using.

• fcrackzip – Selecting the tool we want to use.
• -D – Selecting the option for a dictionary attack.
• -u – This makes sure fcrackzip actually tries to unzip the file, without this we won’t actually get the right password.
• -p – Use strings as password.
• /usr/share/wordlists/rockyou.txt – This is the location of our wordlist, required to perform a dictionary attack.
• topsecret.zip – The file we want to crack.

#fcrackzip -D -u -p Downloads/rockyou.txt Downloads/topsecret.zip 

fcrackzip tells us that it has found the correct password

we can now successfully extract the contents of the file.

Credit:  kali 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล