Digital Forensics:Windows Forensics with Belkasoft

Photo credit: belkasoft 

Belkasoft เป็นผู้นำระดับโลกในด้านการตรวจพิสูจน์หลักฐานดิจิทัลและซอฟต์แวร์ตอบสนองเหตุการณ์ แพลตฟอร์ม Belkasoft X  ช่วยในการไขคดีทางนิติวิทยาศาสตร์ดิจิทัล ตอบสนองต่อเหตุการณ์ทางไซเบอร์

This course is designed for digital forensics investigators who deal with Windows computers in their work. It offers an opportunity to enhance your knowledge and gain hands-on experience in discovering and analyzing Windows artifacts.

หลักสูตรนี้ได้รับการออกแบบมาสำหรับผู้สืบสวนนิติเวชดิจิทัลที่ต้องทำงานกับคอมพิวเตอร์ บนระบบปฏิบัติการวินโดวส์ และใช้สามารถโปรแกรม Belkasoft X   วิเคราะห์หลักฐานได้

Photo credit: belkasoft 

Photo credit: belkasoft 

Why should Digital Forensic Investigators take this training? You will
learn:

• How to review common Windows file systems, and which file system
• features might be useful in a DFIR investigation
• How to examine Windows applications, such as chats, browsers, and
• mail clients
• How to inspect media files and documents, and utilize media-specific
• analysis options, such as text recognition and keyframe extraction
• How to identify and analyze forensically important Windows system
• files, such as registry files, event logs, and LNK files
• How to get more evidence from a Windows data source by using
• carving, embedded data analysis, and other advanced forensic techniques

Free Window Forensics Training  6 CPE Credits

ปกติหลักสูตรนี้ราคา 999  USD แต่ในช่วงนี้ทางbelkasoft  จะให้คุณอบรมฟรี ในช่วงเดือน ม.ค -ก.พ เท่านั้น

Photo credit: belkasoft 

Photo credit: belkasoft 

Download the course data  คุณจำเป็นต้องดาวน์โหลด ไฟล์หลักฐาน Image file เพื่อมาวิเคราะห์และตอบคำถามในแต่ละบทเรียน

Photo credit: belkasoft 

Install or update Belkasoft Evidence Center X  คุณสามารถใช้โปรแกรมสำหรับวิเคราะห์หลักฐานได้ เป็นรุ่นทดลองใช้

Photo credit: belkasoft 

Final exam สอบได้ 2 ครั้ง

Windows Forensics with Belkasoft Certificate

คุณสามารถอ่านบทความทั้งหมดเพิ่มเติมได้  Belkasoft

ทีมา :   belkasoft  สมัครฟรี, เรียนฟรี

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

DIGITAL FORENSICS:BELKASOFT Mastering Advanced Digital Forensics Techniques

 Belkasoft เป็นผู้นำระดับโลกในด้านการตรวจพิสูจน์หลักฐานดิจิทัลและซอฟต์แวร์ตอบสนองเหตุการณ์ แพลตฟอร์ม Belkasoft X  ช่วยในการไขคดีทางนิติวิทยาศาสตร์ดิจิทัล ตอบสนองต่อเหตุการณ์ทางไซเบอร์ ดำเนินการสืบสวน eDiscovery และปกป้องทรัพย์สินทางธุรกิจอันมีค่าจากภัยคุกคามทางไซเบอร์

Installation and New Case creation

1.1. Practical case

1.2. Install Belkasoft Evidence Center X

1.3. Create a new case

1.4. Add a data source (E01 image)

2. Internet artifacts and link analysis

2.1. Work with discovered artifacts

2.2. Analyze different types of devices

2.3. Use mini-timeline, global, and local filters

BelkaQUIZZ 1

2.4. Connection Graph (article)

2.5. Belkasoft Connection Graph (video)

BelkaQUIZZ 2.

Internet artifacts  หมายถึงเนื้อหาดิจิทัลประเภทใดก็ตามที่สร้างขึ้นหรือทิ้งไว้บนอินเทอร์เน็ต ซึ่งอาจรวมถึงหน้าเว็บ รูปภาพ วิดีโอ เอกสาร โพสต์บนโซเชียลมีเดีย อีเมล และรูปแบบอื่นๆ ของการสื่อสารดิจิทัล

การวิเคราะห์สิ่งประดิษฐ์เหล่านี้มีความสำคัญด้วยเหตุผลหลายประการ รวมถึงการทำความเข้าใจพฤติกรรมของผู้ใช้ การตรวจจับภัยคุกคามทางออนไลน์ การสืบสวนกิจกรรมทางอาชญากรรม  
วิธีหนึ่งที่ใช้กันทั่วไปในการวิเคราะห์Internet artifacts   คือการวิเคราะห์ลิงก์ การวิเคราะห์ลิงก์เป็นกระบวนการตรวจสอบความสัมพันธ์และความเชื่อมโยงระหว่างเนื้อหาดิจิทัลต่างๆ มันเกี่ยวข้องกับการแมปลิงก์หรือการเชื่อมต่อระหว่างเว็บไซต์ เว็บเพจ หรือหน่วยงานต่างๆ ภายในเครือข่าย

3. Windows artifacts and countering anti-forensics efforts

3.1. What Artifacts Can be Analyzed from a Windows System

3.2. Registry artifacts analysis

BelkaQUIZZ 3.

3.3. Countering anti-forensics efforts.

BelkaQUIZZ 4.

3.4. How to analyze Windows 10 Timeline.

BelkaQUIZZ 5.

4. Carving and memory analysis

4.1.1. Carving in Digital Forensics

4.1.2. Сarving features in Belkasoft X

4.2. Carving and its implementation in digital forensics

BelkaQUIZZ 6.

4.3. Discovering evidence with Live RAM analysis

BelkaQUIZZ 7.

5. Narrow your search: Timeline and Hashset analysis

5.1. Using Timeline (article)

5.2. Video tutorial on Belkasoft Timeline

BelkaQUIZZ 8.

5.3. Hashset analysis in Belkasoft X

5.4. Run hashset analysis

BelkaQUIZZ 9.

 Refer: Mastering Advanced Digital Forensics Techniques

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

Capture Live RAM Contents with Free Tool from Belkasoft!

Capture Live RAM Contents with Free Tool from Belkasoft!

การทำสำเนาข้อมูลหน่วยความจำเป็นแหล่งข้อมูลอันมีค่าสำหรับหลักฐานชั่วคราวและ volatile information 

(Memory dumps )ข้อมูลหน่วยความจำอาจประกอบด้วยรหัสผ่าน (encrypted volumes) (TrueCrypt, BitLocker, PGP Disk), ข้อมูลรับรองการเข้าสู่ระบบบัญชีสำหรับเว็บเมลและบริการเครือข่ายสังคมต่างๆ เช่น Gmail, Yahoo Mail, Hotmail, Facebook, Twitter; บริการแชร์ไฟล์ เช่น Dropbox, Flickr, OneDrive เป็นต้น

เพื่อดึงหลักฐานชั่วคราวออกจาก(Memory dumps )ข้อมูลหน่วยความจำที่บันทึกไว้แล้ว ผู้เชี่ยวชาญด้านนิติเวชต้องใช้ซอฟต์แวร์วิเคราะห์ที่เหมาะสม เช่น Belkasoft X นอกจากนี้ เครื่องมืออื่นๆ บางส่วนยังสามารถใช้เพื่อดึงรหัสผ่านไปยังโวลุ่มที่เข้ารหัสได้อีกด้วย

วัตถุประสงค์การทดสอบ

•      ทำการเก็บรวบรวมพยานหลักฐาน ในหน่วยความจำ Memory

•      เข้าใจความสำคัญข้อมูลในหน่วยความจำ Memory
•      ศึกษาเครื่องมือ Dump memory   

Download  Belkasoft Capture Live RAM 

ความเข้ากันได้และข้อกำหนดของระบบ

Belkasoft Live RAM Capturer เข้ากันได้กับ Windows รุ่น 32 บิตและ 64 บิต รวมถึง XP, Vista, Windows 7/8/10/11, 2003 และ 2008 Server ไม่จำเป็นต้องติดตั้งเครื่องมือนี้และสามารถเปิดใช้งานได้ภายในไม่กี่วินาทีจากไดรฟ์ USB

การสำเนาหน่วยความจำ(Memory dumps )

Belkasoft Live RAM Capturer มีขนาดเล็กที่สุด ไม่จำเป็นต้องติดตั้ง และสามารถเปิดใช้งานได้ภายในไม่กี่วินาทีจากแฟลชไดรฟ์ USB ซึ่งแตกต่างจากเครื่องมือคู่แข่งอื่นๆ ที่ทำงานในโหมดผู้ใช้ของระบบ Belkasoft Live RAM Capturer มาพร้อมกับไดรเวอร์เคอร์เนล 32 บิตและ 64 บิต ซึ่งช่วยให้เครื่องมือทำงานในโหมดเคอร์เนลที่มีสิทธิพิเศษสูงสุด หน่วยความจำที่ถ่ายโอนได้จาก Belkasoft Live RAM Capturer สามารถวิเคราะห์ได้ด้วย Belkasoft X

Loading device driver ...

Physical Memory Page Size = 4096

Total Physical Memory Size = 9718 MB

Memory dump completed. Total memory dumped = 9718 MB

ทีมา :   https://belkasoft.com/ram-capturer

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรีบนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Digital Forensics:Belkasoft SQLite Forensics Course

 Digital Forensics:Belkasoft SQLite Forensics Course

Belkasoft เป็นผู้นำระดับโลกในด้านการตรวจพิสูจน์หลักฐานดิจิทัลและซอฟต์แวร์ตอบสนองเหตุการณ์ แพลตฟอร์ม Belkasoft X  ช่วยในการไขคดีทางนิติวิทยาศาสตร์ดิจิทัล ตอบสนองต่อเหตุการณ์ทางไซเบอร์ ดำเนินการสืบสวน eDiscovery และปกป้องทรัพย์สินทางธุรกิจอันมีค่าจากภัยคุกคามทางไซเบอร์

ฟรีหลักสูตรอบรม SQL Forensics

หลักสูตรนี้ออกแบบมาสำหรับผู้ตรวจสอบนิติวิทยาศาสตร์ดิจิทัลและผู้เผชิญเหตุทางไซเบอร์ที่ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับนิติวิทยาศาสตร์ SQLite และวิธีดึงข้อมูลจากแหล่งข้อมูลให้ได้มากที่สุด

This course is designed for digital forensics investigators and cyber incident responders who want to learn more about SQLite forensics and how to extract as much information from their data sources as possible.

In this training, you will learn:

• Why SQLite format is so widespread, and how WhatsApp, Viber, and other popular apps store their data
• Important SQLite database features and settings
• The consequences of using the wrong tool for the analysis of SQLite-based applications
• How to locate deleted data inside an SQLite database
• How to use Belkasoft’s top-of-the-line SQLite Viewer to find important information and create a report

Chapter 1: Introduction to SQLite

1.1. Video. Why SQLite databases are so popular?

1.2. Let's practice!

1.3. Video. Forensically important features of SQLite

1.4. Let's practice!

Chapter 2: Viewing SQLite data

2.1. Video. SQLite Viewer

2.2. Article. SQLite Viewer

2.3. Article. Built-in SQLite Viewer in Belkasoft: Useful Perks

2.4. Add a data source “SQLite Exercises.zip”

2.5. Let's practice!

Chapter 3: Using Db Browser for SQLite. Basic queries

3.1. Video. Db Browser, SELECT queries

3.2. Article. SELECT Syntax & Examples

3.3. Article. INNER JOIN

3.4. Article. Pragma Values

3.5. Download and install Db Browser for SQLite

3.6. Let's practice!

Chapter 4: Recovering SQLite deleted data from freelists. Сonsequences of using a wrong tool

4.1. Video. Recovering SQLite Deleted Data From Freelists

4.2. Article. Recovering SQLite Deleted Data From Freelists

4.3. Let's practice!

Chapter 5: Journal Files and Write Ahead Logs

5.1. Video. Journal Files Analysis

5.2. Let's practice!

5.3. Video. Write Ahead Logs Analysis

5.4. Importance Of Using A Specialized Tool For Journal And WAL Analysis

5.5. Let's practice!

Chapter 6: SQLite unallocated space

6.1. Video. Unallocated Space Analysis

6.2. Article. Unallocated Space Analysis

6.3. Let's practice!

Chapter 7: Carving SQLite and recovering SQLite databases from Memory

7.1. Video. Carving SQLite Databases

7.2. Add A Data Source “telegram.dd”

7.3. Let's practice!

7.4. Video. SQLite Databases Analysis In Memory

7.5. Case Study: Recovering A SQLite Database From Memory

7.6. Let's practice!

FINAL TEST

Let's wrap-up!

Final test. For the champions only!

Refer: Belkasoft SQLite Forensics Course

อ่านเพิ่มเติม:  SQL Forensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

DIGITAL FORENSICS:CORPORATE INVESTIGATIONS WITH BELKASOFT

free on-demand course Corporate Investigations with Belkasoft: Training Course

This course is designed for those who aim to harden the security of their business networks and learn how to enable quick incident response procedures to a variety of data breaches.  

Another potential audience for this course is CIRT/incident response team members, whose role is to take care of the company’s internal investigations, including employee misconduct, trade secrets theft and so on. Corporate eDiscovery and cyber compliance specialists will also find this course useful. 

ฟรีหลักสูตรอบรมตรวจพิสูจน์พยานหลักฐานทางดิจิทัลในเครือข่ายธุรกิจ  

หลักสูตรนี้ออกแบบมาสำหรับผู้ที่ต้องการเพิ่มความปลอดภัยให้กับเครือข่ายธุรกิจและเรียนรู้วิธีเปิดใช้งานขั้นตอนการตอบสนองต่อเหตุการณ์อย่างรวดเร็วต่อการละเมิดข้อมูลที่หลากหลาย และ  สมาชิกในทีมรับมือเหตุฉุกเฉิน CIRT ซึ่งมีหน้าที่ดูแลการสืบสวนภายในของบริษัท รวมถึงการประพฤติมิชอบของพนักงาน การขโมยความลับทางการค้า และอื่นๆ ผู้เชี่ยวชาญด้าน eDiscovery ขององค์กรและการปฏิบัติตามข้อบังคับทางไซเบอร์จะพบว่าหลักสูตรนี้มีประโยชน์เช่นกัน

a data source (E01 image)

1.  Download the image (7 GB) using one of these links:

Direct: dl.spbctf.com/BelkaDay_SUSPECT_LAPTOP.7z
Torrent: dl.spbctf.com/BelkaDay_SUSPECT_LAPTOP.7z.torrent

Unpack the archive file
Archive password: vr3KapmZ1tI42H7qARF0

What was the last wireless connection on the system?

What time zone is set on the suspect machine? Has it been changed recently?

:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Time Zones

:Easter Island Standard Time, not changed recently

You believe that SDelete was used to hide evidence in the training case. Where could you see the traces of its potential execution? Select all that apply.

Prefetch files

ActivitiesCache.db (Windows 10 Timeline) 

Location of Windows 10 Timeline Database

C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<profile>\ActivitiesCache.db

WxTCmd is a parser for the new Windows 10 Timeline feature database.

What information could be obtained from Jumplists?

You are going to first look in Anit.ghosh’s Recent folder. This is located in the following path for versions 7-10 of Windows:

This folder contains the user’s link files. A link file, or LNK, is a Windows shortcut that points back to an original file. A link file is generally created when a file is first opened. Link files are important during analysis, because they show where files were located, when they were opened, and they contain date and time stamps associated with the file. If you look at Windows Explorer and go to the Recent folder, you can see your own link files.

Back in Autopsy, look at the link file called PHOTOS.7z.lnk and click on the Results view. Autopsy will show you the path of where PHOTOS.7z was stored when it was opened. 

Highlight Jump Lists in AutomaticDestinations, Right-Click and Select Extract File(s)

Click Load in Jumplist Explorer. Navigate to your export folder that contains the jump list files. Highlight and select each jump list file and click Open

Find a source code package downloaded from git.pm.internal. What is the SHA256 hash of the archive file?

Which file was downloaded from a browser after the user connected to the wireless network: “Network 4”?

You have a hashset database and need to check which files were present on the suspect machine. Which of the following files were detected during hashset analysis?

Advanced Live RAM analysis with Belkasoft

 Thank you for completing the Belkasoft Training Course.

 

Refer: belkasoft corporate-investigations-training

         windows-10-timeline-analysis

         WxTCmd is a parser for the new Windows 10 Timeline feature database.

         windows-10-timeline-forensic-artefacts

         CARVING AND ITS IMPLEMENTATIONS IN DIGITAL FORENSICS

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

INCIDENT INVESTIGATIONS WITH BELKASOFT: TRAINING COURSE

หลักสูตรอบรมการสอบสวนเหตุการณ์ในสภาพแวดล้อมบนระบบปฏิบัติการวินโดวส์

หลักสูตรนี้ออกแบบมาสำหรับผู้ที่มีประสบการณ์ใน DFIR แล้ว และต้องการยกระดับความรู้และรับประสบการณ์ตรงในการใช้ผลิตภัณฑ์ Belkasoft เพื่อแก้ไขกรณีสอบสวนเหตุการณ์ในสภาพแวดล้อม Windows

The course is designed for those who already have experience in DFIR and would like to level up their knowledge and gain hands-on experience in using Belkasoft products for solving an incident investigation case in the Windows environment.

How to activate your trial license.

Watch a short tutorial video on how to create a case.

Watch a short tutorial video on how to add a data source

Watch a short tutorial video on how to use mini-timeline, global, and local filters

Cyber Kill Chain and Belkasoft Incident Investigation Model

Cyber Kill Chain model by Lockheed Martin

What is Belkasoft N and how to try it.

Check what incident response artifacts are supported by Belkasoft

 Watch a short video to learn more about uncovering persistence mechanisms

Watch a short video to learn more about execution traces

Watch a video where incident investigation case is reviewed and hints are provided

incident investigation certificate

ที่มา: BELKASOFT.COM

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud