DIGITAL FORENSICS:FILE HASH CHECK WITH VIRUSTOTAL

DIGITAL FORENSICS:File Hash Check with VirusTotal

How to install Didier Stevens “virustotal-search.py” script

วันนี่มาตรวจสอบ malware โดยไฟล์แฮช (malware hash list) จำนวนมากด้วย VirusTotal คุณจะต้องใช้คีย์ VirusTotal API มีเครื่องมือมากมาย แต่ถ้าคุณต้องการใช้เครื่องมือที่จะนำเข้าคีย์ API จากบัญชีของคุณ ตรวจสอบให้แน่ใจว่าเครื่องมือนี้ได้  Didier Stevens “virustotal-search.py” script

ขั้นแรกคุณต้องมี Python

1. Download latest version of Python 3
2. Install it – check usage for PATH environment variable and for easier future updates install to the root of your C: drive. Example for Python 3.10:

C:\Python310\

และ Download virustotal-search.py

3. Navigate to Didier Stevens virustotal-search.py Github page

4. On top of the page Right Click the [Raw] button and [Save link as]. Save the file in the place that you will find it later, for example:

C:\tools\virustotal-search\virustotal-search.py

5. Sign up for VirusTotal for free.
6. After you login to VT, click your profile button, then [API Key]. Copy this API key so you can use it later, maybe save to text file.
* Free VirusTotal Public API key can be used for 4 hash requests per minute and 500 hashes per day. Same goes for the script itself, it will not send more than 4 requests per minute. It was scripted that way and if you have a premium account with bigger quota, the script will still send 4 requests per minute. Keep that in mind. After your reach your daily quota of 500 requests with free account – VT will send you an email and the script will fail to send new requests until the next day.

How to use Didier Stevens “virustotal-search.py” script to bulk file hash check with VirusTotal

* This guide is for virustotal-search.py script version 1.1.6 and above, which uses python 3. If you want to use older versions for python 2 you will need also to install “poster” package with command: pip install poster.

ทำการเตรียม Hash list ที่เราเตรียมไว้ หรือท่านสามารถเอาตัวอย่างจาก  virusshare

1. Save all your file hashes to text file, example path:

C:\tools\virustotal-search\VirusShare.txt

2. Command line usage example:

virustotal-search.py List.txt -k <YourAPIKey> -s , -o Output.csv

Example with full paths from above:

"C:\tools\virustotal-search\virustotal-search.py" "C:\tools\virustotal-search\VirusShare.txt" -k <YourAPIKey> -s , -o "C:\tools\virustotal-search\Output.csv"

Command line Example if you did not select PATH variable usage and need to specify path to “python.exe”:

"C:\Python39\python.exe" "C:\tools\virustotal-search\virustotal-search.py" "C:\tools\virustotal-search\VirusShare.txt" -k <YourAPIKey> -s , -o "C:\tools\virustotal-search\Output.csv"

virustotal-search switches explanation

List.txt: The second argument for the script. Is any text file that holds the hash list.
-k: API key.
-s ,: Separator character between the columns. “,” (comma) is the character that is used in this case for regular CSV (comma separated values) document. The default setting without the “-s” switch is “;” (semicolon).
-o: Output csv file.

For help and more settings / switches you can use the -h switch.

virusshare lists of MD5 hashes

Output csv file.

สรุป

•  ท่านสามารถ scan virus  หลายไฟล์พร้อมกัน โดยการสร้างค่า hash  list ไป scan โดยใช้ เครื่องมือจาก Virustotal ได้

 

อ่านเพิ่มเติม: vtlookup

Reference

Optimization Core

Bulk File Hash Check with VirusTotal – Didier Stevens script

virustotal-search

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

INCIDENT INVESTIGATIONS WITH BELKASOFT: TRAINING COURSE

หลักสูตรอบรมการสอบสวนเหตุการณ์ในสภาพแวดล้อมบนระบบปฏิบัติการวินโดวส์

หลักสูตรนี้ออกแบบมาสำหรับผู้ที่มีประสบการณ์ใน DFIR แล้ว และต้องการยกระดับความรู้และรับประสบการณ์ตรงในการใช้ผลิตภัณฑ์ Belkasoft เพื่อแก้ไขกรณีสอบสวนเหตุการณ์ในสภาพแวดล้อม Windows

The course is designed for those who already have experience in DFIR and would like to level up their knowledge and gain hands-on experience in using Belkasoft products for solving an incident investigation case in the Windows environment.

How to activate your trial license.

Watch a short tutorial video on how to create a case.

Watch a short tutorial video on how to add a data source

Watch a short tutorial video on how to use mini-timeline, global, and local filters

Cyber Kill Chain and Belkasoft Incident Investigation Model

Cyber Kill Chain model by Lockheed Martin

What is Belkasoft N and how to try it.

Check what incident response artifacts are supported by Belkasoft

 Watch a short video to learn more about uncovering persistence mechanisms

Watch a short video to learn more about execution traces

Watch a video where incident investigation case is reviewed and hints are provided

incident investigation certificate

ที่มา: BELKASOFT.COM

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud 

Digital Forensics:OXYGEN FORENSICS CTF

วันนี้มาแนะนำการแข่งขัน OXYGEN FORENSICS CTF  ซึ่งจัดโดยบริษัท  OXYGEN FORENSICS  เป็นโซลูชันด้านนิติวิทยาศาสตร์ ที่ใช้งานง่ายและมีประสิทธิภาพซึ่งช่วยลดความซับซ้อนและเร่งขั้นตอนการสืบสวนทางดิจิทัล โดยกิจกรรมจะเปิดและปิดเป็นช่วง   May 2022  #OXYGEN FORENSICS 

Oxygen Forensic® Detective ผลิตโดย บริษัท Oxygen Forensic เป็นแพลตฟอร์มซอฟต์แวร์ทางนิติวิทยาศาสตร์แบบครบวงจรที่สร้างขึ้นเพื่อแยก ถอดรหัส และวิเคราะห์ข้อมูลจากแหล่งข้อมูลดิจิทัลหลายแหล่ง: อุปกรณ์เคลื่อนที่ Mobile และ IoT การสำรองข้อมูลอุปกรณ์ UICC และ media cards , โดรน และบริการคลาวด์ Oxygen Forensic® Detective ยังสามารถค้นหาและ  ไฟล์ระบบ และข้อมูลรับรองจากเครื่อง Windows, macOS และ Linux ได้มากมาย

OXYGEN FORENSIC® CERTIFICATION

OXYGEN FORENSICS CTF Writeup

Once you have imported the extractions, please review the data, and answer the following questions: 

1: Create a case in OFD and name it: Facial Recognition CTF. From the folder provided to you named 2022-03-22 13-53-10 000000001206, pull the Device.ewc into your new Facial Recognition CTF Case. Run OCR on this dataset. Select Faces on the device level. In column 1 filter settings, deselect the option for "Male" under sex and deselect "None" under the accessories tab (Leave all other boxes checked). Mark the image of the female wearing a white shirt and sunglasses as key evidence. Create and add a blue tag for the photo named "Captured Flag." Add a note to the photo that says ("The answer to question #1)   

2: Create a new Face Set to Search against using the "Dream Team" Face Set provided for you. Label the Face Set "Face Set 1".  Set your minimal similarity threshold to 99% and search Face Set 1 against the contents of the storage device. Mark the image with the 99% similarity rating (from the storage device) as key evidence. Create and add a blue tag to the same image and name the tag "Captured Flag." Add a note to the photo that says ("The answer to question #2)   

                          

3: With your minimal similarity threshold set to 20%, find the five images OFD found when searching the device contents against the target face: MV5BMTQ5NTUzNDE5OV5BMl5BanBnXkFtZTgwMjAwOTE1MDE@._V1_.jpg? Mark each of the five images from the device contents as key evidence.   Create and add a blue tag for each of the five images named "Captured Flag." Add a note to each of the five images that say ("The answer to question #3)

4. With your minimal similarity threshold set to 97%, find the image OFD found within the storage device when searching the device contents against the target face: ee0dc542f1558c7d003131cdf6f4161e.jpg that had a 97.2 % similarity rating. Create and add a blue tag to the same image and name the tag "Captured Flag." Add a note to the image that says ("The answer to question #4)   

  

5: Clear your search history for Face Set 1.  Create a new Face Set to Search against using the "Players" Face Set provided for you. Label the Face Set "Face Set 2". Select 100% Minimal similarity rating. Notice 270 images have a similarity rating of 100%. Mark image 106218751-1572883641328david.jpg as key evidence. Create and add a blue tag to the same image and name the tag "Captured Flag." Add a note to the image that says ("The answer to question #5)   

6:  Clear your search history for Face set 2. Exit out of the Search Section and select Faces under analytics.  In column 1 filter settings, deselect the option for "Male" under sex and choose 70+ under the age category (Leave all other boxes checked aside from age). Select the three images OFD has identified as being a female 70+ years old. Mark each image as key evidence. Create and add a blue tag to the same image and name the tag "Captured Flag." Add a note to the image that says ("The answer to question #6).   

7: Select Faces under analytics.  In column 1 filter settings, deselect the option for "Female" under sex, choose 70+ under the age category, and select white under race (Leave all other boxes checked except for race and age). Select the three images OFD has identified as being a white male 70+ years old. Mark each image as key evidence. Create and add a blue tag to the same image and name the tag "Captured Flag." Add a note to the image that says ("The answer to question #7). 

8: Select the search section in analytics. Conduct a search using Face sets (Face Set 1) and search against the contents of the storage device with a minimal similarity setting of 70%. Find the photo from the storage device that has a 70.4% similarity rating when searched against Face Set 1. Mark the image as key evidence. Create and add a blue tag to the same image and name the tag "Captured Flag." Add a note to the image that says ("The answer to question #8).

9: Clear your search history for Face Set 1. Conduct a Search using Face Set 2 and search against the contents of the storage device with a minimal similarity setting of 100%. Find the photo of the white male wearing a white headband. Mark the image as key evidence. Create and add a blue tag to the same image and name the tag "Captured Flag." Add a note to the image that says ("The answer to question #9) 

10: Conduct a Search using Face Set 2 and search against the contents of the storage device with a minimal similarity setting of 100%. Find the photo of the white male with spiked blonde hair, wearing white sunglasses on his forehead. This man is wearing a blue shirt, has a goatee, and is smiling. Mark the image as key evidence. Create and add a blue tag to the same image and name the tag "Captured Flag." Add a note to the image that says ("The answer to question #10)

Click https://oxygenhq.synology.me:51518/sharing/jGdoEZ8v4

link to open resource. 

Oxygen Forensic Certification

เมื่อท่านเข้าร่วมการแข่งขัน CTF และส่งคำตอบตามเวลาที่กำหนดท่านจะได้รับใบประกาศจาก บริษัท  OXYGEN FORENSICS 

ที่มา:  oxygen-forensic  

           

อ่านเพิ่มเติม  CFT

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

DIGITAL FORENSICS:Social engineering attack techniques

 DIGITAL FORENSICS:Social engineering attack techniques 

การทำ Phishing นั้นถือว่าเป็นการโจมตีในรูปแบบที่เรียกว่า Social Engineering ซึ่งเป็นวิธีการที่เน้นโจมตีไปที่คน 

จุดประสงค์

•  เพื่อศึกษาโปรแกรม Kali Linux และ โปรแกรม Social Engineering Toolkit เพื่อไม่ให้ตกเป็นเหยื่อของผู้ประสงค์ร้าย

โปรแกรม Social Engineering Toolkit (SET) เป็นโปรแกรมที่ใช้ในโจมตีแบบวิศวกรรมสังคมจะเกี่ยวกับการหลอกให้บางคนหลงกลเพื่อเข้าระบบ เช่น การหลอกถามรหัสผ่าน การหลอกให้ส่งที สําคัญให้ ซึ่งการโจมตี ประเภทนีไม่จําต้องใช้ความรู้ความชํานาญเกียวกบคอมพิวเตอร์หรือการเจาะระบบเลย วิศวกรรมสังคมเป็น จุดอ่อนที ป้องกันยากเพราะเกี่ยวข้องกับคน

เริ่มวิธีการสร้าง Phishing Website โดย Tool ที่ชื่อว่า Social-Engineer Toolkit (SET)

เข้าไปที่ Kali และเลือก

เลือก 1) Social-Engineering Attacks

เลือก 2) Website Attack Vectors

เลือก 2) Site Cloner

 ถัดมาขั้นตอนสำคัญ คือจะให้ Clone จาก Site ตาม Case Study นี้แล้วคงเป็น Web ของ facebook.com

set:webattack> Enter the url to clone:https://www.facebook.com

เมื่อใส่ข้อมูลเรียบร้อยทั้งหมดแล้ว Tool จะทำหน้าที่ Clone หน้า Web ขึ่้นมา รอให้เหยื่อเข้า Web และ Tool ก็จะคอยรอรับ input จากเหยื่อด้วย

หน้า Phishing Website  สร้างเรียบร้อย   

URL ที่ถูกต้องคือ facebook.com

• สังเกตที่ URL  ในที่นี้เป็น IP ของเครื่อง192.168.18.130  แต่ถ้าเป็นกรณีที่จะโจมตีจริงๆก็จะมีการจด Domain ที่มีความน่าเชื่อถือมากขึ้นเพื่อหลอกให้เหยื่อหลงกลได้

เมื่อมีการใส่ข้อมูล Username และ Password เรียบร้อย โปรแกรมก็จะแสดงข้อมูลที่ User ใส่

POSSIBLE USERNAME FIELD FOUND: email=Johnwick                                                                                                                                                                                             

POSSIBLE PASSWORD FIELD FOUND: pass=1234       

อ่านเพิ่มเติม https://informationtreasure.wordpress.com/2014/07/25/social-engineering-toolkit-kali-credential-harvestor-hack-facebook/

ที่มา:     incognitolab 

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ

Digital forensics:DSMO-DS Certified Mobile Operator

Digital forensics:DSMO-DS Certified Mobile Operator

Mobile Operator Course & Certification

หลักสูตรอบรมการตรวจพิสูจน์อุปกรณ์สื่อสารเคลื่อนที่ 

The mobile operator course is designed to get you started using the E3 Forensic Platform with mobile-related evidence.

Course Details

• Online Course
• 4 hours
• Includes lectures and lab
• DSMO certification included

This introductory certification is designed for those just getting started with Paraben's E3:DS or E3:Universal. You will learn the basics of our premiere forensic tool for mobile devices and become proficient in its use for your investigations by completing a sample E3:DS practical case file. 

Course Curriculum

Acquiring a Feature Phone Physically

Acquisition Wizard

Android Logical Acquisition

EXIF

Acquisition Type

Wifi.db Mac address

  Device Information

อ่านเพิ่มเติม:Computer Operator Course & Certification

Referents:parabenacademy

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud