Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

книги хакеры / Хакинг на примерах

.pdf

Скачиваний:

Добавлен:

19.04.2024

Размер:

30.29 Mб

Скачать

☆

<<< < Предыдущая 4 5 6 7 8 9 10 11 12 13 14 1516 / 3216 17 18 19 20 21 22 23 24 25 26 27 28 > Следующая >>>

hang

NOW!

1 1а11а(J_ 1110 l;\l,Ol' h.:ali I i1111, 111,а1, l'IO lll"II0.11,IOl\all,

1.111 BJ.IO\la

BUY

•

BUY

w Click

Определение типа файла на основе сигнатур и выявление несоответствия

w Click

расширения файла его содержимому.

-xcha

-x cha

•

Модуль интересных файлов пометит файлы и папки, основываясь на име

ни и пути.

•

Поддержка Android - извлечение данных из SMS, журнала звонков, кон-

тактов, Tango, Words with Friends и других.

Весь этот функциоцал достигается посредством использования того или иного модуля программы. Далее, в таблице 6.2, будет приведен список моду лей с пояснением функционала каждого из них.

Нужно отметить, что разработка версии для Linux приостановлена (на дан ный момент текущей является версия 2), а вот разработка Windows-вepcии Autopsy идет полным ходом (доступна версия 4).

С одной стороны, данный инструмент стал известным благодаря Kali Linux, поэтому мы не можем не упомянуть, как запустить Autopsy в нем. Для этого нужно ввести команду:

sudo autopsy

После этого нужно_открыть браузер и ввести адрес http:l/loca/host:9999/autopsy

•	Рис. 6.43. Программа запущена
	Рис. 6.43. Программа запущена
. . ------ --- -------- -------	----- - - ------------ . ----------- --- - - - -	. - - - --- -- - ---- - - --	1111

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

	•	.. .,		",		.,		,.,		о • о а	с-
							....,о._,	•••	.,_ .,,,.._,,,,.,.	-	С1 ><
•		,	: А	' '	' "	+
		,	: А	' '	' "	+
	( Q !			"						lf\Q	;
•	,		•	, '	"			r	! .,. , , • 1 'f' L	, 1 '-1,

Уоц do notneedjaV{I: St::npt to ui;,e AULop$fг;оd 1t la recommended tЬat ft Ье tumed oftюг securtty reasons.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Рис. 6.44. Autopsy 2 для Linux

https://www.autopsy.com/download/

...	,	.
		. .

hang

NOW!

BUY

Click

Далееm

будет показано, как работать с программой на локальном компьютереClick.

Запусти программу и выберите New case - новое дело (рис. 6.45).

-xcha

-x cha

Welcome

New aise

• Open Re<:ent aise

Open Case

Autopsy®

OPEN I EXTENSIBLE FAST

Рис. 6.45. Программа Autopsy для Windows

Введи название дела и выбери режим - одно пользовательский (Single-user)

или многопользовательский (Multi-user). На следующей странице заполни
необязательную информацию и нажми кнопку Finish.
г New C•se lnforma;:;;;--
г New C•se lnforma;:;;;--			х
я...	самw
я...	===-=- -------------
1 1. с-1rtfomц,tlon...	с..с,-._
2. Opt,a,w tk,n	с..с,-._
	С-Т-,,р,е:	@SiJ1Qlit-use	""11.._,.
	C-da18wlь.tt11Жedf'I
	va,

---------

Рис. 6.46. Создание нового дела

Появится окно с выбором источника данных. Если нужно исследовать образ

диска, выбери первый вариант, нас же сейчас интересует исследование ло кального диска, поэтому выбери второй вариант (Local Disk). Нажми кнопку

Next.

На следующей странице будет возможность выбора исследуемого диска. Если не все диски отображаются в списке, закрой программу и запусти ее с правами администратора (рис. 6.48). Опция Make а VHD image ofthe drive while it is being analyzed (на рис. 6.47 он спрятан за окном выбора диска, но

. -- --- .-------------- - - - - ----- - ------ - - ------------- ------------- .....

·-·-·- -------111

hang

NOW!

BUY

w Click

он тамm

есть!) позволяет создать образ диска перед началом его анализа. ЭтоClick

на случай, если есть подозрения, что данные могут измениться в процес

-xcha

-x cha

се анализа. Правильнее, конечно, сделать образ диска, если на компьютере хватает места или есть внешний носитель, куда ты разместишь образ диска.

Ведь его размер будет равен размеру используемого пространства. Напри

мер, если есть диск размером 500 Гб, но занято всего 120 Гб, то размер об

раза будет равен 120 Гб.


.М. Add Data Source		х
	Tyf!!.. O.t.8 Sowc:e ТоAdd
so.,rceтoAdd
1. Selк.tO.r.Solla:
). ccinf'o,,• Н.XU.
4.. AddOa Sau-oe

Рис. 6.47. Выбор источника данных

Рис. 6.48. Выбор локального диска

Нажатие кнопки Next приводит к выбору модулей программы. Включение того или иного модуля добавляет нужный функционал. Для самого полного

анализа выбери все модули, но этим ты замедлишь процесс. Описание моду

лей приведено в таблице 6.2.

Таблица 6.2. Описание модулей Autopsy

---------------------------------------------------------------------------------'

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to
w Click											m
	.							eНазвание модуля
w										o
	w									o
		p	df				g		.c
			df			n
				-xcha

Recent Activity Module

hang

NOW!

BUY

w Click

Назначение

-x cha

Модуль позволяет извлечь активность пользователя, веб запросы, загрузки, закладки браузера, файлы cookie и тд. Анализирует реестр - установленные и запускае мые программы, данные об подключенных USB устрой ствах, извлекает данные из корзины.

		Вычисляет хэш-значения MD5 для файла, а потом ищет
		их в базе данных, чтобы определить, является ли файл
		известным. Для его работы необходимо добавить базу
Hash Lookup		хэшей. Поддерживается огромная база NIST NSRL,
Hash Lookup		которая содержит хэши известных файлов Windows/
		которая содержит хэши известных файлов Windows/
		PC,Android, iOS. Оrметим, что использование NIST
		NSRL ускоряет исследования, поскольку можно игно
		рировать известные файлы.

		Определяет файлы на основе их внутренних подписей
		и не полагается на расширение файлов. Autopsy исполь
File Туре Identification		зует библиотеку Tika, (обнаруживает и извлекает мета
File Туре Identification		данные и текст из более чем тысячи различных типов
		файлов). Может быть гибко настроено пользователем
		правилами.

		Модуль открывает ZIP, RAR, другие форматы архивов,
Ernbedded	File	Doc, Docx, РРТ, РРТХ, XLS и XLSX и отправляет извле
Extraction		ченные файлы из этих архивов для анализа. В случае за
Extraction		шифрованных архивов, при наличии пароля, позволяет
		шифрованных архивов, при наличии пароля, позволяет
		расшифровать эти архивы.

		Извлекает информацию EXIF (служебную информа
		цию) из полученных изображений. Позволяет опреде
EXIF Parser		лить географические координаты места, где был сделан
EXIF Parser		снимок, время, когда был сделан снимок, типа (модель)
		снимок, время, когда был сделан снимок, типа (модель)
		камеры, используемой для съемки изображения и ее не
		которые настройки

Используется для поиска несоответствий расширений. Этот модуль может·вьщавать множество ложных сраба

тываний, т.к. например многие файлы переименовыва

Extension Misrnatch ются в ".trnp." или "bak".

Detector

Можно уменьшить количество ложных срабатываний, сосредоточившись на типах файлов. По умолчанию ис пользуются только мультимедиа и исполняемые файлы.

- .................................................................................

				hang			e
			C				e	E
		X						E
	-								d
	F									t
	D									i
	D									r
P						NOW!				o
P						NOW!
					BUY	:\аю1111 11,1 ЩНI\Н J),I\
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.								.c
		p						g
			df				n		e
				-xcha

Keyword Search

Module

Email Parser Module

Encryption detection module

lnteresting_Files

Virtual Machine

Extractor

Plaso Module

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to
w Click								.c		m
Напоминает поиск по ключевым словам в DLP систе.								.c
w									o
	w	p					g		o
мах. Извлекает текст IJЗ поддерживаемых форматов			df			n		e
				-x cha
файлов, таких как текстовый формат txt, документы MS
Offi.ce, РDF-файлы, электронная почта и многие другие.
Существует также параметр для включения оптиче
ского распознавания символов (OCR). С его помощью
текст может быть извлечен из поддерживаемых типов
изображений. При включение этой функции поиск за
ймет больше времени и результаты не являются совер
шенными.

Модуль идентифицирует файлы формата МВОХ, EML

и PST на основе подписей файлов. Добавляет вложения

вкачестве дочерних элементов сообщений, группирует сообщения в потоки.

Помечает файлы и тома, которые являются зашифрова ными или могут быть такими.

Модуль ищет следующие типы шифрования:

Любой файл, который имеет энтропию, равную или превышающую порог в настройках модуля

Защищенные паролем файлы Office, РDF-файлы и базы данных Access

Разделы BitLocker SQLCipher VeraCrypt

Модуль поиска файлов и каталогов, которые соответ ствуют набору заданных правил (например имя+ тип файла+ размер). Это может быть полезно, если всегда нужно проверить, находятся ли файлы с данным именем в источнике данных, или если тебе интересны файлы определенного типа

Анализирует виртуальные машины, найденные в источ нике данных. Обнаруживает файлы vmdk и vhd и делает локальную копию их, не требует конфигурации.

Использует инструмент Placo с открытым исходным ко дом для анализа различных журналов и типов файлов для извлечения временных меток, визуализирует дан ные в виде гистограммы.

ID--------

··········-············-········---··-···---··--················--······· -'

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Android Analyzer

			hang			e
		C				e	E
	X						E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
			to		BUY
w Click			to
w Click							g				m
Позволяет анализировать SQLite и другие файлы pс							g
w										o
	w									o
	.								.c
		df	-			n		e
устройства Android. Модуль .должен быть способен			-	x cha
устройства Android. Модуль .должен быть способен
извлекать следующие данные: Текстовые сообщения
(SMS / MMS), журнал вызовов, контакты, GPS из брау
зера и Google MapsGPS из кэша.

• Add Oata Source

LtT}'PfofO.taSouпTo

). Selкtt»t8Sals

◄ .lddO.taSca.ru

.а ,_......,

0l'le.Type fla,_.,

0ь:- Ое--

0....еа.-

0Jl'dU'•AN/v18r

0-,-dS-d,

0&.Р.--

0Dr,tкtgn

0lnlantw,g,.. flti,

.0а-C$'11J',l,- !;i)r)'

Е2) 'mullllм.ctir-.Ьti..:tor

Р] 0.1iaScvuln\lt5r'ty s«IКtAI OudIOAI

Рис 6.49. Выбор типа модулей

Нажми кнопку Next - отобразится процесс добавления источника. Этот про цесс может быть довольно длительным, все зависит от размера добавляемых данных (рис. 6.50). В общем, можно пойти выпить чашку кофе и в некоторых случаях - не одну. Далее вы получите сообщение о том, что файлы добавле ны и проанализированы. Не смотря на то, что откроется основное окно про граммы, модули программы все еще работают - анализируют файлы. О ходе процесса информирует индикатор в нижнем правом углу окна программы.

.....
М Add 0.UI Source		х

L	TnieofO.t.SouruTo
1.	SelectO.ta	·
3,,	Conf9.,•JngestМDIUd	·
...	Ad,dD8t;8SotifQt

u., 1'A.oul ..A.NSP'8'11 /N:



•	Рис. 6.50. Добавление источника данных
	·	·	· ·	·	·	111
·----·--·

hang

NOW!

BUY

w Click

-xcha

"Т - 417.0

9,..._,=---,:11:о. .а.._ _·_ --

-•'-'-

useo

foots W.ndow -

•

--- Q \:.,_.,. ---·==----

:li:i it!_...111:1,,

1,- --

,..........

;a- ....f<-

i,. ..-f;po

.,.,._"'-1

-,;il--

"•

3111

. ·--,(

,. __tLl'I

c..(\,·J ..--.s.ьi,,--c,/:1j

!' -

-{.:)

11 , •__,IU

·-

, .........

5or'llltu ,r,,::_,.--(QJ

ifr--

,,__,

Q х

._.___.. .•._.iu. Qi,'foo-4-

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Рис. 6.51. Источник данных анализируется

По мере анализа в дерево слева будут добавляться новые узлы. Сделано это так намеренно: чтобы пока работают другие модули, ты уже мог работать с данными, которые предоставили отработавшие модули.

После отработки модулей видим следующую картину: слева дерево подката логов - справа детальное отражение. Теперь можем приступать к анализу со держимого. Например, в ветке Exracted Content и блоке Operation System Information видим данные домена, имя хоста, версии ОС и т.д.

J/lf •AuUll)JY417.0							-.м • _u..	" х
] -:С0. - с. ,_j,:,.._ ;,L 't : ;;., -- -;-....								- ---·
- -								- ---·
....-
ii! ■ O	-
*•		--		·
--4]		.,
c»'L	--
;j; ......		,.
!r;\11-
	...
--.,,....c-
	('> ......			\ SI<')
	_a,o,_,_,.._._(U
	,t--			o.i
	=:=.
	-t--...мi
	'1(! ,-..-('80)
	't'-..			( Ц	(1'8
	Ql.90.--				(1'8
_ , .__11-il
;;;: -
-
·--				=
=--				=
.	.......		-Ol'I
if,;;. ___tf1
IL8••

					Рис. 6.52. Имя компьютера и операционная система				•
					Рис. 6.52. Имя компьютера и операционная система
ID----------					----- - --	--- - - - - - - - - - - - -- - - - - - - - - - - - --- ------ --	--- - - - - --- - --	-- --- -- ----- .

hang

NOW!

BUY

w Click

Блок Recent Documents содержит список недавних документов, с которыми

w Click

на

работал пользователь - наверняка это и есть самые актуальные

данные

-xcha

-x cha

этом компьютере (рис. 6.53).

Среди последних документов может вызвать

интерес файл с именем пароли.tхt. Загляни, в нем точно будет что-то полез

ное. Недалекий_ пользователь хранил пароли в текстовом файле!

								------··-
						1 : =::::
						lt.--
						,-...........			_,_....
						<( ....--....			'
									]
						Рис. 6.53. Список недавних документов
Блок Deleted Files позволяет nросматривать удаленные файлы (рис. 6.54).
Обрати внимание:						эт_оне корзина.		Файлы в корзине находятся	в ветке
Recycle Bin, а					удаленные файлы - в Deleted Files. Количество удаленных
файлов может быть довольно большим. Попытайся их удалить. С жестким
диском									"-
диском		у тебя должно все получиться, с SSD - далеко не всегда. Если в ка
честве источника данных указать флешку, можно попытаться восстановить
файлы с нее.							11.---
.+-		--•-w--9-::- ...-.					11.---	•-с-
c-v		тoottw. i.w..
-♦-		-				or ,- -	- --		---,
.....			,...
::::::-·-·						.- -
....	-
!,\;,,& .
..-:.
	•""'"""--
		8"Щ
·•<:·:.==._GII
	·--а..
	::...•:			=:::-N
	-t		•«
	:::::. (мt
	,.			jlllQ
;i§=Jo
,	,				_
,
-·•--
	·	-•(О
$ ':.....--11!
а		__
·!'::...
•						Рис. 6.54. Удш енные файлы
						Рис. 6.54. Удш енные файлы
. ------------ -------- ------- -- ..--. --- .---.. -								.-..---....-- .- . - - - ---- ----.-.---.. - --111

hang

NOW!

BUY

w Click

Как

показано, файл, хотя и удален, мы все еще можем просмотреть его содер

w Click

-x cha

-xchaжимое. Для восстановления файла (-ов) выдели его, щелкни правой кнопкой

мыши и выбери команду Extract File (s).

Раздел USB Device Attached содержит список USВ-устройств, которые когда-либо подключались к компу (рис. 6.55). В главе 11 ты узнаешь, как очистить этот список. Мы исследуем тестовую систему, поэтому реальных устройств к ней не подключалось.

---•-а-о-=- ..-· .. -- ...-о.
с..-т--
lii...., .				,- ..
.. : ---				- -о	i:-.......
$ :-:=..--				==
::;=.				,__,.
. -
.....--				·-
·			,..
----f>OO			,..
е• ....	-
'!=.:: .
:.-...;:.,..
·--1.:J
.-		\1.Ю
'== :="
·--:-i
(	(1,6 (1
t,:,	-tl!I
·-
е,.,	--..---••			_
.,.. __,.				_		___
;:::::-IUI						___
:=....-::.
-'-:а::..
,:				"" ili - .		,,.

Рис. 6.55. Список подключавшихся к компьютеру USВ-устройств

Раздел E-mail Adresses содержит адреса электронной почты. Они находи лись на страницах, которые просматривал пользователь, возможно, он с ними контактировал, возможно - нет. Для каждого найденного адреса при водится источник - файл, в котором он был найден.

с-_,__

Ноfр

.. --

·==-:

---9,..,; ::-•- ,., __ .- ,

• ---

•

<\----

1 ""

!.:::"°'

:=..':8"-Q

-----

;: ,..

•О

.......

__ (11

1 . __ !О

t:-;

====

· -

, _

" ' l -l -i -

'"1'.

Рис. 6.56. Электронные адреса

•

18---------------------------------------------------------------------------------

<<< < Предыдущая 4 5 6 7 8 9 10 11 12 13 14 1516 / 3216 17 18 19 20 21 22 23 24 25 26 27 28 > Следующая >>>

Соседние файлы в папке книги хакеры

#
19.04.202413.63 Mб25Полный_мануал_по_кардингу_от_А_до.pdf
#
19.04.20241.21 Mб14Пособие_по_кардингу_Авторская_2021.pdf
#
19.04.202431.35 Mб22практический хакинг.pdf
#
19.04.202414.67 Mб15Сборник ошибок BSOD windows.pdf
#
19.04.202438.41 Mб16Сид Стюард Взломы pdf.pdf
#
19.04.202430.29 Mб17Хакинг на примерах.pdf
#
19.04.20243.16 Mб16Хакинг__искусство_эксплоита.pdf
#
19.04.2024939.81 Кб13Халявный_интернет_и_заразные_соседи_Как_работают_уязвимости_в_сети.pdf
#
19.04.202420.91 Mб14Ханк_Рейнвотер_Как_пасти_котов_Наставление_для_программистов,_руководящих.pdf
#
19.04.20249.09 Mб18Что такое киберпреступность.pdf
#
19.04.202430.29 Mб18Что такое хакинг.pdf