Anti-Forensics: Leveraging OS and File System Artifacts

Hola,

I know it seems that the zone has been abandoned for a year, and that is why I didn’t want the year to end without posting anything. Anyway, this presentation has been covered in Feb-2016, and thought why not share it with the DFIR community, maybe it will be useful to someone out there.

Presentation title: Anti-Forensics: Leveraging OS and File System Artifacts.

It doesn’t cover all the anti stuff, but it is a good start.

Enjoy…

Digital Forensic Challenge #4

The Case:
A company’s web server has been breached through their website. Our team arrived just in time to take a forensic image of the running system and its memory for further analysis. The files can be found below:
1- System Image: here
2- System Memory: here
3- Hashes: here
4- Passwords = [email protected]
Continue reading

Forensic Analysis: Creating User GUI vs CLI

Hello,

This is my first forensic analysis post in English; as I’m sure you noticed by now that all of it is in Arabic; so excuse me for my bad English :)

The whole idea came out when @azeemnow asked the #DFIR community the following:
how can you tell the difference between a Windows account created from cmdline vs GUI interface?
Found here: URL

I tried to help by giving ideas, but it seems they didn’t help solve the case! So I said to myself why not replicate the process and do some checks!

Actions below done not in exact listed order (more later)!!!
1- Started a cmd.exe with Administration priveleges, and executed:
net user cmduser cmduser /add
2- From the Windows Control Panel and using the User Account applet, I added a user named guiuser.

Now; the first idea I had in mind is I thought that checking the system logs alone was enough to find clues about the exact location of execution & creation. I was wrong about that! Both log entries showed no difference at all except the username for sure :)
Continue reading

Network Forensics Challenge 1

كالعادة، الغياب عن هذا المكان أصبح شيء روتيني :)

على كل حال …

قمنا بوضع تحدي على موقع مجتمع الحماية العربي يمكنكم الوصول له من هنا … الى هذه اللحظة لم يقم بحل التحدي سوى شخصين، أحداهم هي طالبتي والثاني هو أحد الأخوة من زوار الموقع … ما لاحظته من خلال فترة تدريسي في مختلف الأماكن وعلى مختلف المستويات بإن هناك ضعف كبير لدى الطلاب والناس في تحليل الحزم وكذلك تحليل البيانات على الشبكة … لا أدعي بإني أفهم كل شيء طبعاً، فأنا لازلت أعتبر نفسي أحد الباحثين عن المعرفة، ولكن هناك فعلا ضعف كبير في هذا الجانب …

أسهل طريقة للتعلم هي من خلال التجربة … ولهذا أنصح بتحميل Wireshark إن لم تكن قد حصلت عليه بالفعل من قبل، وأن تبدأ عملية التجربة في حفظ الحزم التي على شبكتك وقراءة ما تستطيع قرائته وذلك من خلال الرجوع الى المستندات وكذلك RFCs لهذه البروتوكولات التي ستظهر لديك … أعتقد طريقة التعلم من خلال التجربة ستكون الأفضل والأسرع ليس فقط لتعلم ما هو جديد، ولكن لتعلم ما هي الأخطاء التي ممكن تمر أمامك وتعرف حلولها وأنت ماشي!

التدوينة هذه لمجرد التذكير بالتحدي الذي تبقى عليه 4 أيام …

دمتم بود

Disable Automount for SIFT

مشكلة بسيطة في إستعمال SANS Investigation Forensic Toolkit أو ما يسمى SIFT تكمن في عمل ربط mount للأجهزة الخارجية مثل USB بشكل تلقائي وهذا أمر سيء في مجال الـ Digital Forensics ولهذا لحل هذه المشكلة، كل ما عليك فعله هو:

gconftool-2 --type bool --set /apps/nautilus/preferences/media_automount false
gconftool-2 --type bool --set /apps/nautilus/preferences/media_automount_open false
gconftool-2 --type bool --set /apps/nautilus/preferences/media_automount_never false

هذه المشكلة لمن يستعملون SIFT بداخل Virtualbox ولربما مع منتجات VMWare كذلك … تم تجربة هذه الحلول على المستخدم sansforensics …

بعد ذلك لقيامك بربط الجهاز mount بشكل يدوي، يمكنك الرجوع الى مقالة Rob Lee على موقع مدونة SANS الخاصة بالـ Computer Forensics هنا

Pages: 1 2 Next