მოგესალმებათ CYBSECGROUP ფორუმი
№1 კიბერ ფორუმი საქართველოში, თქვენ გაქვთ შესაძლებლობა გაეცნოთ საინტერესო პროექტებს, საინტერესო გარემოში
რეგისტრაცია

კომპიუტერული ექსპერტიზა / Volatility

Dimitri Khetaguri

From Darkness to Light
Founder CEO
ივნ 24, 2018
188
302
Georgia, Tbilisi
KhetaguriDimitri.GitHub.io
#1
კომპიუტერული ექსპერტიზა
-------------------------


volatility.jpg
--------------------------------
გამარჯობათ, ეს დღეებია რამდენიმე შეტყობინება შემოდის თუ ხდება კომპიუტერული ექსპერტიზა, შევეცდები დავწერო მიმოხილვა და გასწავლოთ როგორ ხდება კომპიუტერული ექსპერტიზა "компьютерная криминалистика", თითვეული ფაილის გაშიფრა, ლოგების ამოღება და ასე შემდეგ.

პირველ რიგში ჩვენ გვჭირდება ინსტრუმენტი Volatility, რომლის ღია კოდიც გითჰაბზეა, მისი ინტერფეისი შეგვიძლია დავაინსტალიროთ და გამოვიყენოთ როგორც გრაფიკული ისე ვები.

შეგვიძლია გადმოვიწეროთ და გამოვიყენოთ თავისუფლად, კოდი ღიაა და რაც მთავარია მუშა (y)


volatility.png

################################################################
ჩვენ გვეძლევა საშუალება ექსპერტიზა ჩავუტაროთ შემდეგ ოპერაციულ სისტემებს:
32-bit Windows XP Service Pack 2 and 3
32-bit Windows 2003 Server Service Pack 0, 1, 2
32-bit Windows Vista Service Pack 0, 1, 2
32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)
32-bit Windows 7 Service Pack 0, 1
32-bit Windows 8, 8.1, and 8.1 Update 1
32-bit Windows 10 (initial support)
64-bit Windows XP Service Pack 1 and 2 (there is no SP0)
64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)
64-bit Windows Vista Service Pack 0, 1, 2
64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)
64-bit Windows 2008 R2 Server Service Pack 0 and 1
64-bit Windows 7 Service Pack 0 and 1
64-bit Windows 8, 8.1, and 8.1 Update 1
64-bit Windows Server 2012 and 2012 R2
64-bit Windows 10 (including at least 10.0.14393)
64-bit Windows Server 2016 (including at least 10.0.14393.0)
32-bit Linux kernels 2.6.11 to 4.2.3
64-bit Linux kernels 2.6.11 to 4.2.3
32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn't supported)
32-bit 10.6.x Snow Leopard
64-bit 10.6.x Snow Leopard
32-bit 10.7.x Lion
64-bit 10.7.x Lion
64-bit 10.8.x Mountain Lion (there is no 32-bit version)
64-bit 10.9.x Mavericks (there is no 32-bit version)
64-bit 10.10.x Yosemite (there is no 32-bit version)
64-bit 10.11.x El Capitan (there is no 32-bit version)
64-bit 10.12.x Sierra (there is no 32-bit version
)

ახლა კი შევეცდები ძალიან მოკლედ გავაკეთო მიმოხილვა რისი საშუალება გვაქვს კომპიუტერული ექსპერტიზით

• imageinfo - ეს მოდული ყველაზე ხშირად გამოიყენება მეხსიერების ნიმუშის მოკლე აღწერაზე, ოპერაციული სისტემის საიდენტიფიკაციო, განახლების პაკეტის, არქიტექტურის შესახებ.
• envars - სესიის სახელი, კომპიუტერის სახელი, მომხმარებლის სახელი
• kdbgscan - წინა მოდულისგან განსხვავებით, ეს უფრო დეტალური ან უფრო სწორად ანალიზისა და განმარტებისთვის გამოიყენება
• PsList - გამოიყენება სისტემაში პროცესების, პროცესის სახელი, პროცესი ID, პლატის პროცესი ID, თემების რაოდენობა, აღწერის რაოდენობა და თარიღი / დრო, როდესაც პროცესი დაიწყო და შეწყდა, ანუ ვარკვევთ გარკვეული ოპერაცია რამდენი ხნის განმავლობაში მიმდინარეობდა
• dlllist - DLL ფაილების სრული ანალიზი, შიგთავსი, დატვირთვა და მოქმედების შედეგის გამოტანა~
• dlldump - დამახსოვრებული პროცესების ჩამოტვირთვა, დადამპვა
• cmdscan - ეს ერთ ერთი გამორჩეული მოდულია, გამოვარჩევთ RDP(Remote Desktop Protocol) - ის საშუალებით რა ბრძანება განხორციელდა, მოკლედ გამოაქვს CMD ბრძანებების ჩანაწერები
• connections - TPC/UDP კავშირების შემოწმება, მაგრამ უნდა იცოდეთ რომ ეს ბრძანება მარტო მოდიფიცირებულია Windows XP, Windows Server x86/x64
• hashdump - აექსტაქტებს და დეკრიპტაციას უკეთებს დომეინების ქეშებს, რომელიც ინახება რეესტრსში
• mbrparser - ასკანირებს და ანალიზს უკეთებს პოტენციურ ჩანაწერებს მთავარ ჩანატვირთებში(MBR ფორმატში)

ეს და კიდევ სხვა ბევრი ფუნქცია აქვს, რის ჩამოთვლასაც დიდხანს ვერ დავამთავრებ :D

იხილეთ გადმოსაწერი და დასანკოფიგურირებელი ლინკები

Code:
sudo apt-get install python-dev python-pip git libimage-exiftool-perl mongodb docker docker-containerd

git clone https://github.com/kevthehermit/VolUtility.git

cd VolUtility

sudo pip install -r requirements.txt4

service mongodb start

sudo docker-containerd run -d -p 27017:27017 --name vol-mongo mongo

python manage.py -h

python manage.py runserver
მაგალითი:

Выделение_014.png

გისურვებთ წარმატებას (y) მომავალში ექსპერტიზის სხვა მეთოდსაც შემოგთავაზებთ (y) მადლობთ ყურადღებისთვის
 

p41k

SuperUser 🐱‍💻
CSG Member
Alien 👽
აგვ 3, 2018
25
13
#4
კარგია, შემდეგსაც დიდი სიამოვნებით წავიკითხავდი, სხვა მეთოდებზეც დაწერეთ, საინტერესოა (y)
 

W0RLD3ND3R

Hacktivist 🌐
აქტიური მომხმარებელი
Alien 👽
ივნ 30, 2018
90
73
#5
:D რა რუსულს ვერ შეეშვლა?
რუსულის პიარს მაშინ როცა ქართული სიტყვებითაც შეიძლება აზრის გადმოცემა. თორემ ენის ცოდნა კარგია, მტრის ენის მითუმეტეს ;)
 
მოწონებები: p41k