Купить дедик, RDP, сервер
F

FRANKENSTEIN

Cyber-Forensics-Analysis.png

Область анализа компьютерной криминалистики включает идентификацию, извлечение, документирование и сохранение информации, которая хранится или передается в электронном или магнитном виде (то есть цифровом доказательства)

Анализ Судебной Экспертизы-Изменчивые Данные:
  • Данные, хранящиеся во временном хранилище в памяти системы (включая оперативную память, кэш-память и встроенную память системные периферийные устройства, такие как видеокарта или сетевой адаптер), называются энергозависимыми данными, потому что память зависит от электроэнергии для хранения ее содержимого.
  • Когда система выключена или если питание нарушено, данные исчезают.
Как собирать изменчивые данные:
  • Есть много инструментов для сбора энергозависимой памяти для живой судебной экспертизы или реагирования на инциденты.В этом, мы собираемся использовать инструмент Belkasoft live ram Capture.
  • После захвата живых данных памяти произвольного доступа мы проанализируем с помощью инструмента Belkasoft Evidence Center Ultimate.
Получение оперативной энергозависимой памяти:
Запустите средство от имени администратора и запустите захват.

1558979302369.png

Формат Файла Дампа:
После успешного захвата оперативной памяти. Файл будет сохранен .mem расширение

1558979339812.png

Анализатор Файлов Доказательств:
Belkasoft Evidence Center Ultimate инструмент для анализа энергозависимой памяти.

1558979372626.png

Как судебно-медицинский эксперт или инцидент ответчик должен записывать все о внешнем виде физического устройства, номер корпуса, номер модели ноутбука или рабочий стол etc.

1558979407133.png

Нажмите на изображение ОЗУ и введите путь .mem-файл, который является файлом дампа оперативной памяти.

Вредоносные действия на общедоступном веб-сайте

web-site.png

На этом рисунке выше злоумышленник пытается выполнить SQL-инъекцию на общедоступном веб-сайте.

Анонимный Vpn

Anonymous-Vpn.png

На этом рисунке выше злоумышленник установил и выполнил CyberGhost Vpn для скрытия исходного ip-адреса.

Почтовый Ящик

1558979842458.png

Злоумышленник вошел в систему с некоторыми общедоступными почтовыми серверами, теперь судебно-медицинский эксперт может читать входящие письма.

Доступ К Последним Файлам

1558979883283.png

Злоумышленники в последний раз обращались к каталогам файлов.Судебно-медицинская экспертиза эксперт будет иметь приоритет, чтобы исследовать этот путь для подозрительных файлов .

Фотографии

Pictures.png

Последние фотографии, загруженные с веб-сайтов, которые будут храниться в кэш-памяти.

Есть много относительно новых инструментов, которые были разработаны для
восстановления и анализа информации, которая может быть получена из энергозависимой памяти.

Это относительно новая и быстро растущая область, которую многие судебные аналитики не знают или не используют
в своих интересах эти активы.

Энергозависимая память может содержать много частей информации, относящейся к судебно-медицинской экспертизе, таких как пароли, криптографические ключи и другие данные.