კომპიუტერული ექსპერტიზა
-------------------------
--------------------------------
გამარჯობათ, ეს დღეებია რამდენიმე შეტყობინება შემოდის თუ ხდება კომპიუტერული ექსპერტიზა, შევეცდები დავწერო მიმოხილვა და გასწავლოთ როგორ ხდება კომპიუტერული ექსპერტიზა "компьютерная криминалистика", თითვეული ფაილის გაშიფრა, ლოგების ამოღება და ასე შემდეგ.-------------------------
--------------------------------
პირველ რიგში ჩვენ გვჭირდება ინსტრუმენტი Volatility, რომლის ღია კოდიც გითჰაბზეა, მისი ინტერფეისი შეგვიძლია დავაინსტალიროთ და გამოვიყენოთ როგორც გრაფიკული ისე ვები.
შეგვიძლია გადმოვიწეროთ და გამოვიყენოთ თავისუფლად, კოდი ღიაა და რაც მთავარია მუშა
################################################################
ჩვენ გვეძლევა საშუალება ექსპერტიზა ჩავუტაროთ შემდეგ ოპერაციულ სისტემებს:
32-bit Windows XP Service Pack 2 and 3
32-bit Windows 2003 Server Service Pack 0, 1, 2
32-bit Windows Vista Service Pack 0, 1, 2
32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)
32-bit Windows 7 Service Pack 0, 1
32-bit Windows 8, 8.1, and 8.1 Update 1
32-bit Windows 10 (initial support)
64-bit Windows XP Service Pack 1 and 2 (there is no SP0)
64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)
64-bit Windows Vista Service Pack 0, 1, 2
64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)
64-bit Windows 2008 R2 Server Service Pack 0 and 1
64-bit Windows 7 Service Pack 0 and 1
64-bit Windows 8, 8.1, and 8.1 Update 1
64-bit Windows Server 2012 and 2012 R2
64-bit Windows 10 (including at least 10.0.14393)
64-bit Windows Server 2016 (including at least 10.0.14393.0)
32-bit Linux kernels 2.6.11 to 4.2.3
64-bit Linux kernels 2.6.11 to 4.2.3
32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn't supported)
32-bit 10.6.x Snow Leopard
64-bit 10.6.x Snow Leopard
32-bit 10.7.x Lion
64-bit 10.7.x Lion
64-bit 10.8.x Mountain Lion (there is no 32-bit version)
64-bit 10.9.x Mavericks (there is no 32-bit version)
64-bit 10.10.x Yosemite (there is no 32-bit version)
64-bit 10.11.x El Capitan (there is no 32-bit version)
64-bit 10.12.x Sierra (there is no 32-bit version)
32-bit Windows 2003 Server Service Pack 0, 1, 2
32-bit Windows Vista Service Pack 0, 1, 2
32-bit Windows 2008 Server Service Pack 1, 2 (there is no SP0)
32-bit Windows 7 Service Pack 0, 1
32-bit Windows 8, 8.1, and 8.1 Update 1
32-bit Windows 10 (initial support)
64-bit Windows XP Service Pack 1 and 2 (there is no SP0)
64-bit Windows 2003 Server Service Pack 1 and 2 (there is no SP0)
64-bit Windows Vista Service Pack 0, 1, 2
64-bit Windows 2008 Server Service Pack 1 and 2 (there is no SP0)
64-bit Windows 2008 R2 Server Service Pack 0 and 1
64-bit Windows 7 Service Pack 0 and 1
64-bit Windows 8, 8.1, and 8.1 Update 1
64-bit Windows Server 2012 and 2012 R2
64-bit Windows 10 (including at least 10.0.14393)
64-bit Windows Server 2016 (including at least 10.0.14393.0)
32-bit Linux kernels 2.6.11 to 4.2.3
64-bit Linux kernels 2.6.11 to 4.2.3
32-bit 10.5.x Leopard (the only 64-bit 10.5 is Server, which isn't supported)
32-bit 10.6.x Snow Leopard
64-bit 10.6.x Snow Leopard
32-bit 10.7.x Lion
64-bit 10.7.x Lion
64-bit 10.8.x Mountain Lion (there is no 32-bit version)
64-bit 10.9.x Mavericks (there is no 32-bit version)
64-bit 10.10.x Yosemite (there is no 32-bit version)
64-bit 10.11.x El Capitan (there is no 32-bit version)
64-bit 10.12.x Sierra (there is no 32-bit version)
ახლა კი შევეცდები ძალიან მოკლედ გავაკეთო მიმოხილვა რისი საშუალება გვაქვს კომპიუტერული ექსპერტიზით
• imageinfo - ეს მოდული ყველაზე ხშირად გამოიყენება მეხსიერების ნიმუშის მოკლე აღწერაზე, ოპერაციული სისტემის საიდენტიფიკაციო, განახლების პაკეტის, არქიტექტურის შესახებ.
• envars - სესიის სახელი, კომპიუტერის სახელი, მომხმარებლის სახელი
• kdbgscan - წინა მოდულისგან განსხვავებით, ეს უფრო დეტალური ან უფრო სწორად ანალიზისა და განმარტებისთვის გამოიყენება
• PsList - გამოიყენება სისტემაში პროცესების, პროცესის სახელი, პროცესი ID, პლატის პროცესი ID, თემების რაოდენობა, აღწერის რაოდენობა და თარიღი / დრო, როდესაც პროცესი დაიწყო და შეწყდა, ანუ ვარკვევთ გარკვეული ოპერაცია რამდენი ხნის განმავლობაში მიმდინარეობდა
• dlllist - DLL ფაილების სრული ანალიზი, შიგთავსი, დატვირთვა და მოქმედების შედეგის გამოტანა~
• dlldump - დამახსოვრებული პროცესების ჩამოტვირთვა, დადამპვა
• cmdscan - ეს ერთ ერთი გამორჩეული მოდულია, გამოვარჩევთ RDP(Remote Desktop Protocol) - ის საშუალებით რა ბრძანება განხორციელდა, მოკლედ გამოაქვს CMD ბრძანებების ჩანაწერები
• connections - TPC/UDP კავშირების შემოწმება, მაგრამ უნდა იცოდეთ რომ ეს ბრძანება მარტო მოდიფიცირებულია Windows XP, Windows Server x86/x64
• hashdump - აექსტაქტებს და დეკრიპტაციას უკეთებს დომეინების ქეშებს, რომელიც ინახება რეესტრსში
• mbrparser - ასკანირებს და ანალიზს უკეთებს პოტენციურ ჩანაწერებს მთავარ ჩანატვირთებში(MBR ფორმატში)
• envars - სესიის სახელი, კომპიუტერის სახელი, მომხმარებლის სახელი
• kdbgscan - წინა მოდულისგან განსხვავებით, ეს უფრო დეტალური ან უფრო სწორად ანალიზისა და განმარტებისთვის გამოიყენება
• PsList - გამოიყენება სისტემაში პროცესების, პროცესის სახელი, პროცესი ID, პლატის პროცესი ID, თემების რაოდენობა, აღწერის რაოდენობა და თარიღი / დრო, როდესაც პროცესი დაიწყო და შეწყდა, ანუ ვარკვევთ გარკვეული ოპერაცია რამდენი ხნის განმავლობაში მიმდინარეობდა
• dlllist - DLL ფაილების სრული ანალიზი, შიგთავსი, დატვირთვა და მოქმედების შედეგის გამოტანა~
• dlldump - დამახსოვრებული პროცესების ჩამოტვირთვა, დადამპვა
• cmdscan - ეს ერთ ერთი გამორჩეული მოდულია, გამოვარჩევთ RDP(Remote Desktop Protocol) - ის საშუალებით რა ბრძანება განხორციელდა, მოკლედ გამოაქვს CMD ბრძანებების ჩანაწერები
• connections - TPC/UDP კავშირების შემოწმება, მაგრამ უნდა იცოდეთ რომ ეს ბრძანება მარტო მოდიფიცირებულია Windows XP, Windows Server x86/x64
• hashdump - აექსტაქტებს და დეკრიპტაციას უკეთებს დომეინების ქეშებს, რომელიც ინახება რეესტრსში
• mbrparser - ასკანირებს და ანალიზს უკეთებს პოტენციურ ჩანაწერებს მთავარ ჩანატვირთებში(MBR ფორმატში)
ეს და კიდევ სხვა ბევრი ფუნქცია აქვს, რის ჩამოთვლასაც დიდხანს ვერ დავამთავრებ
იხილეთ გადმოსაწერი და დასანკოფიგურირებელი ლინკები
Code:
sudo apt-get install python-dev python-pip git libimage-exiftool-perl mongodb docker docker-containerd
git clone https://github.com/kevthehermit/VolUtility.git
cd VolUtility
sudo pip install -r requirements.txt4
service mongodb start
sudo docker-containerd run -d -p 27017:27017 --name vol-mongo mongo
python manage.py -h
python manage.py runserver
გისურვებთ წარმატებას
მომავალში ექსპერტიზის სხვა მეთოდსაც შემოგთავაზებთ მადლობთ ყურადღებისთვის
