【OSG】苹果FSEvent深层文件系统调用记录方法论

Apple FSEvents Forensics

没有相关文档、未被探索、利用不足,这就是 FSEvents 目前的状况。Apple FSEvents 或者说文件系统对于每个苹果取证人员而言都是非常宝贵的证物,它记录着文件系统发生的变化。在这篇文章中,我将对存储在磁盘中的 FSEvents 日志做简要概述,包括 FSEvents 的背景知识和行为。本文主要基于 OS X,但也涉及到 iOS。

本文讨论的主题包括:

  • FSEvents 介绍
  • FSEvents 位置
  • FSEvents 结构
  • FSEvents 行为
  • 解析 FSEvents
  • 有趣的事件
  • [……]

[阅读全部]

CryKeX:Linux内存加密密钥提取工具

今天给大家介绍的是一款名叫CryKeX的工具,大家可以使用该工具从任何基于Unix操作系统的运行内存中提取出加密密钥。

1.png

CryKeX特性

1.   跨平台

2.   简单实用

3.   交互性强

4.   兼容性/可移植性强

5.   应用程序独立

6.   进程封装/注入

依赖条件

1.   Unix-理论上说,该工具可在任何基于Unix的操作系统平台上正常工作。

2.   BASH-支持所有脚本的运行。

3.   Root权限(可选项)

限制条件

1.   仅支持AES和RSA密钥

2.   目前对Firefox浏览器的支[……]

[阅读全部]

如何使用Netcat将Android文件系统镜像直接转移到本地系统

222.png

首先,你需要了解以下关于Netcat的一些事情…

无论是安全管理员还是恶意攻击者,他们都需要想办法利用类似TCP或UDP协议来读取或向一个网络连接中写入内容,虽然他们获取这些数据的目的可能会不一样。

Netcat提供了一种非常高效的网络分析方法(从后端到服务器),并且能够使用刚才所提到的协议在目标网络中建立新的连接。除此之外,它不仅能够单独运行,而且还可以通过脚本或其他程序来执行。

Netcat的部分功能如下:

1.      建立或读取通过任意端口的网络连接(TCP或UDP)。

2.      通过其他程序建立连接。

3.      以随机的方式扫描端口[……]

[阅读全部]

强大的开源网络侦查工具:IVRE

IVRE简介

IVRE(又名DRUNK)是一款开源的网络侦查框架工具,IVRE使用Nmap、Zmap进行主动网络探测、使用Bro、P0f等进行网络流量被动分析,探测结果存入数据库中,方便数据的查询、分类汇总统计。

网上已有部分文章对IVRE的使用做介绍,由于文章时间较早,IVRE的安装、命令执行等均有所改变,本文使用最新版IVRE做讲解,并增加部分其它文章未提及的Nmap模板参数设置、Web界面搜索使用等内容。

IVRE官方网站:https://ivre.rocks

GitHub:https://github.com/cea-sec/ivre

IVRE安装

使用Dock[……]

[阅读全部]

基于统计学的Hashcat密码生成规则:Hob0Rules

上一篇文章中,介绍了开源的密码破解分析平台——Hashview,Hashview基于hashcat,可以使用字典、掩码、暴力破解、字典规则多种方式对密码破解。工具有了,还需要一个强大的字典,针对个人的字典的制作可以使用CUPP,而在企业环境的弱密码检测工作中,CUPP并不是很适合,这时我们可以使用另一套简单的hashcat规则生成字典,这就是本篇文章将要介绍的Hob0Rules。

项目地址

https://github.com/praetorian-inc/Hob0Rules

Hob0Rules简介

Hob0Rules是一套基于统计学的hashcat密码生成规则,这套规则的更多详细内容[……]

[阅读全部]

开源密码破解及分析工具Hashview

Hashview是一款开源的密码破解及分析工具,其密码破解功能基于世界上最快的密码破解软件——hashcat。Hashview可以通过Web界面方便的进行密码破解任务建立、进度查询,密码破解后存储于数据库中,系统对破解出来的密码进行多个维度的汇总分析,并生成各类统计图表。

关于这款工具的更多介绍,可从Hashview官网了解。

下面开始介绍该工具的安装及使用,本示例基于Kali 2017.2,Nvidia 970独显。

Hashview安装需求

  1. Hashcat已安装并能正常工作

    Hashcat的强大破解能力依赖于显卡的GPU浮点运算,建议直接在物理机上安装Kali和显[……]

[阅读全部]

著名开源网络取证工具Xplico远程未授权RCE漏洞

著名开源网络取证工具Xplico远程未授权RCE漏洞

著名Linux开源网络取证工具Xplico可以捕获Internet网络应用层流量,通过流量解析,解析出网络包中的各种应用数据。例如,可以从Pcap文件包中解析出IP流量数据,也可以从POP、IMAP和SMTP协议中解析出邮件HTTP内容以及VOIP应用等。近期,我们团队发现了Xplico的一个远程未授权RCE漏洞。

漏洞信息

远程利用: 是

授权需要: 否

漏洞影响:Xplico

CVSSv3漏洞评分: 9.0 (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H/E:H/RL:U)

发现日期:2017.10.31

技[……]

[阅读全部]

如何使用Windows卷影拷贝服务恢复文件和文件夹

1.png

什么是卷影拷贝?

从Windows XP SP2和Windows Server 2003开始,微软就向Windows操作系统中引入了一项名叫卷影拷贝的服务(Volume Shadow Copy Service-VSS)。这种服务允许Windows系统以自动或手动的方式对文件或磁盘卷宗的当前状态进行备份(或快照),需要注意的是,在这个过程中,即使文件处于打开状态下该服务仍然可以直接进行文件备份。

当这些备份文件被创建之后,它们会被保存在一个特殊的容器中,即卷影拷贝(Volume Shadow Copy)。备份软件、实用工具或Windows系统都可以使用这些卷影拷贝来恢复已被删除或以某种形[……]

[阅读全部]

如何使用树莓派自制网络监视器

本文所介绍的工具适合家庭环境下的“黑盒测试”,它可以帮助你记录网络中发生的所有事情。你可以用它来检测网络威胁,或将数据提供给相关专家来进行网络取证分析。

如何使用树莓派自制网络监视器

如果你需要的是企业环境下的解决方案,你可以参考Security Onion的【这篇文章】。

购物清单

1.      树莓派3 (外壳+电源+电路板)

2.      闪迪Class 10 microSD卡 64GB(80Mb/s)

3.      Debian OS-Linux RaspbianLite

4.      网件千兆交换机或其他支持端口镜像的设备,我使用的是D-Link1100-08P[……]

[阅读全部]

网络取证原理与实战

网络取证原理与实战

一、分析背景

网络取证技术通过技术手段,提取网络犯罪过程中在多个数据源遗留下来的日志等电子证据,形成证据链,根据证据链对网络犯罪行为进行调查、分析、识别,是解决网络安全问题的有效途径之一。目前,传统的计算机取证模型和方法比较成熟,而应用于大数据时代则需要OSSIM等集成分析平台对海量数据尽心网络取证分析。

二、取证分析特点

网络取证不同于传统的计算机取证,主要侧重于对网络设施、网络数据流以及使用网络服务的电子终端中网络数据的检测、整理、收集与分析,主要针对攻击网络服务(Web服务等)的网络犯罪。计算机取证属于典型的事后取证,当事件发生后,才会对相关的[……]

[阅读全部]