Rainbow Fridays #4

Wyłączyć system brutalną mocą! | fmem - moduł jądra Linux, który umożliwia bezpośredni dostęp do pamięci fizycznej systemu. Tworzy on wirtualne urządzenie /dev/fmem, które pozwala na uzyskanie pełnego obrazu pamięci RAM

Slack space is leftover storage that exists because files do not take up the entire space allocated form them. Since the Unallocated partition does not have a filesystem on it, space there should not be considered slack space. Both System Reserved and C: are formatted with NTFS an will have slack space between files. -------------------- Termin „Slack space” w języku polskim najczęściej tłumaczy się jako „przestrzeń szczątkowa” lub „luźna przestrzeń”. Odnosi się on do nieużywanego obszaru na dysku twardym, który znajduje się pomiędzy końcem pliku a końcem przydzielonego mu klastra.-------------Przestrzeń szczątkowa: W systemach plików, pliki są przechowywane w jednostkach zwanych klastrami. Jeśli plik nie wypełnia całego klastra, reszta tej przestrzeni pozostaje niewykorzystana. Ta niewykorzystana przestrzeń nazywana jest przestrzenią szczątkową. Na przykład, jeśli plik zajmuje 1000 bajtów, a rozmiar klastra to 4096 bajtów, to 3096 bajtów pozostaje nieużywane.

PKI (Public Key Infrastructure) to system zarządzania kluczami kryptograficznymi, który umożliwia bezpieczną wymianę informacji w środowiskach cyfrowych. -------------------------- The first log entry indicates that the user made use of public key encryption (PKI) to authenticate the connection. The user, therefore, possessed the private key that corresponded to a public key stored on the server and associated with the user.-------------------Pierwszy wpis w dzienniku wskazuje, że użytkownik użył szyfrowania klucza publicznego (PKI) do uwierzytelnienia połączenia. Użytkownik posiadał zatem klucz prywatny, który odpowiadał kluczowi publicznemu przechowywanemu na serwerze i powiązanemu z użytkownikiem.

Detection systems placed in otherwise unused network space will detect scans that blindly traverse IP address ranges. Since no public services are listed, attackers who scan this range can be presumed to be hostile and are often immediately blocked by security davices that protect production systems. ------------- Systemy wykrywania umieszczone w nieużywanej przestrzeni sieciowej wykryją skanowanie, które bezmyślnie przechodzi przez zakresy adresów IP. Ponieważ na liście nie ma żadnych usług publicznych, można założyć, że osoby atakujące skanujące ten obszar są wrogie i często są natychmiast blokowane przez urządzenia zabezpieczające chroniące systemy produkcyjne.

Selah should check the error log to determine what web page or file access resulted in 404 “not found” errors. The errors may indicate that a page is mislinked, but it may also indicate a scan occurring against her web server.

This system is not connected to a domain (default domain name has no value), and the default user is admin.

Most portable consumer devices, especially those that generate large files, format their storage as FAT32. FAT16 is limited to 2GB partitions, RAW is a photo file format, and HFS+ is the native macOS file format. Lauren can expect most devices to format media as FAT32 by default because of its broad compatibility across devices and operating systems.

MD5, SHA-1, and SHA-2 hashes are all considered forensically sound. While MD5 hashes are no longer a secure means of hashing, they are still considered appropriate for validation of forensic images because it is unlikely that an attacker would intentionally create a hash collision to falsify the forensic integrity of a drive.

The space that Saria sees is the space between the end of the file and the space allocated per cluster or block. This space may contain remnants of previous files written to the cluster or block or may simply contain random data from when the disk was formatted or initialized.

Each antivirus or anti-malware vendor uses their own name for malware, resulting in a variety of names showing for a given malware package or family. In this case, the malware package is a ransomware package; that is known by some vendors as GoldenEye or Petya.

All of the tools listed have forensic imaging capabilities, but dd is a disk duplicating tool that is built into most Linux systems.

The interface shown in the picture is Splunk, a SIEM that specializes in visual search and allows analysts to comb through massive quantities of information in an intuitive way. Kiwi and other Syslog tools allow the collection and analysis of this information but do not provide the visual interface used in Splunk. Sysinternals does not include a log analysis tool.

This image shows a SYN-based port scan. The traffic is primarily made up of TCP SYN packets to a variety of common ports, which is typical of a SYN-based port scan.

Any addresses in the 10.x.x.x, 172.16.x.x, and 192.168.x.x ranges are private IP addresses that are not routable over the Internet. Therefore, of the addresses listed, only 12.8.1.100 could originate outside the local network.

Chris needs both /etc/passwd and /etc/shadow for John to crack the passwords. While only hashes are stored, John the Ripper includes built-in brute-force tools that will crack the passwords.

The order of volatility for media from least to most volatile is often listed as backups and printouts; then disk drives like hard drives and SSDs; then virtual memory; and finally CPU cache, registers, and RAM. Artifacts stored in each of these locations can be associated with the level of volatility of that storage mechanism. For example, routing tables will typically be stored in RAM, making them highly volatile. Data stored on a rewriteable media is always considered more volatile than media stored on a write-only media.--------------------------- Kolejność lotności nośników od najmniej do najbardziej lotnych jest często wymieniana jako: kopie zapasowe i wydruki; następnie dyski, takie jak dyski twarde i SSD; potem pamięć wirtualna; a na końcu pamięć podręczna CPU, rejestry i RAM. Artefakty przechowywane w każdej z tych lokalizacji mogą być związane z poziomem lotności danego mechanizmu przechowywania. Na przykład, tablice routingu są zazwyczaj przechowywane w RAM, co czyni je wysoce lotnymi. Dane przechowywane na nośnikach, które można ponownie zapisywać, są zawsze uważane za bardziej lotne niż dane przechowywane na nośnikach, które można tylko zapisać raz.

The SAM is stored in C:WindowsSystem32config but is not accessible while the system is booted. The hashed passwords are also stored in the registry at HKEY_LOCAL_ MACHINESAM but are also protected while the system is booted. The best way to recover the SAM is by booting off of removable media or using a tool like fgdump.

The ifconfig command displays information about network interfaces on a Linux system. The ipconfig command displays similar information on Windows systems. tcpdump is a packet capture tool and iptables is a Linux firewall.

D i E

A i D