Drop to DOS programı ile artık hangi klasörde komut satırına düşmek
istiyorsanız o klasörün üzerinde fare ile sağ tuşuna basarak bunu
kolaylıkla yapabileceksiniz. Program Windows işletim sistemlerine
çalışır. Vista ve 7 için uyumluluk modunu Windows XP Service pack 2
yaparsanız çalışır.
örneğin komut satırını açmak için Başlat->Çalıştır–>cmd.exe
yazıp çalıştırdığınızda aşağıda gelen ekrandan sonra gitmek istediğiniz
dizin için belki bi ton cd komutu kullanacaksınız.
Drop to DOS ile sadece gideceğiniz klasör üstünde sağ tuşuna basınız.
Drop to DOS komutuna basınız ve o klasörün komut satırına düşünüz.
programı indirmek için:DOSDROP.ZIP
prgramı bir klasörde açıp uyumluk Windows xP SP2 yapıp yönetici olarak
çalıştır dedikten sonra programı çalıştırın ve “Activate” komutuna
basın. Artık bir klasör üzerine sağ tuşuna bastığınızda Drop to DOS
aktif olarak görünecektir. Programı kaldırmak için tekrar çalıştırıp
“Deactivate” komutuna basın.
Adli Bilişim üzerine yazıların ve çalışmaların yayınlandığı bir blog.
27 Ocak 2013 Pazar
5 Ocak 2013 Cumartesi
CryptoSearch
CryptoSearch şifreli/parola korumalı dosyaları bulan bir programdır.Desteklediği dosya türleri: Word, Excel, Powerpoint, Access, Outlook, Zip, Rar, Pdf ve PGP'dir. Net Framework 2.0 gerektirir.
indirmek için:CryptoSearch.zip
indirmek için:CryptoSearch.zip
Hikdivision DVR kayıt logları
Hikdivision DVR cihazının (modelini hatırlamıyorum) kayıt yaptığı sabit diskin birebir kopyası içerisinde kayıtların başlangıç ve bitiş tarihlerini tersine mühendislik yaparak bulmuştum. Kayıtların tarihlerinin bulunduğu ilk satırda hexadecimal sistemde şu veriler vardı. Örnek:
04 98 42 4E 80 AC 42 4E 4A 00 00 00 0A
Bu örnek veri bir kayıta ait başlangıç ve bitiş tarihi, kamera no ve kaydın tutulduğu dosya adı bilgilerini tutuyor. Buna göre gerekli parse işlemleri sonunda;
kodlar aşağıdadır:
using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Text;
using System.Windows.Forms;
using System.IO;
namespace WindowsFormsApplication2
{
public partial class Form1 : Form
{
public Form1()
{
InitializeComponent();
}
string ReverseString(string str)
{
//str katar
//01234567 01234567
//0498424E 4E429804
char[] katar = new char[str.Length];
for (int i = 0; i < str.Length/2; i++)
{
katar[2 * i] = str[str.Length - 2*i - 2];
katar[2 * i + 1] = str[str.Length - 2*i-1];
}
return new string(katar);
}
private void button1_Click(object sender, EventArgs e)
{
string baslama, bitis, dosyano, kamera;
string satir = "";
StreamReader st = new StreamReader("dosya.txt");
while ((satir=st.ReadLine())!=null)
{
satir = satir.Replace(" ", "");
baslama = satir.Substring(0, 8);
baslama = ReverseString(baslama);
int sayi=int.Parse(baslama, System.Globalization.NumberStyles.HexNumber);
textBox1.Text = ConvertFromUnixTimestamp((double)sayi).ToString();
bitis = satir.Substring(8, 8);
bitis = ReverseString(bitis);
sayi = int.Parse(bitis, System.Globalization.NumberStyles.HexNumber);
textBox2.Text = ConvertFromUnixTimestamp((double)sayi).ToString();
dosyano = satir.Substring(16, 8);
dosyano = ReverseString(dosyano);
sayi = int.Parse(dosyano, System.Globalization.NumberStyles.HexNumber);
textBox3.Text = "hik"+sayi.ToString();
kamera = satir.Substring(24, 2);
kamera = ReverseString(kamera);
sayi = int.Parse(kamera, System.Globalization.NumberStyles.HexNumber);
textBox4.Text = sayi.ToString();
}
st.Close();
}
DateTime ConvertFromUnixTimestamp(double timestamp)
{
DateTime origin = new DateTime(1970, 1, 1, 0, 0, 0, 0);
return origin.AddSeconds(timestamp);
}
double ConvertToUnixTimestamp(DateTime date)
{
DateTime origin = new DateTime(1970, 1, 1, 0, 0, 0, 0);
TimeSpan diff = date - origin;
return Math.Floor(diff.TotalSeconds);
}
}
}
04 98 42 4E 80 AC 42 4E 4A 00 00 00 0A
Bu örnek veri bir kayıta ait başlangıç ve bitiş tarihi, kamera no ve kaydın tutulduğu dosya adı bilgilerini tutuyor. Buna göre gerekli parse işlemleri sonunda;
kodlar aşağıdadır:
using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Text;
using System.Windows.Forms;
using System.IO;
namespace WindowsFormsApplication2
{
public partial class Form1 : Form
{
public Form1()
{
InitializeComponent();
}
string ReverseString(string str)
{
//str katar
//01234567 01234567
//0498424E 4E429804
char[] katar = new char[str.Length];
for (int i = 0; i < str.Length/2; i++)
{
katar[2 * i] = str[str.Length - 2*i - 2];
katar[2 * i + 1] = str[str.Length - 2*i-1];
}
return new string(katar);
}
private void button1_Click(object sender, EventArgs e)
{
string baslama, bitis, dosyano, kamera;
string satir = "";
StreamReader st = new StreamReader("dosya.txt");
while ((satir=st.ReadLine())!=null)
{
satir = satir.Replace(" ", "");
baslama = satir.Substring(0, 8);
baslama = ReverseString(baslama);
int sayi=int.Parse(baslama, System.Globalization.NumberStyles.HexNumber);
textBox1.Text = ConvertFromUnixTimestamp((double)sayi).ToString();
bitis = satir.Substring(8, 8);
bitis = ReverseString(bitis);
sayi = int.Parse(bitis, System.Globalization.NumberStyles.HexNumber);
textBox2.Text = ConvertFromUnixTimestamp((double)sayi).ToString();
dosyano = satir.Substring(16, 8);
dosyano = ReverseString(dosyano);
sayi = int.Parse(dosyano, System.Globalization.NumberStyles.HexNumber);
textBox3.Text = "hik"+sayi.ToString();
kamera = satir.Substring(24, 2);
kamera = ReverseString(kamera);
sayi = int.Parse(kamera, System.Globalization.NumberStyles.HexNumber);
textBox4.Text = sayi.ToString();
}
st.Close();
}
DateTime ConvertFromUnixTimestamp(double timestamp)
{
DateTime origin = new DateTime(1970, 1, 1, 0, 0, 0, 0);
return origin.AddSeconds(timestamp);
}
double ConvertToUnixTimestamp(DateTime date)
{
DateTime origin = new DateTime(1970, 1, 1, 0, 0, 0, 0);
TimeSpan diff = date - origin;
return Math.Floor(diff.TotalSeconds);
}
}
}
MSN Contact identification
MSN Messenger veya Windows Live Messenger ile açılan oturumlarda bilgisayarınızda bir takım sayı isimleri taşıyan klasörler oluşur. Bu klasör isimleri nasıl oluşur bunula ilgili biraz araştırma yapmıştım. Forensic Focus sitesinde bu konuda yapılan tartışmaları okudum ve bir takım denemeler yaptım. Gördüğüm şu oldu. Oturum açıldığında elektronik posta adresiniz bir algoritmadan geçerek sayıya dönüşüyor ve bu isimde klasör oluşarak profilinizdeki bilgiler bu klasörde saklanıyor. Bunun anlamı şu;
Eğer bir elektronik posta adresini söz konusu algoritmadan geçirir ve elde edilen sayı değeri ile aynı isimde bir klasörü "Local Settings" veya "AppData..." klasörlerinin altında görürseniz o bilgisayarda msn veya wlm'de oturum açıldığını bulabilirsniz.
program:MSN Folder Number
Merak edenler için forensic focustan ilgili yazıları aşağıya koyuyorum.
Re: MSN contact identification
Posted: Fri Apr 27, 2012 1:56 am
Author: harryparsonage Location: Nottingham UK
Chris
Yes I imagine you could do that with an Enscript, I couldn't Wink
You could have my code for a VB program that I wrote to check the numbers but I can't find the code. The note I have is as follows -
The folder numbers are called PassportID numbers and are calculated by multiplying each decimal ASCII character value of the complete email address with 101. The address is always converted to complete lowercase first. The result of the calculation is always an unsigned long integer value ranging from 0 to 4294967295 (2^32).
Example:
Email address: a @ a.com
Decimal ASCII values: 97(a) ,64(@) ,97(a) ,46(.) ,99(c) ,111(o) ,109(m)
Calculation:
a(0 * 101) + 97 = 97
@(97 * 101) + 64 = 9861
a(9861 * 101) + 97 = 996058
.(996058 * 101) + 46 = 100601904
c(100601904* 101) + 99 = 10160792403
(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)
substract 2 times 2^32 = 1570857811
o(1570857811 * 101) + 111 = 158656639022
(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)
substract 32 times 2^32 = 4037816366
m(4037816366 * 101) + 109 = 407819453075
(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)
substract 94 times 2^32 = 4092527251 and this is our magical PassportID.
The list of email addresses is in Mike's program in Settings, it is simply a list of well used free email addresses these could obviously be expanded further. His list -
@hotmail.co.uk
@hotmail.com
- - - Snip - - - -
@fastmail.com
@fastmail.co.uk
@madasafish.com
@ymail.com
@rocketmail.com
Last edited by harryparsonage on Fri Apr 27, 2012 7:42 am; edited 1 time in total
Eğer bir elektronik posta adresini söz konusu algoritmadan geçirir ve elde edilen sayı değeri ile aynı isimde bir klasörü "Local Settings" veya "AppData..." klasörlerinin altında görürseniz o bilgisayarda msn veya wlm'de oturum açıldığını bulabilirsniz.
program:MSN Folder Number
Merak edenler için forensic focustan ilgili yazıları aşağıya koyuyorum.
Re: MSN contact identification
Posted: Fri Apr 27, 2012 1:56 am
Author: harryparsonage Location: Nottingham UK
Chris
Yes I imagine you could do that with an Enscript, I couldn't Wink
You could have my code for a VB program that I wrote to check the numbers but I can't find the code. The note I have is as follows -
The folder numbers are called PassportID numbers and are calculated by multiplying each decimal ASCII character value of the complete email address with 101. The address is always converted to complete lowercase first. The result of the calculation is always an unsigned long integer value ranging from 0 to 4294967295 (2^32).
Example:
Email address: a @ a.com
Decimal ASCII values: 97(a) ,64(@) ,97(a) ,46(.) ,99(c) ,111(o) ,109(m)
Calculation:
a(0 * 101) + 97 = 97
@(97 * 101) + 64 = 9861
a(9861 * 101) + 97 = 996058
.(996058 * 101) + 46 = 100601904
c(100601904* 101) + 99 = 10160792403
(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)
substract 2 times 2^32 = 1570857811
o(1570857811 * 101) + 111 = 158656639022
(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)
substract 32 times 2^32 = 4037816366
m(4037816366 * 101) + 109 = 407819453075
(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)
substract 94 times 2^32 = 4092527251 and this is our magical PassportID.
The list of email addresses is in Mike's program in Settings, it is simply a list of well used free email addresses these could obviously be expanded further. His list -
@hotmail.co.uk
@hotmail.com
- - - Snip - - - -
@fastmail.com
@fastmail.co.uk
@madasafish.com
@ymail.com
@rocketmail.com
Last edited by harryparsonage on Fri Apr 27, 2012 7:42 am; edited 1 time in total
Pdf metadata Viewer
Adli Bilişim işiyle ilgilenenler metadata(üstveri) bilgilerinin ne kadar önemli olduğunu bilir. Bu konuda yazılmış makaleler var. Merak edenler google'dan bir araştırıp bakabilir. Bu amaca yönelik olarak PDF dosyaların üstveri bilgilerini okumak için bir program yazdım. Programın arayüzü ingilizce. programı bir kaç sitede paylaşıma açmıştım. Eğer Türkçe olmasını isteyenler olursa yardımcı olurum.
Program bir Pdf dosyasının özelliklerinden adli bilişim açısından önemli olduğunu düşündüklerimi okuyor. Yüzlerce hatta binlerce pdf dosyasının üstverilerini okumak ne kadar zahmetli olsa gerek. Bu program işte bu zahmeti kolaylaştırmak amacıyla yazıldı. Umarım faydalı olur.
programı indirmek için : PdfMetaData.zip
Program bir Pdf dosyasının özelliklerinden adli bilişim açısından önemli olduğunu düşündüklerimi okuyor. Yüzlerce hatta binlerce pdf dosyasının üstverilerini okumak ne kadar zahmetli olsa gerek. Bu program işte bu zahmeti kolaylaştırmak amacıyla yazıldı. Umarım faydalı olur.
programı indirmek için : PdfMetaData.zip
Kaydol:
Kayıtlar (Atom)