5 Mayıs 2018 Cumartesi

USB Forensic Tracker


USB Forensic Tracker (USBFT) , Windows, Linux ve Mac işletim sistemlerindeki ilgili sistem dosyalarını kullanarak USB aygıt bağlantıları(takma/çıkarma sonucunda oluşan log bilgileri) ile bilgileri çıkaran bir adli bilişim aracıdır.  Bu bilgileri ayrıca mount edilmiş imaj dosyaları,çalışan işletim sistemi ve volume shadow copy'ler içerisinden de çıkarabilir. Bulunan verileri Excel belgesi olarak export eder.

 USB Forensic Tracker'in işletim sisteminde baktığı yerler:

    Windows
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
  • HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
  • HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\VolumeInfoCache
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM
  • C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx (Windows 7)
  • C:\Windows\System32\winevt\Logs\Microsoft-Windows-Storage-ClassPnP/Operational.evtx  (Window 10)
  • C:\Windows\System32\winevt\Logs\Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx
  • C:\Windows\INF\setupapi.dev.log
  • C:\Windows\INF\ setupapi.dev.yyyymmdd_hhmmss.log
  • C:\Windows\INF\setupapi.upgrade.log
  • C:\Windows\setupapi.log
  • “Windows.old” folder
  • Volume Shadow Copies
    Mac OSX (tested on OSX 10.6.8 and 10.10.3)
  • /private/var/log/kernel.log
  • /private/var/log/kernel.log.incrementalnumber.bz2
  • /private/var/log/system.log
  • /private/var/log/system.log.incrementalnumber.gz
    Linux (tested on Ubuntu 17.04)
  • /var/log/syslog
Gereksinimler: .Net Framework 4.5
















Programı indirmek için: USB Forensic Tracker v1.0.8

Kaynak: www.orionforensics.com







Gönderen zaman: Hiç yorum yok:
Android Forensics: A Case Study of the Nexus S Virtual Device

What you will learn...


  • Without an Android Device, you will examine an Android Virtual Device using Android Device Emulator. You'll learn logically exctract and analysis SQLite database files.

What you should know...

  • Basic Linux & SQLite Shell commands


*İngilizceye sonradan çevirmiştim. Türkçe orijinalini bulamadım.  Anlaşılır bir ingilizce zaten :))

Gönderen zaman: Hiç yorum yok:

PDF Metadata viewer

Adli Bilişim işiyle ilgilenenler metadata(üstveri) bilgilerinin ne kadar önemli olduğunu bilir. Bu konuda yazılmış makaleler var. Merak edenler google'dan bir araştırıp bakabilir. Bu amaca yönelik olarak PDF dosyaların üstveri bilgilerini okumak için bir program yazdım. Programın arayüzü ingilizce. programı bir kaç sitede paylaşıma açmıştım.

Program bir Pdf dosyasının özelliklerinden adli bilişim açısından önemli olduğunu düşündüklerimi okuyor. Yüzlerce hatta binlerce pdf dosyasının üstverilerini okumak ne kadar zahmetli olsa gerek. Bu program işte bu zahmeti kolaylaştırmak amacıyla yazıldı. Umarım faydalı olur.



programı indirmek için : PdfMetaData

Not: Programla ilgili bir yorum...




Gönderen zaman: Hiç yorum yok:

Adli Bilişim ile ilgili bazı sertifikalar



Gönderen zaman: Hiç yorum yok:
Kaydol: Kayıtlar (Atom)