Kategorie: Forensic

dd Image mounten

Wenn man es mal wieder geschafft hat, ein Image mittels dd zu erstellen, muss man das Image ja vllt. auch mal wieder herstellen.
Ein einfaches
mount image.dd /mnt
tut es meistens nicht.
Dann hilft folgendes:

root@kali:~/pi# file image.dd
image.dd: DOS/MBR boot sector; partition 1 : ID=0xc, start-CHS (0x0,0,2), end-CHS (0x3d0,2,9), startsector 1, 125000 sectors; partition 2 : ID=0x83, start-CHS (0x3d0,2,10), end-CHS (0x3ff,3,32), startsector 125001, 6018999 sectors

oder

root@kali:~/pi# fdisk -l image.dd

Disk image.dd: 15 GiB, 16155410432 bytes, 31553536 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x000782e5

Device Boot Start End Sectors Size Id Type
image.dd1 1 125000 125000 61M c W95 FAT32 (LBA)
image.dd2 125001 6143999 6018999 2,9G 83 Linux

Dann kann man das Image mounten, wenn mann den Startsektor mit der Sektorgröße multipliziert.
In diesem Fall also 512*125001=64000512.
Manchmal hakt der normale mount-Befehl aber:

root@kali:~/pi# mount -o ro,loop,offset=64000512 image.dd /mnt/
mount: wrong fs type, bad option, bad superblock on /dev/loop0,
missing codepage or helper program, or other error

In some cases useful info is found in syslog - try
dmesg | tail or so.

Dann hilft meist:

root@kali:~/pi# losetup --offset 64000512 /dev/loop1 image.dd

Danach sollte das Image eingebunden sein und man kann auf die Daten zugreifen…

Blattschutz bei Excel entfernen

Dokument aufrufen, mit Alt-F11 den Visual Basic Editor aufrufen,

Rechte Maustaste in das Projektfeld auf der linken Seite, Einfügen -> Modul.

Dort diesen Text einfügen:

Sub Blattschutz_entfernen()
     On Error Resume Next
         For i = 65 To 66
         For j = 65 To 66
         For k = 65 To 66
         For l = 65 To 66
         For m = 65 To 66
         For n = 65 To 66
         For o = 65 To 66
         For p = 65 To 66
         For q = 65 To 66
         For r = 65 To 66
         For s = 65 To 66
         For t = 32 To 126
         
     ActiveSheet.Unprotect Chr(i) & Chr(j) & Chr(k) & Chr(l) & Chr(m) & _
     Chr(n) & Chr(o) & Chr(p) & Chr(q) & Chr(r) & Chr(s) & Chr(t)
        Next t
         Next s
         Next r
         Next q
         Next p
         Next o
         Next n
         Next m
         Next l
         Next k
         Next j
         Next i
         MsgBox "PW removed"
 End Sub

Dann auf Ausführen (kleiner grüner Pfeil) gehen und warten, am Ende ist der Blattschutz weg.

SSL-Verbindung mit sslsniff

Falls ich es mal wieder brauche:

CA und Konsorten erstellen:

CA-Key:
openssl genrsa -aes256 -out ca-key.pem 2048
Root-Cert:
openssl req -x509 -new -nodes -extensions v3_ca -key ca-key.pem -days 1024 -out ca-root.pem -sha512
Zertifikat erstellen:
openssl genrsa -out zertifikat-key.pem 4096
CSR für das Zertifikat:
openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512
Beim CN auf den richtigen CN achten
Zertifikat erstellen:
openssl x509 -req -in zertifikat.csr -CA ca-root.pem -CAkey ca-key.pem -CAcreateserial -out zertifikat-pub.pem -days 365 -sha512

IPtables anpassen:
iptables -t nat -A PREROUTING -p tcp –-dport 443 -j REDIRECT –-to-ports 4433
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE

sslsniff starten:
sslsniff -a -c /root/zertifikat-pub.pem -s 4433 -w /tmp/https.log

Netzwerkforensik – Toolsammlung

Weil es langsam viel wird … ich habe mal angefangen, meine Toolsammlung von NWF-SW zusammenzuführen.
Und weil ich keine Lust hatte, das alles wieder schön in MySQL, PHP oder WordPress-Tabellen zu tackern, hab ich einfach mal Excel genommen. Hat auch den charmanten Vorteil, dass ich das problemlos immer weiter führen kann.

Die Liste ist logischerweise nicht vollständig. Anders gesagt, da stehen erst ein paar drin, aber ich führe die Liste immer weiter.
Ausserdem ist das ja auch nur für mich, warum rechtfertige ich mich also?!?

Hier der Link zum Owncloud-Server: Klick

Exchange und mehr

Wenn man mal unter Exchange Postfächer direkt extrahieren möchte, zum Beispiel in eine PST-Datei, hilft folgendes Kommando der Exchange-Power-Shell:
New-MailboxExportRequest
Damit das Programm funktioniert, muss sich der Admin aber erst die Rechte besorgen:
New-ManagementRoleAssignment –Role "Mailbox Import Export" –User Administrator.
Dann ein kurzes
New-MailboxExportRequest -Mailbox Benutzername -FilePath "\\SERVER01\DATEINAME.pst"
und der Export läuft.
Der Status der Anfrage bleibt dann auf „Queued“ stehen, mit
Get-MailboxExportRequest
kann man den aktuellen Status des Exports betrachten.
Da das ganz schön viel Tipparbeit sein kann, um alle Daten umzuwandeln, kann folgende Schleife benutzt werden:
(Get-Mailbox) | foreach {New-MailboxExportRequest -Mailbox $_.alias -FilePath “\\FWEX01\c$\pst\$_.pst”}
Per
Get-MailboxExportRequest | Get-MailboxExportRequestStatistics
kann dann hier auch der prozentuale Verlauf betrachtet werden…

Aid4Mail und Thunderbird

Wenn man mal Mails vom einen ins andere Format konvertieren will, hilft Aid4Mail…
Damit man die Mails sauber in Thunderbird lesen kann (am besten in einer knackealtern portablen Version wie 2.0, neuere Versionen tun es nicht), muss in Aid4Mail das Ziel „Thunderbird/data/profiles/Mail/local Folders“ eingestellt werden.
Dann geht das auf vernünftig.