Возможные кейсы, при которых понадобятся Forensic-решения:

🎈Пойман вирус-шифровальщик, данные зашифрованы. Что делать? Извлекаем точечные данные, оцениваем масштаб угрозы, ищем причину заражения, чтобы предотвратить данную опасность впредь;
🎈Зафиксировано наличие недобросовестных сотрудников, которые выгружают корпоративные данные. Для подтверждения виновности необходимы доказательства. Нужно учесть, что полученные доказательства помогут подтвердить кражу данных конкретным сотрудником, но будут приняты судом только от лица сертифицированного специалиста;
🎈Нужно извлечь из системы логин, пароль, токен по какой-либо причине.

❓Какие приложения могут помочь в получении и анализе данных?

👉macOS (и IOS) Artifact Parsing Tool – мощный и понятный инструмент, который ищет информацию на образах дисков;
👉KnockKnock – инструмент находит все автоматически запускаемые процессы, файлы, скрипты на macOS;
👉The LaZagne Project – инструмент позволяет извлекать пароли из различных приложений;
👉FOCA – приложение, позволяющее извлекать метаданные из документов в сети;
👉Mobile Security Framework – анализирует вредоносные приложения, загружаемые на мобильный телефон;
👉Dumpzilla позволяет исследовать историю браузера Firefox;
👉LogonTracer – утилита ищет факты несанкционированного входа в AD;
👉Usbrip – приложение извлекает данные из браузеров;
👉Timesketch создает временные шкалы, благодаря которым извлеченные данные  можно разложить по хронологии;
👉Skadi – образ виртуальной машины с набором инструментов, которые позволяют проводить анализ криминалистических артефактов и изображений, является наиболее полным решением для сетей;
👉The Volatility Foundation исследует оперативную память компьютера.

А вы использовали данные приложения?
💭 Поделитесь своим опытом в комментариях, нам всем очень интересно!