Learning Blue and Red Team

Web để tải tools: https://ericzimmerman.github.io/#!index.md

Phần mềm: Registry Explorer, Regripper, Autopsy

Prefetch: Chứa tần suất hoạt động (PECMD)

Shimcache: Tên, đường dẫn, ngày/giờ cuối cùng thực thi (trong thư mục AppCombatCache)

Amcache: Tên, đường dẫn, ngày/giờ lần đầu thực thi

Sử dụng Autopsy để kiểm tra:

• Kiểm tra file hình nào đã bị xoá và khôi phục lại
• File nào được tải từ internet
• Thời gian khởi tạo thực tế của từng file

https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape

Kape: --tsource C: --tdest F:\kape --tflush --target KapeTriage,MemoryFiles --gui

Stegography

Liên quan tới các file hình ảnh:

https://29a.ch/

https://fotoforensics.com/ (bị banned in Vietnam)

https://hexed.it/ hoặc dùng phần mềm HexEdit4