Archive for abril 2014
Ferramentas OSINT - Open Source Intelligence - Parte 3 - FOCA (Fingerprinting Organizations with Collected Archives)
Estes documentos podem estar em páginas da web, e pode ser descarregados e analisados com FOCA .
É capaz de analisar uma grande variedade de documentos , sendo os mais comuns os do Microsoft Office, Open Office , ou arquivos PDF , embora também tem a capacidade de analisar Adobe InDesign ou arquivos SVG, entre outros.
Estes documentos são pesquisados por meio de três possíveis motores de busca: Google, Bing e Exalead.
Também é possível adicionar arquivos locais para extrair as informações EXIF de arquivos gráficos, e uma análise completa das informações descobertas através da URL é realizada mesmo antes de descarregar o ficheiro.
Mais informação & Download: https://www.elevenpaths.com/labs-tools-foca.HTML
"PENTESTING con FOCA": http://0xword.com/es/libros/59-pentesting-con-foca.HTML
Slides DEFCON 18: http://www.slideshare.net/chemai64/defcon-18-foca-2
Ferramentas OSINT - Open Source Intelligence - Parte 2 - Creepy
Creepy é uma ferramenta OSINT de Geolocalização. Oferece informações sobre geolocalização reunida através de dados retirados de redes sociais.
Reúne informações de geolocalização relacionada a partir de fontes online, e permite a apresentação em mapa, filtragem de pesquisas baseadas em localização e/ou data exata, também permite a exportação para formatos .CSV ou .KML, para posterior análise no Google Maps.
Esta ferramenta está disponível para as plataformas
Windows 32&64 bits:
- 64bits: https://github.com/ilektrojohn/creepy/releases/download/v1.1/setup_v1.1_x86-64.exe
- 32bits: https://github.com/ilektrojohn/creepy/releases/download/v1.1/setup_v1.1_x86.exe
Linux:
- Source: https://github.com/ilektrojohn/creepy/tarball/master
OSX:
- https://github.com/ilektrojohn/creepy/releases/download/v1.1/creepy_v1.1.dmg
Mais informações em: http://ilektrojohn.github.io/creepy/
Facebook: https://www.facebook.com/geocreepy
Twitter: https://twitter.com/cree_py
Reúne informações de geolocalização relacionada a partir de fontes online, e permite a apresentação em mapa, filtragem de pesquisas baseadas em localização e/ou data exata, também permite a exportação para formatos .CSV ou .KML, para posterior análise no Google Maps.
Esta ferramenta está disponível para as plataformas
Windows 32&64 bits:
- 64bits: https://github.com/ilektrojohn/creepy/releases/download/v1.1/setup_v1.1_x86-64.exe
- 32bits: https://github.com/ilektrojohn/creepy/releases/download/v1.1/setup_v1.1_x86.exe
Linux:
- Source: https://github.com/ilektrojohn/creepy/tarball/master
OSX:
- https://github.com/ilektrojohn/creepy/releases/download/v1.1/creepy_v1.1.dmg
Mais informações em: http://ilektrojohn.github.io/creepy/
Facebook: https://www.facebook.com/geocreepy
Twitter: https://twitter.com/cree_py
Ferramentas OSINT - Open Source Intelligence - Parte 1 - Oryon C Portable
Oryon C Portable é um browser desenvolvido para auxiliar em pesquisas e investigações de Open Source Intelligence.
Oryon vem com dezenas de ferramentas/extensões pré-instaladas e um conjunto selecionado de links catalogados por categorias.
Especificação:
- Baseado na versão SRWare Iron 31.0.1700.0 (Chromium)
- Mais de 70 ferramentas pré-instaladas para apoiar os investigadores no seu trabalho diário
- Mais de 600 links para fontes de informação especializadas e online ferramentas de investigação
- Os recursos adicionais de proteção de privacidade
- Um ficheiro OPML pronto para usar contendo uma coleção ordenada de fontes de informação para os campos: OSINT, Inteligência, InfoSec, defesa e muito mais.
Requisitos:
- Windows : XP, Vista, 7 x32 & x64
O acesso a motores de busca OSINTINSIGHT localizados no Oryon página inicial (Oryon C newtab) é possível mediante a subscrição.
Uma das características principais é a página de pesquisa por defeito, startpage.com por Ixquick, que segundo eles devolve todos os resultados diretamente do Google sem salvar o IP do utilizador e sem devolver nenhuma informação pessoal aos servidores da Google.
Mais algumas características:
- Proxy de navegação livre
- Elogiado por especialistas em privacidade no mundo inteiro
- Quatorze anos historial empresa
- Certificado por terceiros
- Nenhum endereço IP gravado/guardado
- Nenhuma gravação é feita das suas pesquisas
- Nenhuma identificação ou cookies de rastreamento usados
- Poderosa criptografia SSL disponível
Extensões pré-instaladas:
- Adblock Plus 1.7.2
- All in one web searcher 2.0
- BarDeCo: QR Code Decoder & Encoder/Generator 1.0.0.8 (Desabilitada por defeito)
- Bookmark Sentry (scanner) 1.7.18
- Chrome Poster 1.5 (Desabilitada por defeito)
- Clear Cache 0.3.3.3
- Company information lookup using CrunchBase 0.1.2 (Desabilitada por defeito)
- Copy Plain Text 0.1
- DeepDyve Plugin 1.23.54
- Development and Coding Search 9.0 (Desabilitada por defeito)
- DNS Lookup 1.2.1 (Desabilitada por defeito)
- DOM Snitch 0.717 (Desabilitada por defeito)
- Edit This Cookie 1.2.5 (Desabilitada por defeito)
- EmailSherlock 1.2
- EnviSwitch 0.3.0 (Desabilitada por defeito)
- Evernote Web Clipper 6.0.7
- EXIF Viewer 1.2.3
- Facebook Search 2.0.1.1 (Desabilitada por defeito)
- FastestFox for Chrome 8.0.8
- Firebug Lite for Google Chrome 1.4.0.11967
- Flag for Chrome 0.4.1
- Form Fuzzer 1.4 (Desabilitada por defeito)
- FreshStart - Cross Browser Session Manager 1.6.1
- FTP Free 2.5 (Desabilitada por defeito)
- Go Up 1.31
- Google Translate 1.2.5
- Hola Better Internet 1.2.258 (Desabilitada por defeito)
- Holmes 3.1.7
- HTTP Headers 1.0.0.2 (Desabilitada por defeito)
- HTTPS Everywhere 1.3 (Desabilitada por defeito)
- iMacros for Chrome 6.0.6 (Desabilitada por defeito)
- Image Search Options 0.0.7.3
- PDF Viewer 0.8.787
- Extensions Manager 0.2.1.2
- Hide My Proxy 0.1.2 (Desabilitada por defeito)
- IP Address and Domain Information 3.24
- IP Geolocator 1.2 (Desabilitada por defeito)
- JSONView 0.0.32.2 (Desabilitada por defeito)
- Kikin para Chrome 2.5.0
- LastPass 3.0.22
- Split Screen 0.45
- Mini Maps 2.0.3 (Desabilitada por defeito)
- BugMeNot Lite 0.3.10 (Desabilitada por defeito)
- Canton Public Library Catalog 2.1.1.2
- Chrome Crawler 0.6 (Desabilitada por defeito)
- Miniscrul Universal URL Shortener/Expander 3.1.5 (Desabilitada por defeito)
- Neat Bookmarks 0.9.17 (Desabilitada por defeito)
- Network and Internet tools 1.66 (Desabilitada por defeito)
- NoteBook Professional 1.4
- One-Click Extensions Manager 1.3.3.9 (Desabilitada por defeito)
- OneTab 1.6
- Oryon C NewTab 1.0.0
- Oryon C Tools 0.1
- Page Monitor 3.3.1
- Phone Number Lookup 1.3 (Desabilitada por defeito)
- PHP Console 3.0.17 (Desabilitada por defeito)
- Pocket 1.5.6
- Proxy SwitchySharp 1.10.2 (Desabilitada por defeito)
- ProxyPy Web Proxy 1.2.4 (Desabilitada por defeito)
- Python Shell 3.0.2 (Desabilitada por defeito)
- Rapportive 1.4.1
- Related Search 1.0
- Search All 2.2.12
- Search on Linkedin 0.2
- Search Twitter 0.1.1 (Desabilitada por defeito)
- SearchBar 0.7.4
- Select to Get Maps 1.1.1 (Desabilitada por defeito)
- Site Spider 1.2 (Desabilitada por defeito)
- Swap My Cookies 0.3 (Desabilitada por defeito)
- The Exploit Database 1.0.1 (Desabilitada por defeito)
- Threat Analytics Search 3.3.3
- Twitter Earth 1.2 (Desabilitada por defeito)
- User-Agent Switcher for Chrome 1.0.3 (Desabilitada por defeito)
- Wappalyzer 2.26
- WaybackMachine 1.0
- Web Server Notifier 1.4.6 (Desabilitada por defeito)
- Websecurify 4.0.0 (Desabilitada por defeito)
- Where is my tab? 1.1
- XV - XML Viewer 1.0.14 (Desabilitada por defeito)
- YOPmail 0.5 (Desabilitada por defeito)
- Zotero Connector 4.0.8.2
Saber mais: http://osintinsight.com/oryon.php
Sobre OSINTINSIGHT: http://osintinsight.com/
Download: http://sourceforge.net/projects/oryon/
Documentação: : http://osintinsight.com/Documentation.pdf
Sysinternals Tools - Ferramentas para todos os tipos de IT - Parte 2 - AccessChk v5.11
AccessChk v5.11
Introdução:
Esta ferramenta permite a um administrador de sistemas aceder/gerir recursos, tais como ficheiros, diretórios, chaves de registo, serviços e objetos globais, de utilizadores ou grupos.
Instalação:
AccessChk é uma ferramenta que se corre via linha de comandos, para tal basta navegar até onde a pasta o executável se encontra e escrever o comando "accesschk" para ver a sintaxe.
Sintaxe & Utilização:
accesschk [-s][-e][-u][-r][-w][-n][-v][[-a]|[-k]|[-p [-f] [-t]][-o [-t <tipo de objeto>]][-c]|[-d]] [[-l [-i]]|[utilizador]] <ficheiro, diretório, chave de registo, processo, serviço, objeto>
Exemplos:
Mostra os tipos de acesso que o tipo de conta Power Users tem em ficheiros e diretórios dentro de \Windows\System32:
accesschk "power users" c:\windows\system32
Mostra que membros do grupo Users têm acesso a escrita:
accesschk users -cw *
Mostra que chaves de registo dentro de HKLM\CurrentUser um utilizador não tem acesso:
accesschk -kns austin\mruss hklm\software
Mostra a segurança em HKLM\Software key:
accesschk -k hklm\software
Mostrar os objetos globais que todos os utilizadores podem modificar:
accesschk -wuo everyone \basednamedobjects
Mais informação: http://technet.microsoft.com/en-us/sysinternals/bb664922
Download da Ferramenta: http://download.sysinternals.com/files/AccessChk.zip
Introdução:
Esta ferramenta permite a um administrador de sistemas aceder/gerir recursos, tais como ficheiros, diretórios, chaves de registo, serviços e objetos globais, de utilizadores ou grupos.
Instalação:
AccessChk é uma ferramenta que se corre via linha de comandos, para tal basta navegar até onde a pasta o executável se encontra e escrever o comando "accesschk" para ver a sintaxe.
Sintaxe & Utilização:
accesschk [-s][-e][-u][-r][-w][-n][-v][[-a]|[-k]|[-p [-f] [-t]][-o [-t <tipo de objeto>]][-c]|[-d]] [[-l [-i]]|[utilizador]] <ficheiro, diretório, chave de registo, processo, serviço, objeto>
| -a | Name is a Windows account right. Specify "*" as the name to show all rights assigned to a user. Note that when you specify a specific right, only groups and accounts directly assigned to the right are displayed. |
| -c | Name is a Windows Service, e.g. ssdpsrv. Specify "*" as the name to show all services and "scmanager" to check the security of the Service Control Manager. |
| -d | Only process directories or top-level keys |
| -e | Only show explicitly set-Integrity Levels (Windows Vista only) |
| -f | Show full process token information including groups and privileges |
| -i | Ignore objects with only inherited ACEs when dumping full access control lists. |
| -k | Name is a Registry key, e.g. hklm\software |
| -l | Show full access control list. Add -i to ignore inherited ACEs. |
| -n | Show only objects that have no access |
| -o | Name is an object in the Object Manager namespace (default is root). To view the contents of a directory, specify the name with a trailing backslash or add -s. Add -t and an object type (e.g. section) to see only objects of a specific type. |
| -p | Name is a process name or PID, e.g. cmd.exe (specify "*" as the name to show all processes). Add -f to show full process token information, including groups and privileges. Add -t to show threads. |
| -q | Omit Banner |
| -r | Show only objects that have read access |
| -s | Recurse |
| -t | Object type filter, e.g. "section" |
| -u | Suppress errors |
| -v | Verbose (includes Windows Vista Integrity Level) |
| -w | Show only objects that have write access |
Exemplos:
Mostra os tipos de acesso que o tipo de conta Power Users tem em ficheiros e diretórios dentro de \Windows\System32:
accesschk "power users" c:\windows\system32
Mostra que membros do grupo Users têm acesso a escrita:
accesschk users -cw *
Mostra que chaves de registo dentro de HKLM\CurrentUser um utilizador não tem acesso:
accesschk -kns austin\mruss hklm\software
Mostra a segurança em HKLM\Software key:
accesschk -k hklm\software
Mostrar os objetos globais que todos os utilizadores podem modificar:
accesschk -wuo everyone \basednamedobjects
Mais informação: http://technet.microsoft.com/en-us/sysinternals/bb664922
Download da Ferramenta: http://download.sysinternals.com/files/AccessChk.zip
Sysinternals Tools - Ferramentas para todos os tipos de IT - Parte 1
O conjunto de ferramentas Sysinternals, criadas por Mark Russinovich e Bryce Cogswell, estão disponíveis na internet desde meados de 1996, e foram posteriormente adquiridas pela Microsoft em Julho de 2006.
Este conjunto de ferramentas é essencial para administradores, developers, ou simples utilizadores que trabalham sobre a plataforma Windows. Têm a particularidade de ajudar a diagnosticar e solucionar problemas em aplicações ou nos sistemas Windows.
A ultima novidade da Sysinternals é o serviço Sysinternals Live, que permite a execução das ferramentas diretamente da Web sem a necessidade de instala-las.
Nas próximas publicações vou mostrar a utilidade de cada uma das ferramentas.
AccessChk - http://e-forense.blogspot.com/2014/04/sysinternals-tools-ferramentas-para_4.HTML
AccessEnum - http://e-forense.blogspot.com/2014/05/sysinternals-tools-ferramentas-para.html
Download das ferramentas: http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
Este conjunto de ferramentas é essencial para administradores, developers, ou simples utilizadores que trabalham sobre a plataforma Windows. Têm a particularidade de ajudar a diagnosticar e solucionar problemas em aplicações ou nos sistemas Windows.
A ultima novidade da Sysinternals é o serviço Sysinternals Live, que permite a execução das ferramentas diretamente da Web sem a necessidade de instala-las.
Nas próximas publicações vou mostrar a utilidade de cada uma das ferramentas.
AccessChk - http://e-forense.blogspot.com/2014/04/sysinternals-tools-ferramentas-para_4.HTML
AccessEnum - http://e-forense.blogspot.com/2014/05/sysinternals-tools-ferramentas-para.html
Download das ferramentas: http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
Kon-Boot - Ferramenta para ignorar autenticação em Windows e MAC OSX
Kon-Boot uma ferramenta muito útil para quem perdeu ou não a sua (ou não) autenticação de entrada em Windows e MAC OSX.
Permite efetuar login em qualquer password do perfil da máquina protegida sem o conhecimento da password.
Esta ferramenta altera o conteúdo do kernel do durante o boot, tudo é feito virtualmente - sem quaisquer interferências com mudanças no sistema físico.
Até agora seguintes sistemas foram testados para funcionar corretamente com o Kon-Boot:
-Windows Server 2003
-Windows Server 2003
-Windows XP
-Windows Vista
-Windows 7
-Windows 8
-MAC OSX
Mais Informações: http://www.piotrbania.com/all/kon-boot/
A30-327 : FTK AccessData Certified Examiner - ACE - Uma ajudinha nas perguntas da certificação em FTK - Parte 11
Decima primeira parte da coleção de questões para a certificação A30-327 AccessData Certified Examiner ACE, para a ferramenta FTK, FTK Imager, PRTK e Registry Viewer.
Volto a referir que é muito importante a leitura dos manuais:
Manual FTK: http://marketing.accessdata.com/acton/attachment/4390/f-0643/1/-/-/-/-/FTK_UG.pdf
Manual FTK Imager: http://marketing.accessdata.com/acton/attachment/4390/f-000d/1/-/-/-/-/file.pdf
Manual PRTK: http://marketing.accessdata.com/acton/attachment/4390/f-0653/1/-/-/-/-/PRTK_DNA%20User%20Guide.pdf
Manual Registry Viewer: http://marketing.accessdata.com/acton/attachment/4390/f-0672/1/-/-/-/-/RegistryViewer_UG.pdf
Estas perguntas foram retiradas de um antigo dump disponível pela internet fora.
Q.In FTK, a user may alter the alert or ignore status of individual hash sets within the active KFF. Which utility is used to accomplish this?
A. KFF Alert Editor
B. ADKFF Library Selector
C. Hash Database File Selector
D. Hash Database Recovery Engine
Answer: A
Q.After creating a case, the Encrypted Files container lists EFS files. However, no decrypted sub- items are present. All other necessary components for EFS decryption are present in the case. Which two files must be used to recover the EFS password for use in FTK? (Choose two.)
A. SAM
B. system
C. SECURITY
D. Master Key
E. FEK Certificate
Answer: A,B
Q.Which two statements are true? (Choose two.)
A. PRTK can recover Windows logon passwords.
B. PRTK must run in conjunction with DNA workers to decrypt EFS files.
C. PRTK and FTK must be installed on the same machine to decrypt EFS files.
D. EFS files must be exported from a case and provided to PRTK for decryption.
Answer: A,C
Q.Which two Registry Viewer operations can be conducted from FTK? (Choose two.)
A. list SAM file account names in FTK
B. view all registry files from within FTK
C. createsubitems of individual keys for FTK
D. export a registry report to the FTK case report
Answer: B,D
Q.FTK Imager can be invoked from within which program?
A. FTK
B. DNA
C. PRTK
D. Registry Viewer
Answer: A
Q.Into which two categories can an imported hash set be assigned? (Choose two.)
A. alert
B. ignore
C. contraband
D. system files
Answer: A,B
Q.What happens when a duplicate hash value is imported into a KFF database?
A. It will not be accepted.
B. It will be marked as a duplicate.
C. The database will be corrupted.
D. The database will hide the duplicate.
Answer: A
Q.You currently store alternate hash libraries on a remote server. Where do you configure FTK to access these files rather than the default library, ADKFFLibrary.hdb?
A. Preferences
B. User Options
C. Analysis Tools
D. Import KFF Hashes
Answer: A
Q.Which file should be selected to open an existing case in FTK?
A. ftk.exe
B. case.ini
C. case.dat
D. isobuster.dll
Answer: C
Parte 1: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified.HTML
Parte 2: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_11.HTML
Parte 3: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_12.HTML
Parte 4: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_13.HTML
Parte 5: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_14.HTML
Parte 6: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_28.HTML
Parte 7: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_6649.HTML
Parte 8: http://e-forense.blogspot.com/2014/03/q.HTML
Parte 9: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_31.HTML
Parte 10: http://e-forense.blogspot.com/2014/04/a30-327-ftk-accessdata-certified.html
Volto a referir que é muito importante a leitura dos manuais:
Manual FTK: http://marketing.accessdata.com/acton/attachment/4390/f-0643/1/-/-/-/-/FTK_UG.pdf
Manual FTK Imager: http://marketing.accessdata.com/acton/attachment/4390/f-000d/1/-/-/-/-/file.pdf
Manual PRTK: http://marketing.accessdata.com/acton/attachment/4390/f-0653/1/-/-/-/-/PRTK_DNA%20User%20Guide.pdf
Manual Registry Viewer: http://marketing.accessdata.com/acton/attachment/4390/f-0672/1/-/-/-/-/RegistryViewer_UG.pdf
Estas perguntas foram retiradas de um antigo dump disponível pela internet fora.
Q.In FTK, a user may alter the alert or ignore status of individual hash sets within the active KFF. Which utility is used to accomplish this?
A. KFF Alert Editor
B. ADKFF Library Selector
C. Hash Database File Selector
D. Hash Database Recovery Engine
Answer: A
Q.After creating a case, the Encrypted Files container lists EFS files. However, no decrypted sub- items are present. All other necessary components for EFS decryption are present in the case. Which two files must be used to recover the EFS password for use in FTK? (Choose two.)
A. SAM
B. system
C. SECURITY
D. Master Key
E. FEK Certificate
Answer: A,B
Q.Which two statements are true? (Choose two.)
A. PRTK can recover Windows logon passwords.
B. PRTK must run in conjunction with DNA workers to decrypt EFS files.
C. PRTK and FTK must be installed on the same machine to decrypt EFS files.
D. EFS files must be exported from a case and provided to PRTK for decryption.
Answer: A,C
Q.Which two Registry Viewer operations can be conducted from FTK? (Choose two.)
A. list SAM file account names in FTK
B. view all registry files from within FTK
C. createsubitems of individual keys for FTK
D. export a registry report to the FTK case report
Answer: B,D
Q.FTK Imager can be invoked from within which program?
A. FTK
B. DNA
C. PRTK
D. Registry Viewer
Answer: A
Q.Into which two categories can an imported hash set be assigned? (Choose two.)
A. alert
B. ignore
C. contraband
D. system files
Answer: A,B
Q.What happens when a duplicate hash value is imported into a KFF database?
A. It will not be accepted.
B. It will be marked as a duplicate.
C. The database will be corrupted.
D. The database will hide the duplicate.
Answer: A
Q.You currently store alternate hash libraries on a remote server. Where do you configure FTK to access these files rather than the default library, ADKFFLibrary.hdb?
A. Preferences
B. User Options
C. Analysis Tools
D. Import KFF Hashes
Answer: A
Q.Which file should be selected to open an existing case in FTK?
A. ftk.exe
B. case.ini
C. case.dat
D. isobuster.dll
Answer: C
Parte 1: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified.HTML
Parte 2: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_11.HTML
Parte 3: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_12.HTML
Parte 4: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_13.HTML
Parte 5: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_14.HTML
Parte 6: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_28.HTML
Parte 7: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_6649.HTML
Parte 8: http://e-forense.blogspot.com/2014/03/q.HTML
Parte 9: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_31.HTML
Parte 10: http://e-forense.blogspot.com/2014/04/a30-327-ftk-accessdata-certified.html
A30-327 : FTK AccessData Certified Examiner - ACE - Uma ajudinha nas perguntas da certificação em FTK - Parte 10
Decima parte da coleção de questões para a certificação A30-327 AccessData Certified Examiner ACE, para a ferramenta FTK, FTK Imager, PRTK e Registry Viewer.
Volto a referir que é muito importante a leitura dos manuais:
Manual FTK: http://marketing.accessdata.com/acton/attachment/4390/f-0643/1/-/-/-/-/FTK_UG.pdf
Manual FTK Imager: http://marketing.accessdata.com/acton/attachment/4390/f-000d/1/-/-/-/-/file.pdf
Manual PRTK: http://marketing.accessdata.com/acton/attachment/4390/f-0653/1/-/-/-/-/PRTK_DNA%20User%20Guide.pdf
Manual Registry Viewer: http://marketing.accessdata.com/acton/attachment/4390/f-0672/1/-/-/-/-/RegistryViewer_UG.pdf
Estas perguntas foram retiradas de um antigo dump disponível pela internet fora.
Q.Which data in the Registry can the Registry Viewer translate for the user? (Choose three.)
A. calculate MD5 hashes of individual keys
B. translate the MRUs in chronological order
C. present data stored in null terminated keys
D. present the date and time of each typed URL
E. View Protected Storage System Provider (PSSP) data
Answer: B,C,E
Q.What are two functions of the Summary Report in Registry Viewer? (Choose two.)
A. adds individual key values
B. is a template for other registry files
C. displays investigator keyword search results
D. permits searching of registry values based on key headers
Answer: A,B
Q.When using Registry Viewer to view a key with 20 values, what option can be used to display only 5 of the 20 values in a report?
A. Report
B. Special Reports
C. Summary Report
D. Add to ReportWith Children
Answer: C
Q.You view a registry file in Registry Viewer. You want to create a report, which includes items that you have marked "Add to Report." Which Registry Viewer option accomplishes this task?
A. Common Areas
B. Generate Report
C. Define Summary Report
D. Manage Summary Reports
Answer: B
Q.Which Registry Viewer function would allow you to automatically document multiple unknown user names?
A. Add to Report
B. Export User List
C. Add to Report with Children
D. Summary Report with Wildcard
Answer: D
Q.In PRTK, which type of attack uses word lists?
A. dictionary attack
B. key space attack
C. brute-force attack
D. rainbow table attack
Answer: A
Q.What is the purpose of the Golden Dictionary?
A. maintains previously created level information
B. maintains previously created profile information
C. maintains a list of the 100 most likely passwords
D. maintains previously recovered passwords
Answer: D
Q.What is the most effective method to facilitate successful password recovery?
A. Art of War
B. Entropy Test
C. Advanced EFS Attack
D. Primary Dictionary Attack
Answer: A
Q.You are attempting to access data from the Protected Storage System Provider (PSSP) area of a registry. How do you accomplish this using PRTK?
A. You drop the SAM file onto the PRTK interface.
B. You drop the NTUSER.dat file onto the PRTK interface.
C. You use the PSSP Attack Marshal from Registry Viewer.
D. This area can not be accessed with PRTK as it is a registry file.
Answer: B
Q.When using PRTK to attack encrypted files exported from a case, which statement is true?
A. PRTK will request the user access control list from FTK.
B. PRTK will generate temporary copies of decrypted files for printing.
C. FTK will stop all active jobs to allow PRTK to decrypt the exported files.
D. File hash values will change when they are saved in their decrypted format.
E. Additional interoperability between PRTK andNTAccess becomes available when files begin decrypting.
Answer: D
Parte 1: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified.HTML
Parte 2: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_11.HTML
Parte 3: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_12.HTML
Parte 4: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_13.HTML
Parte 5: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_14.HTML
Parte 6: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_28.HTML
Parte 7: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_6649.HTML
Parte 8: http://e-forense.blogspot.com/2014/03/q.HTML
Parte 9: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_31.HTML
Parte 11: http://e-forense.blogspot.com/2014/04/a30-327-ftk-accessdata-certified_3.html
Volto a referir que é muito importante a leitura dos manuais:
Manual FTK: http://marketing.accessdata.com/acton/attachment/4390/f-0643/1/-/-/-/-/FTK_UG.pdf
Manual FTK Imager: http://marketing.accessdata.com/acton/attachment/4390/f-000d/1/-/-/-/-/file.pdf
Manual PRTK: http://marketing.accessdata.com/acton/attachment/4390/f-0653/1/-/-/-/-/PRTK_DNA%20User%20Guide.pdf
Manual Registry Viewer: http://marketing.accessdata.com/acton/attachment/4390/f-0672/1/-/-/-/-/RegistryViewer_UG.pdf
Estas perguntas foram retiradas de um antigo dump disponível pela internet fora.
Q.Which data in the Registry can the Registry Viewer translate for the user? (Choose three.)
A. calculate MD5 hashes of individual keys
B. translate the MRUs in chronological order
C. present data stored in null terminated keys
D. present the date and time of each typed URL
E. View Protected Storage System Provider (PSSP) data
Answer: B,C,E
Q.What are two functions of the Summary Report in Registry Viewer? (Choose two.)
A. adds individual key values
B. is a template for other registry files
C. displays investigator keyword search results
D. permits searching of registry values based on key headers
Answer: A,B
Q.When using Registry Viewer to view a key with 20 values, what option can be used to display only 5 of the 20 values in a report?
A. Report
B. Special Reports
C. Summary Report
D. Add to ReportWith Children
Answer: C
Q.You view a registry file in Registry Viewer. You want to create a report, which includes items that you have marked "Add to Report." Which Registry Viewer option accomplishes this task?
A. Common Areas
B. Generate Report
C. Define Summary Report
D. Manage Summary Reports
Answer: B
Q.Which Registry Viewer function would allow you to automatically document multiple unknown user names?
A. Add to Report
B. Export User List
C. Add to Report with Children
D. Summary Report with Wildcard
Answer: D
Q.In PRTK, which type of attack uses word lists?
A. dictionary attack
B. key space attack
C. brute-force attack
D. rainbow table attack
Answer: A
Q.What is the purpose of the Golden Dictionary?
A. maintains previously created level information
B. maintains previously created profile information
C. maintains a list of the 100 most likely passwords
D. maintains previously recovered passwords
Answer: D
Q.What is the most effective method to facilitate successful password recovery?
A. Art of War
B. Entropy Test
C. Advanced EFS Attack
D. Primary Dictionary Attack
Answer: A
Q.You are attempting to access data from the Protected Storage System Provider (PSSP) area of a registry. How do you accomplish this using PRTK?
A. You drop the SAM file onto the PRTK interface.
B. You drop the NTUSER.dat file onto the PRTK interface.
C. You use the PSSP Attack Marshal from Registry Viewer.
D. This area can not be accessed with PRTK as it is a registry file.
Answer: B
Q.When using PRTK to attack encrypted files exported from a case, which statement is true?
A. PRTK will request the user access control list from FTK.
B. PRTK will generate temporary copies of decrypted files for printing.
C. FTK will stop all active jobs to allow PRTK to decrypt the exported files.
D. File hash values will change when they are saved in their decrypted format.
E. Additional interoperability between PRTK andNTAccess becomes available when files begin decrypting.
Answer: D
Parte 1: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified.HTML
Parte 2: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_11.HTML
Parte 3: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_12.HTML
Parte 4: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_13.HTML
Parte 5: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_14.HTML
Parte 6: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_28.HTML
Parte 7: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_6649.HTML
Parte 8: http://e-forense.blogspot.com/2014/03/q.HTML
Parte 9: http://e-forense.blogspot.com/2014/03/a30-327-ftk-accessdata-certified_31.HTML
Parte 11: http://e-forense.blogspot.com/2014/04/a30-327-ftk-accessdata-certified_3.html
