https://www.louslab.be/ 2026-05-07T13:45:48+00:00 https://www.louslab.be/ https://www.louslab.be/lib/exe/fetch.php?media=wiki:dokuwiki.svg text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:base64&rev=1731780894&do=diff base64 digital_forensics context dit document geeft wat uitleg rond base64 encoding en decoding. context * aanvankelijk ontworpen om ASCII tekst naar binaire tekens om te zetten zodat die op een veilige (consistente) manier over het netwerk kunnen verstuurd worden waar die aan het eind dan terug omgezet worden. text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:clamav&rev=1731780894&do=diff ClamAV digital_forensics context dit document bevat installatie (op Debian) en werking rond ClamAV, een OpenSource malware scanner. installatie apt-get install clamav werking clamscan <bestand>: bestand scannen clamscan <bestand>: bestand scannen en “OK”-boodschap onderdrukken text/html 2025-01-17T18:24:25+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:curl&rev=1737138265&do=diff curl digital_forensics context dit document geeft wat uitleg rond gebruik van curl, swiss-army knife voor up-/download van/naar eender waar. context * standaard op elk modern OS. ja, zelfs Windows heeft dat built-in! werking telnet telnet client wordt nog steeds vaak gebruikt, maar op Windows enkel als text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:didierstevenstools&rev=1731780894&do=diff DidierStevensTools digital_forensics context dit document beschijft installatie (en, misschien later, werking) van DidierStevensTools, een suite van programma's voor digital forensics. installatie * download de laatste versie van de blog: cd /tmp && curl <http://didierstevens.com/files/software/DidierStevensSuite.zip> --output DidierStevens.zip text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:digital_forensics&rev=1731780894&do=diff digital_forensics digital_forensics text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:dumpit&rev=1731780894&do=diff dumpit digital_forensics context dit document beschrijft de werking van dumpit, een tool om een RAM image te maken installatie * as stand-alone as they come * download naar een gedeelde map op je SIFT workstation. werking algemeen in hoofdzaak kan je met dumpit: * een volledige dump van het geheugen maken. text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:emailadres_verificatie&rev=1731780894&do=diff emailadres verificatie digital_forensics context dit document beschrijft hoe je kunt nagaan of een emailadres bestaat stappenplan * zoek de MX-record op voor de mailserver: dig <domain> mx * verbind met de SMTP-server: telnet <smtp-server> 25 * zeg vriendelijk goeiedag: text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:erik_zimmerman_tools&rev=1731780894&do=diff Erik Zimmerman Tools digital_forensics context dit document bevat wat interessante informatie rond de Erik Zimmerman Tools installatie * download de PowerShell installer naar een gedeelde map op de server * open het bestand met Powershell alle tools worden nu naar die gedeelde map gekopieerd. text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:eventlogexplorer&rev=1731780894&do=diff EventlogExplorer digital_forensics context dit document beschrijft installatie en werking van EventlogExplorer, een tool waarmee je vlotjes doorheen de Windows Eventviewer wandelt installatie * download pagina vraagt wat registratie zodat je netjes je serial ontvangt. nadien kan je rechtstreeks gaan: text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:exiftool&rev=1731780894&do=diff Exiftool digital_forensics context dit document beschijft installatie (en, misschien later, werking) van exiftool, een programma om metadata te lezen. installatie * download de laatste versie van SourceForge: cd /tmp && wget <https://sourceforge.net/projects/exiftool/files/Image-ExifTool-12.38.tar.gz> * pak het bestand uit: tar -xvzf Image-ExifTool-12.38.tar.gz text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:ftk_imager&rev=1731780894&do=diff FTK Imager digital_forensics context dit document beschrijft installatie en werking van FTK imager installatie * download de installer (beetje vervelend dat je moet registreren om de link te krijgen, maar goed) * controleer de installer even op VirusTotal * next, next, next en gedaan. text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:goede_opensource_tools&rev=1731780894&do=diff goede OpenSource tools digital_forensics context dit document geeft enkele goeie OpenSource tools gebruikt voor digitaal forensics overzicht * Autopsy * Foremost (carve data): <http://foremost.sourceforge.net/> * network miner: <https://sourceforge.net/projects/networkminer/> * wireshark * registry explorer (lijkt onderdeel te zijn van text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:hexdump&rev=1731780894&do=diff hexdump digital_forensics context dit document geeft wat uitleg rond hexdump, een tool om uit een binair bestand leesbare tekens te halen context * werking hexdump -C <bestand>: meer info digital_forensics hexdump linux text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:kape&rev=1731780894&do=diff Kape digital_forensics context dit document beschrijft installatie en werking van Kape, een tool van Eric Zimmerman voor triage van Windows artefacts installatie * download het zip-bestand. * pak het uit naar een directory opo een gedeelde map. werking * meld ( text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:magnet_process_capture&rev=1731780894&do=diff MAGNET Process Capture digital_forensics context dit document beschrijft installatie en werking van MAGNET Process Capture installatie * download de installer (beetje vervelend dat je moet registreren om de link te krijgen, maar goed) * controleer de installer even op text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:magnet_ram_capture&rev=1731780894&do=diff magnet RAM Capture digital_forensics context dit document beschrijft de werking van magnet RAM Capture, een tool om een RAM image te maken installatie * as stand-alone as they come * vriendelijk op je knieën gaan en via email krijg je je download link * laat de download gerust es langs text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:myfw_debian11&rev=1731780894&do=diff Myfw debian11 digital_forensics context dit document beschijft de installatie van Myfw (My Forensic Workstation), een Linux server met bruikbare tools voor DFIR. Specifiek op Debian11. installatie * installeer Debian11 * werk het OS bij: apt-get update && apt-get upgrade text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:myfw&rev=1731780894&do=diff Myfw digital_forensics context dit document beschijft de installatie van Myfw (My Forensic Workstation), een Linux server met bruikbare tools voor DFIR. installatie * installeer een Debian / Ubuntu * werk het OS bij: apt-get update && apt-get upgrade * installeer volgende rpm's: text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:pestudio&rev=1731780894&do=diff pestudio digital_forensics context dit document beschijft installatie (en, misschien later, werking) van pestudio. installatie * download de laatste versie van Winitors website: cd /tmp && wget <https://www.winitor.com/tools/pestudio/current/pestudio.zip> * pak het bestand uit: zip pestudio.zip -d /home/shares/software * laat het even langs text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:processhacker&rev=1731780894&do=diff ProcessHacker digital_forensics context dit document beschijft installatie (en, misschien later, werking) van ProcessHacker installatie * download de laatste versie van SourceForge: cd /home/shares/software && wget <https://sourceforge.net/projects/processhacker/files/latest> && mv latest processhacker * laat het nog even langs text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:recon-ng&rev=1731780894&do=diff recon-ng digital_forensics context dit document beschrijft installatie en werking van Recon-ng, een reconnaissence tool. installatie rpm apt-get install recon-ng (check vooraf de versie via apt changelog recon-ng) source * clone de Github repo: cd /tmp/ && git clone text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:reconnaissance&rev=1731780894&do=diff reconnaissance digital_forensics context dit document beschijft een stappenplan voor reconnaissance uitgaand van een domein ahv enkele eenvoudige basiscommando's. belangrijker dan de tools is de methodologie: tools zijn er om ons te helpen, niet om voor ons te denken! text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:samba_share&rev=1731780894&do=diff Samba share digital_forensics context dit document beschrijft hoe je de Samba shares aanmaakt op Myfw installatie * installeer samba: apt-get install samba samba-client * maak onderstaande mappen aan: mkdir -p /home/shares/cases /home/shares/software * maak onderstaande groepen aan: text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:shodan&rev=1731780894&do=diff shodan digital_forensics context dit document beschrijft installatie en werking van Shodan. installatie volg hiervoor shodan artikel werking initialisatie shodan init <API key> account details shodan info zoeken shodan search <string> shodan search <string> -- text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:sift_workstation&rev=1731780894&do=diff SIFT workstation digital_forensics context dit document beschrijft de installatie van SIFT workstation, een analyse werkstation voor digital forensics. installatie old school * installeer Ubuntu 20.04 * installeer de SIFT-CLI Als je wat kort door de bocht wil gaan: text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:trid&rev=1731780894&do=diff TrID digital_forensics context dit document bevat installatie en werking rond TrID, een programma om een bestandstype te identificeren. installatie Windows choco install trid Linux * deel van SIFT workstation. tridupdate doet db update. * handmatig: * mkdir /tmp/trid && cd /tmp/trid text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:volatility&rev=1731780894&do=diff Volatility digital_forensics context dit document beschrijft de werking van Volatility, een memory forensics framework profiles * afhankelijk van het OS waarop je dump nam * overzicht: vol.py --info * Windows minidump (.dmp) worden (nog) niet ondersteund. text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:whois&rev=1731780894&do=diff whois digital_forensics context dit document beschrijft enkele zoekacties met whois context * bevraagt whois databases waarin informatie rond domein registratie bewaard wordt. werking standaard whois <domein>-H --verbose: vraagt info op, met meest mogelijke details (oa gebruikte whois server) met uitzonderin van legalese. text/html 2024-11-16T18:14:54+00:00 Anonymous (anonymous@undisclosed.example.com) https://www.louslab.be/doku.php?id=digital_forensics:write-protect_usb_storage&rev=1731780894&do=diff write-protect usb storage digital_forensics context dit document beschrijft hoe je USB storage write-protect om te voorkomen dat er data naar een USB apparataat wordt geschreven. stappenplan * meld aan met administrator privileges * open Registry: regedit *