Labaratory 2 - HackMD

# Labaratory 2 Выполнил Бойко Алексей БСБО-04-19 ![](https://i.imgur.com/rUzw7it.png) Цель лабораторной работы: получить навыки расследования кибер-инцидентов средствами утилит форензики, поиска следов злоумышленника в системе. Входные данные: образ диска Windows 10, пользователь которого подвергся фишинговой атаке через электронную почту и потерял аккаунты, сохранённые в браузере. Переходим в историю браузера. Видим что в браузере не было почты, а были только ламода и окко ![](https://i.imgur.com/rssq6iW.png) Переходим в outlook ![](https://i.imgur.com/yh6a9i1.png) Скачиваем файл ![](https://i.imgur.com/epObG0r.png) В файле видно что хакер создает локального пользователя, после чего создает директорию и переносит файл с аккаунтами из хрома ![](https://i.imgur.com/m3f2UdU.png) ![](https://i.imgur.com/0ofA75Z.png) ![](https://i.imgur.com/37QDoVg.png) Делаем дамп оперативки ![](https://i.imgur.com/T4ijJRd.png) ![](https://i.imgur.com/OU0Z9uL.png) ![](https://i.imgur.com/NjnWg6q.png) Восстанавливаем файлы ![](https://i.imgur.com/fsMOLKA.png) Используя Autopsy получаем всю информацию, что и до этого ![](https://i.imgur.com/2zucnrc.png) ![](https://i.imgur.com/iglePSE.png) ![](https://i.imgur.com/Nxamg71.png) ![](https://i.imgur.com/JBqhJdT.png)