# Лабораторная работа №2 ### Цель лабораторной работы: Получить навыки расследования кибер-инцидентов средствами утилит форензики, поиска следов злоумышленника в системе. ### Задание: 1. Обнаружить фишинговое письмо. 2. Обнаружить вредоносный код и проанализировать его действие. 3. Выявить, какие данные были скомпрометированы. ### Выполнение: Я открыла образ файла через AccessData FTK Imager. Нашла где сохраняются письма с Outlook и экспартировала письмо.  Далее открыла через https://products.groupdocs.app/ru/viewer/ost  В письме сказано что к нему был прикреплён файл.  Обычно файлы с почты скачиваются в Документы, поэтому я нашла его там:  К письму был приложен файл с вредоносным кодом. В данном файле злоумышленник вначале шифрует пароль 'Qq123456', создаёт пользователя 'WildRushHacker' с данным паролем, далее создаёт папку 'WildRushHackerFolder' и копирует туда файл содержащий информацию о поролях, хранящихся Google Chrome.  Если попытаться открыть данный файл с помощью программы Word, то в окне будет указан формат файла.  Его можно открыть с помощью сайта SQLite Viewer.  В таблицы logins представлены логины и пороли от двух аккаунтов на сайте okko и lamoda. Они и были скомпрометированы.