Alarm Clock of Justice

The Alarm Clock of Justice wakes your computer from standby and hibernation to play an alarm consisting of movies, music, CDs, and/or running programs, scripts, batchfiles, and ANY type of file your computer knows how to run. Alarms can also include web addresses and a built-in reminder system can speak reminders with a customizable display (including flashing random colors). Volume effects include unmuting the volume, setting the volume to a certain level, random volume, and alternating the volume between two customizable levels for four customizable amounts of time.
Built in support for Windows Media Player is included, and used as a backup in case your regular media player reports an error. Waking from standby and hibernation is customizable with the amount of time to wake up from before your alarm plays, whether to enable "insomniac mode", and whether to play your alarm if your computer wakes up within a customizable amount of time (default: 60 seconds) of the alarm. It runs in the system tray and can optionally run at startup with a specific configuration. The time format is customizable (24 hour or 12 hour). Extensive tests are included to make sure your computer can wake from hibernation and standby. Configurations allow for unlimited alarms.OS: Windows 2000, Windows XP, Windows Vista, or (probably) higher. http://www.forrestheller.com/alarm2/

Turn on lightbulb with the Alarm Clock and a printer

used the Alarm Clock of Justice 2.0 to run an AutoHotKey script that made a printer print a file. The printer cartridges are connected to a string which is connected to a light switch. This video has very bad quality and editing.

http://www.forrestheller.com/light_bulb/

http://www.youtube.com/watch?v=LcjQyWV6xGI

CIPAV

In juni 2007 kreeg de FBI een officiële toelating van het Amerikaanse Federaal Hof om spyware te installeren op een aantal pc's om na te gaan wie achter de bom dreiging zat in een school niet ver van Olympia, Washington. De spyware wordt geïnstalleerd via e-mail en rapporteert de computer zijn IP adres, MAC adres, informatie van het register en updates welke IP adressen (websites) contact mee opnam. De FBI noemt de software een "computer and internet protocol address verifier," oftewel CIPAV. De vraag is nog steeds hoe de FBI langs de anti-virus en adaware software raakte. Hiervoor zouden twee logische antwoorden zijn: de FBI gebruikt een voorgedefinieerde achterpoort in het besturingssysteem of hebben een “deal” gesloten met security producenten. De spyware is enkel een dreiging voor Windows computers.


Het volledige rapport is hier te vinden. http://www.politechbot.com/docs/fbi.cipav.sanders.search.warrant.071607.pdf

Gnucitizen's GHDB

GNUCITIZEN is a creative hacker organization. So, what does that mean? Well, it means that everything on GNUCITIZEN is about creativity and hacking. It also means that the content and all projects released as part of the organization are written and developed by, guess what, creative hackers. Creativity and hacking are closely related terms and very often they can substitute each other, but we like to put them together just to stress our identity.

How does GNUCITIZEN differentiate from other hacker organizations? Although 99.9% of the content published under the GNUCITIZEN hat is mostly about security, we tackle hacking from many different angles. To hack something does not necessarily means to penetrate it security-wise. Hacking is a creative form of expressing ourselves in a clever way. GNUCITIZEN members fall back to IT security very often, since this is what we can do best. However, we have other creative project on the line as well. Currently we concentrate our efforts on the Web2.0 sphere. We find it a very fascinating thing to work on.

http://www.gnucitizen.org/projects/ghdb

GHDB (a.k.a. Google Hacking Database) is HTML/JavaScript wrapper application that uses advance JavaScript techniques to scrape information from Johnny’s Google Hacking Database without the need for hosted server side scripts.

In attempt to show the real dangers of AJAX APIs they’ve created a completely harmless interface to Johnny’s Google Hacking Database. Keep in mind that no service side scripts are required from the Gnucitizen side. Also, keep in mind that all they provide is a single HTML page with a few JavaScript files to glue the interface together.

Returnil Virtual System

http://www.returnilvirtualsystem.com/index.htm


Returnil Virtual System is a powerful technology that clones a copy of your System Partition in memory and can create a file based Virtual Partition where you can save documents, data, and files while using the System Protection feature. Returnil Virtual System protects your computer from harmful viruses, Spyware and unwanted programs, preserves your computer settings, and ensures your Internet Privacy. Simply restart your computer to erase all changes.


When the Returnil protection is ON, your Windows system is running on a virtual partition meaning that every single change in the system partition actually takes place in memory. Therefore, all data and modifications will be lost after your system reboots. By restarting you PC, Returnil will discard all attempted changes made to your System Partition while Protection is ON.

When the Returnil Protection is OFF, you can install or remove any programs, create documents, install security upgrades and software patches, alter configurations, and update user accounts. All changes in the system partition will remain following a reboot.

Features

The Returnil Virtual System:
> Keeps your System Partition safe when browsing the Internet
> Viruses, Trojans, Worms, Adware, Spyware, and unwanted content disappear with a simple reboot
> Enforces settings and protects your internet privacy
> Helps reduce overall disk wear by using memory rather than HDD cloning technology
> Saves you time, money, and lost hair by maintaining or improving peak computer performance
> Reduces or eliminates the need for routine disk de-fragmentation of your system partition
> Your spam filter is strong, but not infallible – Returnil will eliminate the consequences of opening infected e-mail and/or attachments
> Leaves absolutely no traces of computer activities
> Eliminates all activities even if your computer is powered-off or crashes
> Eliminates the danger of evaluating new software that does not require a reboot to install
> Offers stronger, simpler and smarter protection for your PC
> Seamless integration with supported Windows Operating Systems
> Easy to use, simple to configure, and the one tool in your arsenal that will be there to save the day when all else fails!

Hacker Evolution

http://www.exosyphen.net/site-hacker-evolution/HackerEvolution-GamePlayMovie.wmv

From the creators of a successful hacker games series (Digital Hazard, BS Hacker, etc) Hacker Evolution is a new hacking simulation game, featuring unparalleled graphics and features.You play the role of a former intelligence agent, specializing in computer security. When a chain of events sets off worldwide, leaving critical service disabled, you assume the role a computer hacker to find out what happened and attempt to stop it.When a stock market, a central bank, satellite uplink and transoceanic fiber optics links crash, you know this is more then a simple event. Something big is behind all this, and you have to figure out what is it.You hack into computers, look for exploits and information, steal money to buy hardware upgrades in an attempt to put all the pieces of a big puzzle, together.Set in a virtual operating system environment, the game is packed with all the features required to bring the hacker feeling and experience to every gamer.The concept behind Hacker Evolution is to create a game that challenges the gamer's intelligence, attention and focus, creating a captivating mind game. Solve puzzles, examine code and bits of information, to help you achieve your objectives.

Game features:
Modding capability to allow the creation of custom levels.
The included mod editor, allows you to create new game levels easily.
Multiple interface skins
Complex levels and gameplay to guarantee the best experience
Optional freelance jobs to offer more variety
Complex command console with over 20 commands and tools System requirements:

RBCFINANCE - Onze firma stelt u met grote vreugde de functie van de financiele medewerker voor.

Op dinsdag 3 april heb ik een zevental mails ontvangen met hetzelfde onderwerp: RBCFINANCE - Onze firma stelt u met grote vreugde de functie van de financiele medewerker voor. De mail bevatte dezelfde inhoud:

RBCFINANCE - Onze firma stelt u met grote vreugde de functie van de financiele medewerker voor.

Een beetje informatie over onze firma.
Onze firma werd in 1998 gesticht en neemt tegenwoordig een van de belangrijkste posities op het gebied van consulting, audit, brokers-diensten en financien.
Onze filialen zijn vertegenwoordigd in 9 landen, waaronder de meest belangrijke landen in West-Europa (Duitsland, Groot Brittanie, Frankrijk, Finland) alsmede de Verenigde Staten en Canada.
Elke medewerker van onze firma krijgt een opdracht, die hij (of zij) thuis kan doen.
Dat is dan het grootste voordeel van onze firma.
Met elk jaar groeit het aantal medewerkers van onze firma overal in de wereld.
De belangrijkste eigenschappen van onze firma zijn menselijkheid en wederzijds begrip.
De inkomen van onze firma worden steeds groter. En omdat het inkomen van de firma groeit, wordt het salaris van elke medewerker steeds hoger.
Vacatures, functies van de “Financiele medewerker”
De belangrijkste taak van zulke functionaris is snelle bewerking van financiele stromen van geldwissels. Wij stellen het hoge inkomenniveau voor alsmede het maken van de carriere in overeenstemming met behaalde resultaten.
Als u bij onze firma begint te werken kunt u 8.000 euro per maand verdienen plus 5% van elk door u bewerkte geldbedrag.
Indien u als “Financiele medewerker” bij onze firma werkt, krijgt u:
- Hoog salaris: 8000 euro + 5% (vervolgens kan uw salaries tot 30000 euro per maand stijgen)
- Arbeidsovereenkomst (op basis van wederzijds voordelige samenwerking)
- Vrijheid in de planning van uw eigen werk.
- Het maken van carriere en de stijging van uw salaris.
- Mogelijkheid om dit werk met uw full-time baan te combineren.
- Mogelijkheid om thuis via internet te werken
Eisen die gesteld worden aan de kandidaat:
- Vaardigheden op het gebied van planning en organisatie van de activiteiten.
- Mogelijkheid om 3 a 4 uur per dag te werken.
- Kennis van de PC, Internet, E-mail op het niveau van de gevorderde gebruiker.
- Meerderjarige leeftijd.
Als u daartoe bereid bent kunt u beginnen als Financiele mederwerker bij onze firma te werken.
U krijgt dan de mogelijkheid om snel een goede carriere te maken en een hoog salaris te krijgen. Veel medewerkers van ons team waren begonnen met hun werk bij onze firma per se als financiele medewerkers.
_________________________________________________________________________________________________________________________
Om een baantje bij onze firma te krijgen dient u het aanvraagformulier in te vullen door u persoonlijke gegevens daarin op te schrijven.
Het aanvraagformulier vindt u op http://9565701117.rbcfinance.hk/
Nadat u het aanvraagformulier hebt ingevuld, neemt onze operator contact met u binnen 10 uur vanaf het moment van het invullen door u een mail-bericht te sturen of telefonisch op het telefoonnummer dat u in het aanvraagformulier hebt ingeschreven.
Attentie:
Let u goed op bij het invullen van het aanvraagformulier.
___________________________________________________________________________________________________________________________________________
Met elk jaar groeit onze firma aanzienlijk en heeft steeds nieuwe medewerkers nodig.
Wij zijn altijd blij met nieuwe functionarissen.
Administratief personeel van RBCFINANCE.

Als je echter de bron van het document opvraagt, zie je bij de link voor het aanvraagformulier telkens een andere url:

http://96673.rbcfinance.hk
http://39300.rbcfinance.hk
http://50503.rbcfinance.hk
http://26243.rbcfinance.hk
http://2433682127.rbcfinance.hk
http://5275831150.rbcfinance.hk
http://9565701117.rbcfinance.hk

Hieruit is al op te maken dat er iets vreemds aan de hand is. Alhoewel de tekst in het Nederlands is geschreven, verwijzen deze links naar een .hk domein. HK is de extensie voor Hong Kong. Das niet goed...
RBC is inderdaad een bank. Deze bevindt zich echter in Canada en opereert onder de link www.rbc.com. RBC staat voor de "Royal Bank of Canada". Bovenstaande mail heeft in geen enkel opzicht iets te maken met deze bank. De naam wordt wel misbruikt voor het versturen van deze Nederlandstalige mail.

Met behulp van de domaincheck van CentralOps krijgen we de volgende informatie terug:
Domain Name: RBCFINANCE.HK
Contract Version: HKDNR latest version
Registrant Contact Information:
Holder English Name: ZAXIK KIKAX
Holder Chinese Name:
Email: gyhjs@safe-mail.net
Domain Name Commencement Date: 2007-03-30
Country: US
Expiry Date: 2008-03-30
Re-registration Status: Complete
Name of Registrar: HKDNR
Account Name: HK1857643T
Technical Contact:
First name: MILE
Last name: ROGERS
Company Name: ZAXIK KIKAX
Name Servers Information: NS1.NSGROLER.NET NS2.NSGROLER.NET

Harddisk investigations

De afgelopen weken heb ik voor enkele euro's wat harddisken opgekocht. Omdat werkelijk forensisch onderzoek van harddisken niet elke dag voorbij komt (althans in mijn branche), en het goed is om wat ervaring op te doen, leek het mij een goed idee om dat te doen op deze harddisken. Om de harddisken op een juiste wijze te kunnen onderzoeken hebben we natuurlijk bepaalde tools nodig. Om een harddisk aan te kunnen sluiten op de pc of laptop waar het forensisch onderzoek zal plaatsvinden kun je gebruik maken van een externe harddisk case. Deze kunnen meestal alleen maar 1 type harddisk aan, IDE of SATA. Je zult dus 2 verschillende cases moeten hebben. Een goed alternatief is een Kama Connect kabel. De kabel kan aangesloten worden op een USB poort, beschikt over zowel IDE als SATA aansluitingen EN de nodige stroomvoorziening, en omdat er niet gebruik wordt gemaakt van een kastje om de harddisk in te plaatsen is de kabel ook nog eens makkelijk mee te nemen. De prijs van het kabeltje is ongeveer 25 euro. Bij onderzoek van servers wordt het natuurlijk een heel ander verhaal, en zullen we een andere keer onder de loep nemen.

Elk onderzoek dat wordt uitgevoerd moet bij voorkeur plaatsvinden op een forensische kopie. Als je op de originele harddisk zelf gaat snuffelen loop je het risico bewijs te "beschadigen". Om een kopie te maken dien je te beschikken over een programma dat een bitstream kopie kan maken. Hiervoor zijn diverse programma's geschikt. Ik gebruik in dit geval FTK imager van Accessdata. FTK imager is te dowloaden van de site. Ze adviseren bij het imagen gebruik te maken van een hardwarematige writeblocker. Hiermee wordt ook weer voorkomen dat er bestanden worden aangepast op de originele schijf. Omdat ik op dit moment nog niet beschik over een hardwarematige writeblocker maak ik gebruik van een softwarematige writeblocker van Innovision. Een volledige versie is kosteloos te downloaden. Deze zorgt ervoor dat de USB poort alleen nog maar geschikt is om data te lezen en niets meer weg kan schrijven.

Schrijven
Voordat de schijf gekopieerd wordt beginnen we met een onderzoek van de uiterlijke kenmerken. Alle informatie dienen we op te schrijven, dus beginnen we met de buitenkant. Om alles gestructureerd te doen heb ik een formulier ontworpen. Dit formulier zorgt ervoor dat we in ieder geval elke keer weer dezelfde stappen ondernemen in ons onderzoek.

Sluit eerst de harddisk aan op de Kama Connect kabel.
NOG NIET AANSLUITEN OP DE USB POORT VAN DE PC/LAPTOP
Zet de stroom op de harddisk
Let op of de harddisk normaal spint of afwijkende geluiden maakt

Start op de pc/laptop eerst computerbeheer op. Zet het scherm op schijfbeheer. Hiermee kun je bij het aansluiten van de harddisk een goede indicatie krijgen over de status.

Nu kan de harddisk aangesloten worden op de USB poort.

De FTK Imager is makkelijk te bedienen.
File --> Create disk image
Selecteer "Physical Drive" --> volgende
Selecteer "\\.\PHYSICALDRIVE1 - ?????? USB Device(0 USB) --> voltooien (?=naam hd)
Add --> Raw(dd)--> volgende
Geef nu een plek op voor het image
Geef ook een naam op voor het image (geef het image een herkenbare naam)
Maak het vakje met 650 leeg (dit is voor als je naar cd wilt imagen)
Voltooien
Als je tijd genoeg hebt kun je de optie "Verify images after they are created" aan zetten. Hou er rekening mee dat dit het imageproces in tijd verdubbeld. Bij een oefenschijf niet nodig, maar bij een echt onderzoek wel!
Start

Afhankelijk van de status, de aanwezige hoeveelheid data en de grootte van de harddisk kan het imageproces enkele uren duren. Als de status "in orde" is zal het proces redelijk snel verlopen.



Na een succesvolle image gemaakt te hebben zie je drie bestanden:

- xxxxxxxxxx.001.csv filelist
- xxxxxxxxxx.001 image
- xxxxxxxxxx.001.txt summery oftewel informatiebestand

De originele harddisk kan nu worden verzegeld en opgeborgen.

De filelist kan ingelezen worden in excel en geeft een eerste goede indruk van de gevonden bestanden.

De summery kan worden uitgeprint en bij het onderzoeksrapport worden bewaard.

Information for C:\test:

Physical Evidentiary Item (Source) Information:
[Drive Geometry]
Cylinders: 524
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 8.421.840
[Physical Drive Information]
Drive Model: ST34313A USB Device
Drive Interface Type: USB
Source data size: 4112 MB
Sector count: 8421840
[Computed Hashes]
MD5 checksum: a59adc7befe74a5c2280b481e4503ee3
SHA1 checksum: 8ef93d21bf0c03734124b39540585b1345f13b7b

Image Information:
Segment list:
C:\test.001


De volgende stap is ook weer afhankelijk van de aanwezige tools. Het is gebruikelijk een extra kopie van de image te maken. Hiermee voorkom je dat je een nieuwe image moet maken van het origineel als de kopie tijdens het onderzoek corrupt zou raken.
De image die ik nu heb gemaakt met FTK imager kan ingelezen worden in verschillende programma's. Het zou echter prettig zijn om door het bestand te kunnen browsen. Door het bestand te mounten, en op die manier aan te koppelen als nieuwe driveletter, kan dat. We doen dat met het programma P2 eXplorer van Paraben.



De tijdens het imagen gemaakte cvs file bevat 48820 records. Deze bevatten de volgende informatie:
Filename, Full Path, Size, Created, Modified, Accessed, Is deleted
Hiermee kunnen we een goede indicatie krijgen van de aanwezige bestanden.

Vervolgens kijken we naar de gemounte schijf. Een eerste blik kan ons al veel vertellen.

Door de eigenschappen op te vragen zien we in dit geval:

capaciteit : 4.311.949.312 bytes (4.01 Gb)
gebruikt : 4.105.465.856 bytes (3.82 Gb)
beschikbaar : 206.483.456 bytes (196 Mb)

Een volle schijf dus...

De root:

--- Folder: E:\ ---
Name Size Type Changed
compaq [Folder] Bestandsmap 11-1-2006 8:09
Documents and Settings [Folder] Bestandsmap 23-11-2005 12:13
My Download Files [Folder] Bestandsmap 11-1-2006 8:09
My Downloads [Folder] Bestandsmap 2-3-2006 12:22
My Games [Folder] Bestandsmap 11-1-2006 8:05
Program Files [Folder] Bestandsmap 23-11-2005 9:30
Setup [Folder] Bestandsmap 11-1-2006 8:10
temp [Folder] Bestandsmap 23-1-2006 20:53
ustat [Folder] Bestandsmap 29-6-2005 14:58
WINDOWS [Folder] Bestandsmap 23-5-2006 9:51
AUTOEXEC.BAT 0 bytes MS-DOS-batchbestand 19-12-2004 2:18
Bc520rtl.dll 224,50 kB Toepassingsuitbreiding 25-3-1997 5:02
bds52.dll 90,51 kB Toepassingsuitbreiding 25-3-1997 5:02
Bivbx30.dll 103,50 kB Toepassingsuitbreiding 28-6-1996 15:25
CONFIG.SYS 0 bytes Systeembestand 19-12-2004 2:18
MsnHandWriting.dll 44,00 kB Toepassingsuitbreiding 1-2-2005 19:45
owl52.dll 1,06 MB Toepassingsuitbreiding 25-3-1997 5:02
PCM_rtl.dll 76,41 kB Toepassingsuitbreiding 10-4-1999 15:14
PCM_Time.dll 3,01 kB Toepassingsuitbreiding 9-4-1999 20:37
StubInstaller.exe 680,00 kB Toepassing 15-9-2005 18:54
UNWISE.EXE 239,77 kB Toepassing 24-9-1998 11:33
--- 10 folders, 11 files (2,48 MB). ---

Totally 10 folders and 11 files (2,48 MB).


De Pagefile.sys en de hiberfile.sys geven het tijdstip aan waarop de disk voor het laatst als normaal besturingssysteem aan is geweest.
De boot.ini inhoud laat zien dat de disk als enkelvoudig besturingssysteem aanwezig is geweest.

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

De map "Documents and Settings" laat 6 accounts zien:

--- Folder: E:\Documents and Settings\ ---

Administrator [Folder] Bestandsmap 27-1-2005 22:31
All Users [Folder] Bestandsmap 28-1-2005 21:53
Default User [Folder] Bestandsmap 28-1-2005 21:53
k.......... [Folder] Bestandsmap 27-10-2005 17:15
l.......... [Folder] Bestandsmap 25-1-2006 11:12
LocalService [Folder] Bestandsmap 19-12-2004 2:31
m.......... [Folder] Bestandsmap 27-10-2005 15:21
NetworkService [Folder] Bestandsmap 19-12-2004 2:30
o.......... [Folder] Bestandsmap 27-10-2005 17:07

Uit privacy overwegingen heb ik de namen van de gebruikersaccounts aangepast.

Radius, the rollable display

We staan aan het begin van een nieuw tijdperk wat mobiele devices betreft. De Radius is een oprolbaar display. Alhoewel het hele apparaatje niet groter is dan een mobiele telefoon, kan het schermpje uitgerold worden tot zo'n 13 cm. De ontwikkeling tot een commercieel product heeft wel enkele jaren geduurd, maar is nu eindelijk zover om op de markt te brengen. Het display is met name geschikt voor leesvoer en beschikt over 16 grijstinten. Door gebruikmaking van een speciale techniek en een hoog contrast kan zelfs bij zonlicht een tekst gewoon worden gelezen. Doordat het apparaatje beschikt over een usb poort en wifi kan men rss feeds, nieuws, e-mails, e-books, pdf bestanden of een plattegrond bekijken. Ook is het mogelijk om geluidsbestanden te downloaden en te beluisteren. De Radius heeft een opslagcapaciteit van minimaal 4 Gb. Naar verwachting zal de Radius in de loop van 2007 op de markt komen. Prijs nog onbekend.

http://www.polymervision.com/ProductsApplications/Readius/Index.html

Forensic Discovery e-Book Free!

Je kan het boek natuurlijk kopen, maar Addison-Wesley heeft in dit geval toestemming gegeven het boek ook digitaal aan te bieden, gratis! Het boek is geschreven door Wietse Venema en Dan Farmer, de makers van de The Coroner’s Toolkit (TCT) . Het boek Forensic Discovery laat zien dat je uit elke hoek van de pc informatie kan halen.

Het boek is opgedeeld in drie delen. In deel 1 wordt ingegaan op de basisprincipes en technieken van forensisch onderzoek. In deel 2 wordt het bestandssysteem, processen en het OS verder bekeken. De nadruk in dit deel ligt in het inzichtelijk maken van gevonden gegevens en het toetsen van deze gegevens op betrouwbaarheid.
Deel 3 gaat in op de blijvende aanwezigheid van weggegooide bestanden. Veel "verdwenen" informatie blijkt nog gewoon aanwezig te zijn. Informatie de encrypt is, maar in niet encrypte vorm rondzwerft in het geheugen.

Automatic TIF cleaning (Temporary Internet Files)

Elk bezoek aan internet laat zijn sporen achter. De map Temporary Internet Files bevat een aantal subdirectories met hierin gegevens van bezochte pagina's. Het voordeel hiervan is dat bij een volgend bezoek aan dezelfde pagina gegevens uit deze "cache" geladen kunnen worden. Een forensisch onderzoeker kan echter met behulp van deze gegevens het volledige internetgedrag reconstrueren.
Een registerinstelling kan ervoor zorgen dat de TIF map voortaan wordt geleegd bij het afsluiten van de Internet Explorer. Klik op Start --> uitvoeren en type Regedit.exe. Zoek de registersleutel HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache. Dubbelklik op de DWORD-waarde Persistent en type in het vak Waardegegevens een 0. Sluit nu het register. Herstart de pc. De TIF map wordt vanaf nu geleegd bij het afsluiten van IE.