التحقيق في محادثات discord

[H4x0r]

السلام عليكم ورحمة الله وبركاته
​

من فترة كذا مر علي سيناريو في مسابقة و كان كثير حلو و فيه حتى أكثر من شيء حبيت اليوم احكي فيها .

الآن الهكر لما بده يبعثلك مالوير بحتاج delivery عشان يبعثلك المالوير عن طريقه وفي غالب الأحيان يكون برامج التواصل الاجتماعي زي " واتس أب , فيس بوك , تلجرام و ديسكورد , إيميل إلخ " ...

أول ما بلشت تحقيق كنت بدور على شيء الضحية نزله بس للأسف ما لقيت , بعدين بلشت أدور أيش في برامج ممكن تكون delivery و جدت الديسكورد, تمام الآن أنا معي DISK Image و عشان أعرف اسم البرنامج ومين يلي بعثه للضحية أنا بحاجة إني أشوف المحادثة , تمام في هذا المقال رح نشوف كيف ممكن نشوف محادثات ديسكورد أثناء التحقيق .

أول شيء بدي أروح على المسار يلي موجود في ديسكورد

الآن أنا بهمني أشوف cache , رح نفوت فيه ورح تلاقي مجلد Cache_Data, نعم صحيح نفس cache chrome ومش مشفرة يعني ممكن تشوف ال cache بس لما تفوت على المجلد رح تشوف هذا الشيء

لا تقلق يا عزيزي حكيتلك هو نفس cache يعني ممكن نستخدم التول تاعت chrome رح أحطلك الرابط تبعها :

https://www.nirsoft.net/utils/chrome_cache_view.html​

رح نستخدم هاي التول عشان نعرض cache :

إذا بتلاحظ صارت الأمور شوي أوضح, الآن بدنا نحدد على شو رح ندور إحنا حكينا بدنا المحادثات, ملفات المحداثات بتلاقيها بأسم "messages?limit=50" مش دائمًا 50 بس في هذا السياق وهو رح يكون ملف json

خلونا نشوف الملف:

يعني زي ما أنت شايف ممكن تقدر تطلع محادثات بس صعب تفهم السياق بطريقة كاملة , لذلك رح نحتاج نعمل تول تحول هذا الملف إلى html طبعًا بمساعدة gpt والموضوع بكون أسرع.

شغل هذا الكود على ملف json رح ينتج ملف html رح تكون المحادثة :

شوف هذا الجزء يلي بهمني ملفrar هذا هوmal

أتمنى أن تكون هذه المقالة مفيدة ,
وإذا في أي موضوع حاب نكتب عنه في مجال DFIR يا ريت تكتب في التعليق
إن أحسنت فمن الله وإن أخطأت من نفسي والشيطان​

 

[Mr_Code]

من جد ابدعت, شكرا لهذي المعلومات القيمة

 

[STORMSTORM is verified member.]

السلام عليكم ..
من فترة كذا مر علي سيناريو في مسابقة و كان كثير حلو و فيه حتى كدا حبيت اليوم احكي فيها .. الان الهكر لما بدو بلعتلك مالوير بحتاج delivery عشان يبعتلك المالوير عن طريقه و في غالب الاحيان بكون برامج التواصل الاجتماعي زي " واتس اب , فيس بوك , تلجرام و ديسكورد ... الخ " او ايميل ... تمام ...
اول ما بلشت تحقيق كنت بدور ع اشي الضحية نلزلو بس للاسف ما لقيت بعدين بلشت ادور شة في برامج ممكن تكون delivery و جدت الديسكورد تمام الان انا معي DISK Image و عشان اعرف اسم البرنامج و مين يلي بعتو للضحية انا بحاجة اني اشوف المحادثة تمام ... في هذا المقال رح نشوف كيف ممكن نشوف محادثات ديسكورد اثناء التحقيق ..
اول اشي بدي اروح على المسار يلي موجود في ديسكورد ..

مشاهدة المرفق 9265
الان انا بهمني اشوف cache رح نفوت فيه رح تلاقي مجلد Cache_Data نعم صحيح نفس cache chrome و مش مشفرة يعني ممكن تشوف ال cache بس لما تفوت على المجلد رح تشوف هذا الاشي

مشاهدة المرفق 9266
لا تقلق يا عزيزي حكتلك هو نفس cache يعني ممكن نستخدم التول تاعت chrome رح احطلك الرابط تبعها :
https://www.nirsoft.net/utils/chrome_cache_view.html
رح نستخدم هاي التول عشان نعرض cache
مشاهدة المرفق 9267اذا بتلاحظ صارت الامور شوي اوضح الان بدنا نحدد ع شو رح ندور احنا حكينا بدنا المحادثات ملفات المحداثات بتلاقيها بأسم " messages?limit=50 "مش دايما 50 بس في هذا السياق و هو رح يكون ملفjson

مشاهدة المرفق 9268
خلونا نشوف الملف
مشاهدة المرفق 9269يعني زي ما انتا شايف ممكن تقدرطلع محادثات بس صعب تفهم السياق بطريقة كاملة
لذلك رح نحتاج نعمل تول تحول هذا الملف الى html طبعا بمساعدة gpt و الموضوع بكون اسرع

شغل هذا الكود على ملف json رح ينتج ملف html رح تكون المحاثة
مشاهدة المرفق 9271شوف هذا الجزء يلي بهمني ملفrar هذا هو mal اتمنى ان تكون هذه المقالة مفيدة

++ تنسيق الكلام و الاخطاء بعد الفطور ههههههه
و اذا في اي موضوع حاب نكتب عنو في مجال DFIR يا ريت تكتب في التعليق

ان احسنت فامن الله و ان اخطأت من نفسي او الشيطان

بارك الله فيك حبيب وجزاك الله كل خير ننتظر جديدك دايماً

 

[أبو البراءأبو البراء is verified member.]

استمر يا مبدع، وهنيئا لك الرجعة