sfdumper e cugini
DESCRIPTION
presentazione dei tools per la computer forensics sviluppati, o in via di sviluppo, nell'ambito di Computer Forensics Italy mailing listTRANSCRIPT
![Page 1: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/1.jpg)
http://www.cfitaly.net 1Denis Frati
SFDumper
PrologoUn consulente, operante con tools open source, necessità di recuperare specifici tipi di files dall'immagine di due hard disk, 500 Gb circa.
Alternative:
- affidarsi a tools commerciali;- usare Autopsy Forensic Browser;- creare righe di comando e script specifici.
![Page 2: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/2.jpg)
http://www.cfitaly.net 2Denis Frati
Tools commercialiNo, Thank's!Il consulente preferisce affidarsi all'open source, non per motivi economici, ma per fiducia verso il codice aperto, analizzabile e migliorabile.
![Page 3: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/3.jpg)
http://www.cfitaly.net 3Denis Frati
Autopsy Forensic BrowserAssenza di filtri per tipologia di file od estensione, obbliga ad estrarre i files singolarmente
![Page 4: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/4.jpg)
http://www.cfitaly.net 4Denis Frati
Autopsy – All deleted filesSu volumi ed immagini di grandi dimensioni il browser va in stallo
![Page 5: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/5.jpg)
http://www.cfitaly.net 5Denis Frati
Autopsy – File name search
Può essere ingannato dai files rinominati e permane il vincolo dell'estrazione dei files singolarmente
![Page 6: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/6.jpg)
http://www.cfitaly.net 6Denis Frati
Autopsy – File typeLa visualizzazione dei files ordinati per tipologia non è ancora implementata
![Page 7: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/7.jpg)
http://www.cfitaly.net 7Denis Frati
Autopsy – File type IIL'output dell'ordinamento per tipo non ci da indicazioni sullo stato del file (attivo/cancellato)
Obbligando al recovery del singolo file navigando
tra le directory o affidandosi allo sleut kit# icat -f fat16 -o 0 pendrive.img 582
![Page 8: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/8.jpg)
http://www.cfitaly.net 8Denis Frati
Riga di comando e script
La riga di comando è estremamente potente, tuttavia:- opzioni differenti per ogni tool;nemo@nexus:~$ icatMissing image name and/or addressusage: icat [-hHsvV] [-f fstype] [-i imgtype] [-o imgoffset] image [images] inum[-typ[-id]] -h: Do not display holes in sparse files -r: Recover deleted file -R: Recover deleted file and suppress recovery errors -s: Display slack space at end of file -i imgtype: The format of the image file (use '-i list' for supported types) -f fstype: File system type (use '-f list' for supported types) -o imgoffset: The offset of the file system in the image (in sectors) -v: verbose to stderr -V: Print version
![Page 9: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/9.jpg)
http://www.cfitaly.net 9Denis Frati
Riga di comando e script II
- esigenza di conoscere elementi distintivi del dispositivo/immagine (settore inizio, file system, inode del file), da recuperarsi di volta in volta per ogni caso
Perchénon ottimizzare
i tempi?
![Page 10: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/10.jpg)
http://www.cfitaly.net 10Denis Frati
SFDumper – La genesi
![Page 11: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/11.jpg)
http://www.cfitaly.net 11Denis Frati
SFDumper – Cosa fa?
estrae i file referenziati dal file systemattivicancellati
recupera i file non più referenziati elimina i doppioni consente di ricercare stringhe nei file recuperati
Riconoscendo autonomamente la tipologia di file system ed il settore di inizio dello stesso
![Page 12: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/12.jpg)
http://www.cfitaly.net 12Denis Frati
Non con la magia!
SFDumper – Gli strumenti
Solo lo Sleuth Kite
![Page 13: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/13.jpg)
http://www.cfitaly.net 13Denis Frati
SFDumper – Il metodo
mmls e fsstat permettono di determire le caratteristiche dell'immagine/device
$file_system; $set_iniz; ecc..
fls -F -r -f $file_system -o $set_iniz ecc....
raccolte inode >>file da recuperare
icat -f tipo-fs -o set-iniziale immagine/device inode
![Page 14: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/14.jpg)
http://www.cfitaly.net 14Denis Frati
SFDumper – il metodo II
Successivamente al recupero dei file referenziati, e come unico passo quando non viene riconosciuto alcun tipo di file system supportato dalla Sleuth Kit, viene affettuato il data carving (unallocated space only)
![Page 15: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/15.jpg)
http://www.cfitaly.net 15Denis Frati
SFDumper – Il risultato
![Page 16: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/16.jpg)
http://www.cfitaly.net 16Denis Frati
SFDumper - Vantaggi
Ricerca e recupero dei soli file di interesse;Non subire l'inganno del rename;Conservazion dei nomi file;Recupero dei file non referenziati dal file system;Eliminazione dei doppioni;Possibile ampliamento del data-base di headers & footer per foremost;Codice aperto ispezionabile e migliorabile
![Page 17: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/17.jpg)
http://www.cfitaly.net 17Denis Frati
SFDumper - Guirealizzata con Zenity, tool per visualizzare i box di dialogo di Gtk+, utilizzati per l'inserimento testo, scelta di opzioni e navigazione del file system.
![Page 18: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/18.jpg)
http://www.cfitaly.net 18Denis Frati
SFDumper Bug & Cooming Soon
Il tool risente dei bug dei tool implementati e di tool simili:Mancata individuazione file orfani (as Autopsy)facilmente risolvibile (ifinder.sh/ifind[STK]), ma incrementa i tempi di elaborazione;
Prossimamente:Supporto alle immagini splittate;Miglioramento ricerca per estensioni.
![Page 19: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/19.jpg)
http://www.cfitaly.net 19Denis Frati
SFDumper – Stato attuale
Sourceforge page: http://sfdumper.sourceforge.net/Collaborazioni esterne di revisione codice;Ad oggi 592 download;Utilizzato da consulenti e appartenenti alle FFPP.
![Page 20: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/20.jpg)
http://www.cfitaly.net 20Denis Frati
I cugini di SFDumper
Reverse calculator (Gianni Amato); Yahoo Messenger Chat Revelator; E-Mail Dumper & Inspector; Digital Forenser Expert;
Nati ed inspirati da discussioni e confronti avvenuti in CFI Mailing List, o tra i suoi
appartenenti
![Page 21: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/21.jpg)
http://www.cfitaly.net 21Denis Frati
Reverse calculator
Sviluppato da Gianni Amato, come estensione per Mozilla Firefox, trae ispirazione dal “CFI game summer 2008” che prevedeva il data hiding descritto da Didier Stevenshttp://blog.didierstevens.com/2008/03/31/hiding-inside-wikipedia/ ”
![Page 22: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/22.jpg)
http://www.cfitaly.net 22Denis Frati
Yahoo Messenger Chat Revelator
Il tool realizzato da Gianni Amato trae spunto dallo script per Encase realizzato da Lance Mueller (http://www.forensickb.com/2008/01/searching-for-encrypted-keywords-in.html)
realizzato visual basicportabile su Winedovrebbe lavorare su diversi “messenger”
![Page 23: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/23.jpg)
http://www.cfitaly.net 23Denis Frati
E-mailDumper & Inspector
Nasce dalla necessità di:analizzare ed indicizzare grandi volumi di mail;rendere fruibili a chiunque i dati estratti.
![Page 24: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/24.jpg)
http://www.cfitaly.net 24Denis Frati
E-Mail D&S – il Dumper
Si compone di due moduli:il Dumper, un bash script che estrae le informazioni dai campi della mail e le propone in
formato idoneo ad essere importato su fogli di calcolo;
file di creazione e riempimento data-base MySql;
le estrapola dal file mbox;estrae gli allegati calcolandone MD5 e SHA1
![Page 25: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/25.jpg)
http://www.cfitaly.net 25Denis Frati
E-Mail D&S – Dumper Output
![Page 26: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/26.jpg)
http://www.cfitaly.net 26Denis Frati
E-Mail D&I – l'Inspector L'Inspector è un modulo costituito da pagine php
che si interfacciano al db MySql consentendone la consultazione:attraverso ricerche per mittente, destinatari,
codestinatari, indirizzi IP, oggetto, parole chiave.
in html (attenzione ai link pericolosi!)la visualizzazione con il client di posta
(idem come sopra!)l'apertura dei soli allegati
![Page 27: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/27.jpg)
http://www.cfitaly.net 27Denis Frati
E-Mail D&I – l'InspectorSearch page
![Page 28: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/28.jpg)
http://www.cfitaly.net 28Denis Frati
E-Mail D&I – l'Inspectordetails pages
![Page 29: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/29.jpg)
http://www.cfitaly.net 29Denis Frati
E-Mail D&I – l'InspectorHtml View
![Page 30: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/30.jpg)
http://www.cfitaly.net 30Denis Frati
Digital Forenser Expert
Progetto diBernardo CipollaMira a:•creare un profilo dell'indagato in base a:
•rinvenuto in sequestro
•tipologia di sistemi, FS e software usati•tentativi di data hiding rilevati
![Page 31: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/31.jpg)
http://www.cfitaly.net 31Denis Frati
Digital Forenser Expert II
Assegna un punteggio alle diverse caratteristiche rilevate, cercando con ciò di determinare la tipologia di utente, le sue capacità/pericolosità
![Page 32: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/32.jpg)
http://www.cfitaly.net 32Denis Frati
Digital Forenser Expert IIILa bozza di progetto è interessante potrebbe consentire:la creazione di un profilo evolvendolo in base ai rilievi in divenire;la creazione di un archivio dei soggetti, seguendone l'evoluzione;suggerire all'operatore direzioni di analisi in base alla similitudine di modus operandi/profilo
Servirebbe il supporto di operatori con esperienza per discriminare sulla modalità di valutazione.
![Page 34: Sfdumper e cugini](https://reader034.vdocuments.us/reader034/viewer/2022051323/547bb192b4795972098b4ef2/html5/thumbnails/34.jpg)
http://www.cfitaly.net 34Denis Frati
Finesi ringrazia
Il Magnifico Rettore della LUSPIO Prof. Giuseppe Parlato ed il Dott. Alessandro Mecarelli
Dott. Benedetto Colangelotutti i partecipanti
ricordando :-)
contatti:[email protected] www.denisfrati.it
realizzata con