sfdumper e cugini
Post on 29-Nov-2014
1.998 Views
Preview:
DESCRIPTION
TRANSCRIPT
http://www.cfitaly.net 1Denis Frati
SFDumper
PrologoUn consulente, operante con tools open source, necessità di recuperare specifici tipi di files dall'immagine di due hard disk, 500 Gb circa.
Alternative:
- affidarsi a tools commerciali;- usare Autopsy Forensic Browser;- creare righe di comando e script specifici.
http://www.cfitaly.net 2Denis Frati
Tools commercialiNo, Thank's!Il consulente preferisce affidarsi all'open source, non per motivi economici, ma per fiducia verso il codice aperto, analizzabile e migliorabile.
http://www.cfitaly.net 3Denis Frati
Autopsy Forensic BrowserAssenza di filtri per tipologia di file od estensione, obbliga ad estrarre i files singolarmente
http://www.cfitaly.net 4Denis Frati
Autopsy – All deleted filesSu volumi ed immagini di grandi dimensioni il browser va in stallo
http://www.cfitaly.net 5Denis Frati
Autopsy – File name search
Può essere ingannato dai files rinominati e permane il vincolo dell'estrazione dei files singolarmente
http://www.cfitaly.net 6Denis Frati
Autopsy – File typeLa visualizzazione dei files ordinati per tipologia non è ancora implementata
http://www.cfitaly.net 7Denis Frati
Autopsy – File type IIL'output dell'ordinamento per tipo non ci da indicazioni sullo stato del file (attivo/cancellato)
Obbligando al recovery del singolo file navigando
tra le directory o affidandosi allo sleut kit# icat -f fat16 -o 0 pendrive.img 582
http://www.cfitaly.net 8Denis Frati
Riga di comando e script
La riga di comando è estremamente potente, tuttavia:- opzioni differenti per ogni tool;nemo@nexus:~$ icatMissing image name and/or addressusage: icat [-hHsvV] [-f fstype] [-i imgtype] [-o imgoffset] image [images] inum[-typ[-id]] -h: Do not display holes in sparse files -r: Recover deleted file -R: Recover deleted file and suppress recovery errors -s: Display slack space at end of file -i imgtype: The format of the image file (use '-i list' for supported types) -f fstype: File system type (use '-f list' for supported types) -o imgoffset: The offset of the file system in the image (in sectors) -v: verbose to stderr -V: Print version
http://www.cfitaly.net 9Denis Frati
Riga di comando e script II
- esigenza di conoscere elementi distintivi del dispositivo/immagine (settore inizio, file system, inode del file), da recuperarsi di volta in volta per ogni caso
Perchénon ottimizzare
i tempi?
http://www.cfitaly.net 10Denis Frati
SFDumper – La genesi
http://www.cfitaly.net 11Denis Frati
SFDumper – Cosa fa?
estrae i file referenziati dal file systemattivicancellati
recupera i file non più referenziati elimina i doppioni consente di ricercare stringhe nei file recuperati
Riconoscendo autonomamente la tipologia di file system ed il settore di inizio dello stesso
http://www.cfitaly.net 12Denis Frati
Non con la magia!
SFDumper – Gli strumenti
Solo lo Sleuth Kite
http://www.cfitaly.net 13Denis Frati
SFDumper – Il metodo
mmls e fsstat permettono di determire le caratteristiche dell'immagine/device
$file_system; $set_iniz; ecc..
fls -F -r -f $file_system -o $set_iniz ecc....
raccolte inode >>file da recuperare
icat -f tipo-fs -o set-iniziale immagine/device inode
http://www.cfitaly.net 14Denis Frati
SFDumper – il metodo II
Successivamente al recupero dei file referenziati, e come unico passo quando non viene riconosciuto alcun tipo di file system supportato dalla Sleuth Kit, viene affettuato il data carving (unallocated space only)
http://www.cfitaly.net 15Denis Frati
SFDumper – Il risultato
http://www.cfitaly.net 16Denis Frati
SFDumper - Vantaggi
Ricerca e recupero dei soli file di interesse;Non subire l'inganno del rename;Conservazion dei nomi file;Recupero dei file non referenziati dal file system;Eliminazione dei doppioni;Possibile ampliamento del data-base di headers & footer per foremost;Codice aperto ispezionabile e migliorabile
http://www.cfitaly.net 17Denis Frati
SFDumper - Guirealizzata con Zenity, tool per visualizzare i box di dialogo di Gtk+, utilizzati per l'inserimento testo, scelta di opzioni e navigazione del file system.
http://www.cfitaly.net 18Denis Frati
SFDumper Bug & Cooming Soon
Il tool risente dei bug dei tool implementati e di tool simili:Mancata individuazione file orfani (as Autopsy)facilmente risolvibile (ifinder.sh/ifind[STK]), ma incrementa i tempi di elaborazione;
Prossimamente:Supporto alle immagini splittate;Miglioramento ricerca per estensioni.
http://www.cfitaly.net 19Denis Frati
SFDumper – Stato attuale
Sourceforge page: http://sfdumper.sourceforge.net/Collaborazioni esterne di revisione codice;Ad oggi 592 download;Utilizzato da consulenti e appartenenti alle FFPP.
http://www.cfitaly.net 20Denis Frati
I cugini di SFDumper
Reverse calculator (Gianni Amato); Yahoo Messenger Chat Revelator; E-Mail Dumper & Inspector; Digital Forenser Expert;
Nati ed inspirati da discussioni e confronti avvenuti in CFI Mailing List, o tra i suoi
appartenenti
http://www.cfitaly.net 21Denis Frati
Reverse calculator
Sviluppato da Gianni Amato, come estensione per Mozilla Firefox, trae ispirazione dal “CFI game summer 2008” che prevedeva il data hiding descritto da Didier Stevenshttp://blog.didierstevens.com/2008/03/31/hiding-inside-wikipedia/ ”
http://www.cfitaly.net 22Denis Frati
Yahoo Messenger Chat Revelator
Il tool realizzato da Gianni Amato trae spunto dallo script per Encase realizzato da Lance Mueller (http://www.forensickb.com/2008/01/searching-for-encrypted-keywords-in.html)
realizzato visual basicportabile su Winedovrebbe lavorare su diversi “messenger”
http://www.cfitaly.net 23Denis Frati
E-mailDumper & Inspector
Nasce dalla necessità di:analizzare ed indicizzare grandi volumi di mail;rendere fruibili a chiunque i dati estratti.
http://www.cfitaly.net 24Denis Frati
E-Mail D&S – il Dumper
Si compone di due moduli:il Dumper, un bash script che estrae le informazioni dai campi della mail e le propone in
formato idoneo ad essere importato su fogli di calcolo;
file di creazione e riempimento data-base MySql;
le estrapola dal file mbox;estrae gli allegati calcolandone MD5 e SHA1
http://www.cfitaly.net 25Denis Frati
E-Mail D&S – Dumper Output
http://www.cfitaly.net 26Denis Frati
E-Mail D&I – l'Inspector L'Inspector è un modulo costituito da pagine php
che si interfacciano al db MySql consentendone la consultazione:attraverso ricerche per mittente, destinatari,
codestinatari, indirizzi IP, oggetto, parole chiave.
in html (attenzione ai link pericolosi!)la visualizzazione con il client di posta
(idem come sopra!)l'apertura dei soli allegati
http://www.cfitaly.net 27Denis Frati
E-Mail D&I – l'InspectorSearch page
http://www.cfitaly.net 28Denis Frati
E-Mail D&I – l'Inspectordetails pages
http://www.cfitaly.net 29Denis Frati
E-Mail D&I – l'InspectorHtml View
http://www.cfitaly.net 30Denis Frati
Digital Forenser Expert
Progetto diBernardo CipollaMira a:•creare un profilo dell'indagato in base a:
•rinvenuto in sequestro
•tipologia di sistemi, FS e software usati•tentativi di data hiding rilevati
http://www.cfitaly.net 31Denis Frati
Digital Forenser Expert II
Assegna un punteggio alle diverse caratteristiche rilevate, cercando con ciò di determinare la tipologia di utente, le sue capacità/pericolosità
http://www.cfitaly.net 32Denis Frati
Digital Forenser Expert IIILa bozza di progetto è interessante potrebbe consentire:la creazione di un profilo evolvendolo in base ai rilievi in divenire;la creazione di un archivio dei soggetti, seguendone l'evoluzione;suggerire all'operatore direzioni di analisi in base alla similitudine di modus operandi/profilo
Servirebbe il supporto di operatori con esperienza per discriminare sulla modalità di valutazione.
http://www.cfitaly.net 34Denis Frati
Finesi ringrazia
Il Magnifico Rettore della LUSPIO Prof. Giuseppe Parlato ed il Dott. Alessandro Mecarelli
Dott. Benedetto Colangelotutti i partecipanti
ricordando :-)
contatti:denis.frati@cybercrimes.it www.denisfrati.it
realizzata con
top related