sfdumper e cugini

http://www.cfitaly.net 1Denis Frati

SFDumper

PrologoUn consulente, operante con tools open source, necessità di recuperare specifici tipi di files dall'immagine di due hard disk, 500 Gb circa.

Alternative:

- affidarsi a tools commerciali;- usare Autopsy Forensic Browser;- creare righe di comando e script specifici.

http://www.cfitaly.net 2Denis Frati

Tools commercialiNo, Thank's!Il consulente preferisce affidarsi all'open source, non per motivi economici, ma per fiducia verso il codice aperto, analizzabile e migliorabile.

http://www.cfitaly.net 3Denis Frati

Autopsy Forensic BrowserAssenza di filtri per tipologia di file od estensione, obbliga ad estrarre i files singolarmente

http://www.cfitaly.net 4Denis Frati

Autopsy – All deleted filesSu volumi ed immagini di grandi dimensioni il browser va in stallo

http://www.cfitaly.net 5Denis Frati

Autopsy – File name search

Può essere ingannato dai files rinominati e permane il vincolo dell'estrazione dei files singolarmente

http://www.cfitaly.net 6Denis Frati

Autopsy – File typeLa visualizzazione dei files ordinati per tipologia non è ancora implementata

http://www.cfitaly.net 7Denis Frati

Autopsy – File type IIL'output dell'ordinamento per tipo non ci da indicazioni sullo stato del file (attivo/cancellato)

Obbligando al recovery del singolo file navigando

tra le directory o affidandosi allo sleut kit# icat -f fat16 -o 0 pendrive.img 582

http://www.cfitaly.net 8Denis Frati

Riga di comando e script

La riga di comando è estremamente potente, tuttavia:- opzioni differenti per ogni tool;nemo@nexus:~$ icatMissing image name and/or addressusage: icat [-hHsvV] [-f fstype] [-i imgtype] [-o imgoffset] image [images] inum[-typ[-id]] -h: Do not display holes in sparse files -r: Recover deleted file -R: Recover deleted file and suppress recovery errors -s: Display slack space at end of file -i imgtype: The format of the image file (use '-i list' for supported types) -f fstype: File system type (use '-f list' for supported types) -o imgoffset: The offset of the file system in the image (in sectors) -v: verbose to stderr -V: Print version

http://www.cfitaly.net 9Denis Frati

Riga di comando e script II

- esigenza di conoscere elementi distintivi del dispositivo/immagine (settore inizio, file system, inode del file), da recuperarsi di volta in volta per ogni caso

Perchénon ottimizzare

i tempi?

http://www.cfitaly.net 10Denis Frati

SFDumper – La genesi

http://www.cfitaly.net 11Denis Frati

SFDumper – Cosa fa?

estrae i file referenziati dal file systemattivicancellati

recupera i file non più referenziati elimina i doppioni consente di ricercare stringhe nei file recuperati

Riconoscendo autonomamente la tipologia di file system ed il settore di inizio dello stesso

http://www.cfitaly.net 12Denis Frati

Non con la magia!

SFDumper – Gli strumenti

Solo lo Sleuth Kite

http://www.cfitaly.net 13Denis Frati

SFDumper – Il metodo

mmls e fsstat permettono di determire le caratteristiche dell'immagine/device

$file_system; $set_iniz; ecc..

fls -F -r -f $file_system -o $set_iniz ecc....

raccolte inode >>file da recuperare

icat -f tipo-fs -o set-iniziale immagine/device inode

http://www.cfitaly.net 14Denis Frati

SFDumper – il metodo II

Successivamente al recupero dei file referenziati, e come unico passo quando non viene riconosciuto alcun tipo di file system supportato dalla Sleuth Kit, viene affettuato il data carving (unallocated space only)

http://www.cfitaly.net 15Denis Frati

SFDumper – Il risultato

http://www.cfitaly.net 16Denis Frati

SFDumper - Vantaggi

Ricerca e recupero dei soli file di interesse;Non subire l'inganno del rename;Conservazion dei nomi file;Recupero dei file non referenziati dal file system;Eliminazione dei doppioni;Possibile ampliamento del data-base di headers & footer per foremost;Codice aperto ispezionabile e migliorabile

http://www.cfitaly.net 17Denis Frati

SFDumper - Guirealizzata con Zenity, tool per visualizzare i box di dialogo di Gtk+, utilizzati per l'inserimento testo, scelta di opzioni e navigazione del file system.

http://www.cfitaly.net 18Denis Frati

SFDumper Bug & Cooming Soon

Il tool risente dei bug dei tool implementati e di tool simili:Mancata individuazione file orfani (as Autopsy)facilmente risolvibile (ifinder.sh/ifind[STK]), ma incrementa i tempi di elaborazione;

Prossimamente:Supporto alle immagini splittate;Miglioramento ricerca per estensioni.

http://www.cfitaly.net 19Denis Frati

SFDumper – Stato attuale

Sourceforge page: http://sfdumper.sourceforge.net/Collaborazioni esterne di revisione codice;Ad oggi 592 download;Utilizzato da consulenti e appartenenti alle FFPP.

http://www.cfitaly.net 20Denis Frati

I cugini di SFDumper

Reverse calculator (Gianni Amato); Yahoo Messenger Chat Revelator; E-Mail Dumper & Inspector; Digital Forenser Expert;

Nati ed inspirati da discussioni e confronti avvenuti in CFI Mailing List, o tra i suoi

appartenenti

http://www.cfitaly.net 21Denis Frati

Reverse calculator

Sviluppato da Gianni Amato, come estensione per Mozilla Firefox, trae ispirazione dal “CFI game summer 2008” che prevedeva il data hiding descritto da Didier Stevenshttp://blog.didierstevens.com/2008/03/31/hiding-inside-wikipedia/ ”

http://www.cfitaly.net 22Denis Frati

Yahoo Messenger Chat Revelator

Il tool realizzato da Gianni Amato trae spunto dallo script per Encase realizzato da Lance Mueller (http://www.forensickb.com/2008/01/searching-for-encrypted-keywords-in.html)

realizzato visual basicportabile su Winedovrebbe lavorare su diversi “messenger”

http://www.cfitaly.net 23Denis Frati

E-mailDumper & Inspector

Nasce dalla necessità di:analizzare ed indicizzare grandi volumi di mail;rendere fruibili a chiunque i dati estratti.

http://www.cfitaly.net 24Denis Frati

E-Mail D&S – il Dumper

Si compone di due moduli:il Dumper, un bash script che estrae le informazioni dai campi della mail e le propone in

formato idoneo ad essere importato su fogli di calcolo;

file di creazione e riempimento data-base MySql;

le estrapola dal file mbox;estrae gli allegati calcolandone MD5 e SHA1

http://www.cfitaly.net 25Denis Frati

E-Mail D&S – Dumper Output

http://www.cfitaly.net 26Denis Frati

E-Mail D&I – l'Inspector L'Inspector è un modulo costituito da pagine php

che si interfacciano al db MySql consentendone la consultazione:attraverso ricerche per mittente, destinatari,

codestinatari, indirizzi IP, oggetto, parole chiave.

in html (attenzione ai link pericolosi!)la visualizzazione con il client di posta

(idem come sopra!)l'apertura dei soli allegati

http://www.cfitaly.net 27Denis Frati

E-Mail D&I – l'InspectorSearch page

http://www.cfitaly.net 28Denis Frati

E-Mail D&I – l'Inspectordetails pages

http://www.cfitaly.net 29Denis Frati

E-Mail D&I – l'InspectorHtml View

http://www.cfitaly.net 30Denis Frati

Digital Forenser Expert

Progetto diBernardo CipollaMira a:•creare un profilo dell'indagato in base a:

•rinvenuto in sequestro

•tipologia di sistemi, FS e software usati•tentativi di data hiding rilevati

http://www.cfitaly.net 31Denis Frati

Digital Forenser Expert II

Assegna un punteggio alle diverse caratteristiche rilevate, cercando con ciò di determinare la tipologia di utente, le sue capacità/pericolosità

http://www.cfitaly.net 32Denis Frati

Digital Forenser Expert IIILa bozza di progetto è interessante potrebbe consentire:la creazione di un profilo evolvendolo in base ai rilievi in divenire;la creazione di un archivio dei soggetti, seguendone l'evoluzione;suggerire all'operatore direzioni di analisi in base alla similitudine di modus operandi/profilo

Servirebbe il supporto di operatori con esperienza per discriminare sulla modalità di valutazione.

http://www.cfitaly.net 33Denis Frati

Domande

http://www.cfitaly.net 34Denis Frati

Finesi ringrazia

Il Magnifico Rettore della LUSPIO Prof. Giuseppe Parlato ed il Dott. Alessandro Mecarelli

Dott. Benedetto Colangelotutti i partecipanti

ricordando :-)

contatti:denis.frati@cybercrimes.it www.denisfrati.it

realizzata con