sfdumper e cugini

http://www.cfitaly.net 1Denis Frati

SFDumper

PrologoUn consulente, operante con tools open source, necessità di recuperare specifici tipi di files dall'immagine di due hard disk, 500 Gb circa.

Alternative:

- affidarsi a tools commerciali;- usare Autopsy Forensic Browser;- creare righe di comando e script specifici.

http://www.cfitaly.net/



Tools commercialiNo, Thank's!Il consulente preferisce affidarsi all'open source, non per motivi economici, ma per fiducia verso il codice aperto, analizzabile e migliorabile.




Autopsy Forensic BrowserAssenza di filtri per tipologia di file od estensione, obbliga ad estrarre i files singolarmente




Autopsy – All deleted filesSu volumi ed immagini di grandi dimensioni il browser va in stallo




Autopsy – File name search

Può essere ingannato dai files rinominati e permane il vincolo dell'estrazione dei files singolarmente




Autopsy – File typeLa visualizzazione dei files ordinati per tipologia non è ancora implementata




Autopsy – File type IIL'output dell'ordinamento per tipo non ci da indicazioni sullo stato del file (attivo/cancellato)

Obbligando al recovery del singolo file navigando

tra le directory o affidandosi allo sleut kit# icat -f fat16 -o 0 pendrive.img 582




Riga di comando e script

La riga di comando è estremamente potente, tuttavia:- opzioni differenti per ogni tool;nemo@nexus:~$ icatMissing image name and/or addressusage: icat [-hHsvV] [-f fstype] [-i imgtype] [-o imgoffset] image [images] inum[-typ[-id]] -h: Do not display holes in sparse files -r: Recover deleted file -R: Recover deleted file and suppress recovery errors -s: Display slack space at end of file -i imgtype: The format of the image file (use '-i list' for supported types) -f fstype: File system type (use '-f list' for supported types) -o imgoffset: The offset of the file system in the image (in sectors) -v: verbose to stderr -V: Print version




Riga di comando e script II

- esigenza di conoscere elementi distintivi del dispositivo/immagine (settore inizio, file system, inode del file), da recuperarsi di volta in volta per ogni caso

Perchénon ottimizzare

i tempi?




SFDumper – La genesi




SFDumper – Cosa fa?

estrae i file referenziati dal file systemattivicancellati

recupera i file non più referenziati elimina i doppioni consente di ricercare stringhe nei file recuperati

Riconoscendo autonomamente la tipologia di file system ed il settore di inizio dello stesso




Non con la magia!

SFDumper – Gli strumenti

Solo lo Sleuth Kite




SFDumper – Il metodo

mmls e fsstat permettono di determire le caratteristiche dell'immagine/device

$file_system; $set_iniz; ecc..

fls -F -r -f $file_system -o $set_iniz ecc....

raccolte inode >>file da recuperare

icat -f tipo-fs -o set-iniziale immagine/device inode




SFDumper – il metodo II

Successivamente al recupero dei file referenziati, e come unico passo quando non viene riconosciuto alcun tipo di file system supportato dalla Sleuth Kit, viene affettuato il data carving (unallocated space only)




SFDumper – Il risultato




SFDumper - Vantaggi

Ricerca e recupero dei soli file di interesse;Non subire l'inganno del rename;Conservazion dei nomi file;Recupero dei file non referenziati dal file system;Eliminazione dei doppioni;Possibile ampliamento del data-base di headers & footer per foremost;Codice aperto ispezionabile e migliorabile




SFDumper - Guirealizzata con Zenity, tool per visualizzare i box di dialogo di Gtk+, utilizzati per l'inserimento testo, scelta di opzioni e navigazione del file system.




SFDumper Bug & Cooming Soon

Il tool risente dei bug dei tool implementati e di tool simili:Mancata individuazione file orfani (as Autopsy)facilmente risolvibile (ifinder.sh/ifind[STK]), ma incrementa i tempi di elaborazione;

Prossimamente:Supporto alle immagini splittate;Miglioramento ricerca per estensioni.




SFDumper – Stato attuale

Sourceforge page: http://sfdumper.sourceforge.net/Collaborazioni esterne di revisione codice;Ad oggi 592 download;Utilizzato da consulenti e appartenenti alle FFPP.

http://sfdumper.sourceforge.net/




I cugini di SFDumper

Reverse calculator (Gianni Amato); Yahoo Messenger Chat Revelator; E-Mail Dumper & Inspector; Digital Forenser Expert;

Nati ed inspirati da discussioni e confronti avvenuti in CFI Mailing List, o tra i suoi

appartenenti




Reverse calculator

Sviluppato da Gianni Amato, come estensione per Mozilla Firefox, trae ispirazione dal “CFI game summer 2008” che prevedeva il data hiding descritto da Didier Stevenshttp://blog.didierstevens.com/2008/03/31/hiding-inside-wikipedia/ ”




Yahoo Messenger Chat Revelator

Il tool realizzato da Gianni Amato trae spunto dallo script per Encase realizzato da Lance Mueller (http://www.forensickb.com/2008/01/searching-for-encrypted-keywords-in.html)

realizzato visual basicportabile su Winedovrebbe lavorare su diversi “messenger”




E-mailDumper & Inspector

Nasce dalla necessità di:analizzare ed indicizzare grandi volumi di mail;rendere fruibili a chiunque i dati estratti.




E-Mail D&S – il Dumper

Si compone di due moduli:il Dumper, un bash script che estrae le informazioni dai campi della mail e le propone in

formato idoneo ad essere importato su fogli di calcolo;

file di creazione e riempimento data-base MySql;

le estrapola dal file mbox;estrae gli allegati calcolandone MD5 e SHA1




E-Mail D&S – Dumper Output




E-Mail D&I – l'Inspector L'Inspector è un modulo costituito da pagine php

che si interfacciano al db MySql consentendone la consultazione:attraverso ricerche per mittente, destinatari,

codestinatari, indirizzi IP, oggetto, parole chiave.

in html (attenzione ai link pericolosi!)la visualizzazione con il client di posta

(idem come sopra!)l'apertura dei soli allegati




E-Mail D&I – l'InspectorSearch page




E-Mail D&I – l'Inspectordetails pages




E-Mail D&I – l'InspectorHtml View




Digital Forenser Expert

Progetto diBernardo CipollaMira a:•creare un profilo dell'indagato in base a:

•rinvenuto in sequestro

•tipologia di sistemi, FS e software usati•tentativi di data hiding rilevati




Digital Forenser Expert II

Assegna un punteggio alle diverse caratteristiche rilevate, cercando con ciò di determinare la tipologia di utente, le sue capacità/pericolosità




Digital Forenser Expert IIILa bozza di progetto è interessante potrebbe consentire:la creazione di un profilo evolvendolo in base ai rilievi in divenire;la creazione di un archivio dei soggetti, seguendone l'evoluzione;suggerire all'operatore direzioni di analisi in base alla similitudine di modus operandi/profilo

Servirebbe il supporto di operatori con esperienza per discriminare sulla modalità di valutazione.




Domande




Finesi ringrazia

Il Magnifico Rettore della LUSPIO Prof. Giuseppe Parlato ed il Dott. Alessandro Mecarelli

Dott. Benedetto Colangelotutti i partecipanti

ricordando :-)

contatti:[email protected] www.denisfrati.it

realizzata con



sfdumper e cugini

Technology