Italian deft 7 manual 65
Upcoming SlideShare
Loading in...5
×
 

Italian deft 7 manual 65

on

  • 1,074 views

 

Statistics

Views

Total Views
1,074
Views on SlideShare
1,074
Embed Views
0

Actions

Likes
0
Downloads
8
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Italian deft 7 manual 65 Italian deft 7 manual 65 Document Transcript

  • 50 Manuale DEFT 7 6.4 Calcolo dell’hash Dhash è l’unico strumento in DEFT Linux dedicato al calcolo di hash in modalità grafica. dhash: Calcolo dell’hash di un device Avviato il programma, fate clic su open device per scegliere una memoria di massa o su Open file per selezionare un file ionare file. Indicate la tipologia di hash da calcolare (md5, sha1 od entrambi) e fate clic su Starts. Una volta terminata l’operazione è possibile salvare un report html dei risultati facendo i clic su save log. 6.5 Acquisizione di memorie di massa e Come già indicato, in DEFT Linux è possibile acquisire memorie di massa anche tramite interfaccia grafica utilizzando Dhash o Guymager. Il primo è adatto per le acquisizioni in formato dd, mentre il secondo è caldamente consigliato per le acquisizioni in parallelo e r ed in formato ewf.
  • 51 Manuale DEFT 7 6.5.1 Dhash In Dhash, la procedura per l’acquisizione è simile a quella per il calcolo dell’hash. , Selezionate il device da acquisire facendo clic su open device e poi su Acquire Acquire. Potete inoltre decidere di acquisire e comprimere in formato gz spuntando la casella acquisire Compress e/o scegliere se eseguire il calcolo del o degli hash. Acquisizione con calcolo simultaneo degli hash md5 e sha1 Premendo il pulsante Starts è avviata l’acquisizione. Al termine delle attività, è possibile salvare un report in formato html facendo clic sul le pulsante Save log.
  • 52 Manuale DEFT 7 6.5.2 Guymager Guymager permette una gestione più avanzata delle acquisizioni rispetto a Dhash Dhash. Guymage: Gestione caso per la fase di acquisizione Guymager permette, oltre all’acquisizione simultanea di più memorie di massa, anche mager l’inserimento di informazioni quali: • Codice caso; • Catalogazione dell’evidence dell’evidence; • Nome dell’operatore che sta compiendo le operazioni operazioni; • Descrizione dell’oggetto che si sta acquise acquisendo. Il programma supporta tutti i principali formati di acquisizione (dd, aff ed encase) e permette di eseguire il controllo d’integrità, tramite verifica dell’hash md5 o sha256, sia dell’immagine creata sia del device originale (anche su immagini “splittate”). ). Per avviare il processo di acquisizione i Guymager fate clic con il tasto destro del mouse in
  • 53 Manuale DEFT 7 sulla memoria di massa da clonare e selezionare la funzione Acquire image. . Nella finestra Acquire Image è possibile indicare numerosi parametri dell’acquisizione o ll’acquisizione della gestione del caso. 6.6 Ricerca di file e cartelle 6.6.1 Catfish Catfish permette di compiere le stesse operazioni che si possono eseguire a riga di comando tramite i comandi find e locate. Nell’esempio riportato nell’immagine, selezionata la memoria o la cartella dove compiere ato la ricerca, è stata lanciata una ricerca di tutti i file aventi estensione JPG scrivendo nel campo di ricerca *.jpg. Una volta terminata la ricerca è possibile aprire i vari file elencati . con un semplice doppio clic. Catfish: Ricerca di file Nella finestra sono riportate anche ulteriori informazioni dei file riguardanti la data i dell’ultima modifica, il percorso del file e la sua dimensione sul disco.
  • 54 Manuale DEFT 7 6.7 Findwild Findwild è un programma che permettere di ricercare parole all’interno di file. Specificando la directory d’interesse e le parole chiave, è possibile ottenere un elenco dei interesse file contenenti le chiavi di ricerca. Findwild: Ricerca di contenuti
  • 55 Manuale DEFT 7 6.8 Carving di file da GUI Hunchbacked 4most (H4m), disponibile in italiano e inglese, è un’interfaccia grafica per la , gestione delle principali funzioni di foremost e scalpel. Tramite H4m, una volta scelto il programma da impiegare come file carver, è possibile , eseguire il carving con alcuni semplici clic. Hunchbacked 4most Carving di file con Foremost 4most: H4m, una volta indicati il file o il device in cui eseguire la ricerca e la cartella dove , memorizzare i file recuperati, ricerca e salva tutti i file con header e footer specificati der dall’operatore.
  • 56 Manuale DEFT 7 Hunchbacked 4most Carving di file con Scalpel 4most: Oltre ai tradizionali formati di file supportati da Foremost e Scalpel, è possibile personalizzare la ricerca indicando un nuovo file di configurazione contenente gli header ed i footer d’interesse.
  • 57 Manuale DEFT 7 6.9 Gestione di un caso con Autopsy Autopsy forensic browser è un’interfaccia grafica per la gestione delle funzionalità di The Sleuth Kit71. È utilizzata principalmente per la gestione dei casi in cui è richiesta l’analisi di memorie di massa. Autopsy permette di: • utilizzare direttamente il device o le acquisizioni in formato dd, aff ed encase; • visualizzare informazioni sul tipo di file system; • analizzare e identificare il contenuto di file e directory e i loro riferimenti temporali; • recuperare file cancellati; • gestire un database degli hash di file del caso posto ad analisi; • creare ed analizzare timeline; • eseguire ricerche di file per parola chiave; • analizzare meta dati; • creazione di report delle evidenze riscontrate; • creazione di un caso. Avviato Autopsy dalla sezione Disk Forensic, è richiesto all’operatore se intende creare un nuovo caso o aprirne uno esistente. In questo esempio faremo clic su new per la creazione del caso di prova ed inseriremo i dati in nostro possesso per la catalogazione, come nome, descrizione e nominativi degli investigatori: 71 http://www.sleuthkit.org/
  • 58 Manuale DEFT 7 Creazione nuovo caso Una volta confermati i dati in /root/evidence/nome caso sarà creata una dire dati, directory contenente tutti i dati del caso caso. All’interno di un caso possono essere aggiunti uno o più oggetti (raffiguranti o i soggetti appartenenti o i sistemi informatici) facendo clic su add host all’interno del cas ed caso inserendo i dati richiesti:
  • 59 Manuale DEFT 7 Aggiunta di oggetti che compongono il caso Ad ogni oggetto possono essere aggiunt una o più memorie di massa: è sufficiente fare aggiunte clic su add image file, inserire nel campo location o il collegamento diretto ad una memoria di massa (es: /dev/sdx) o il path contenente il file dell’acquisizione ( /dev/sdx) (es: /media/forensic/disco001.dd) /media/forensic/disco001.dd) e specificare se la memoria che stiamo aggiungendo è una partizione o l’intera memoria di massa; per quanto riguarda l’import method per import method, comodità d’uso è caldamente consigliato lasciare il valore predefinito symlink ’uso symlink.
  • 60 Manuale DEFT 7 Aggiunta di memoria di massa all’interno dell’oggetto Una volta aggiunta la memoria sarà chiesto se calcolare, o inserire manualmente se già calcolato, il valore dell’hash md572 e di specificare il nome simbolico della partizione e il ed suo file system. 72 Autopsy supporta solo l’algoritmo di hash md5.
  • 61 Manuale DEFT 7 Gestione valore dell’hash e tipo di file system della/e partizioni La creazione dell’oggetto Disco001 sarà completa al termine delle operazioni precedenti. È possibile continuare ad aggiungere altre memorie all’oggetto o iniziare la nostra analisi facendo clic su Analyze.
  • 62 Manuale DEFT 7 Gestione dell’oggetto Disco001 appartenente al caso L’interfaccia del modulo di analisi permette all’operatore di visualizzare l’albero delle directory della partizione sottoposta ad analisi e, una volta selezionato un file, di visualizzarne un’anteprima del contenuto. L’accesso al file è in sola lettura in modo da non alterarne n i riferimenti temporali n i né né metadati. Nella schermata di analisi è visualizzato: • Il nome file/directory e il suo percorso; ed • I valori temporali come data creazione, ultimo accesso ed ultima modifica modifica; • Il tipo di dato; • Se il dato è stato cancellato o meno (in rosso se vi è stata richiesta l’azione di e in eliminazione del dato).
  • 63 Manuale DEFT 7 Autopsy: File analysis Un’altra funzione interessante è la ricerca per parola chiave. Tale funzione permette la ricerca mediante il comando grep e si estende su tutto l’albero del file system, compreso le lo spazio non allocato. Tale funzione può essere molto lenta nel caso in cui si lanci la ricerca su memorie contenenti molti file o memorie di grandi dimensioni. In questi casi raccomandiamo di avviare la ricerca per parola chiave utilizzando una shell di sistema ed eseguire il grep a riga di comando. La stessa raccomandazione è valida per la creazione di time line.
  • 64 Manuale DEFT 7 Ricerca di file per argomento