SlideShare a Scribd company logo

Italian deft 7 manual 65

M
mstrom62
Technology
1 of 15
Download to read offline
50 Manuale DEFT 7 6.4 Calcolo dell’hash Dhash è l’unico strumento in DEFT Linux dedicato al calcolo di hash in modalità grafica. dhash: Calcolo dell’hash di un device Avviato il programma, fate clic su open device per scegliere una memoria di massa o su Open file per selezionare un file ionare file. Indicate la tipologia di hash da calcolare (md5, sha1 od entrambi) e fate clic su Starts. Una volta terminata l’operazione è possibile salvare un report html dei risultati facendo i clic su save log. 6.5 Acquisizione di memorie di massa e Come già indicato, in DEFT Linux è possibile acquisire memorie di massa anche tramite interfaccia grafica utilizzando Dhash o Guymager. Il primo è adatto per le acquisizioni in formato dd, mentre il secondo è caldamente consigliato per le acquisizioni in parallelo e r ed in formato ewf.
51 Manuale DEFT 7 6.5.1 Dhash In Dhash, la procedura per l’acquisizione è simile a quella per il calcolo dell’hash. , Selezionate il device da acquisire facendo clic su open device e poi su Acquire Acquire. Potete inoltre decidere di acquisire e comprimere in formato gz spuntando la casella acquisire Compress e/o scegliere se eseguire il calcolo del o degli hash. Acquisizione con calcolo simultaneo degli hash md5 e sha1 Premendo il pulsante Starts è avviata l’acquisizione. Al termine delle attività, è possibile salvare un report in formato html facendo clic sul le pulsante Save log.
52 Manuale DEFT 7 6.5.2 Guymager Guymager permette una gestione più avanzata delle acquisizioni rispetto a Dhash Dhash. Guymage: Gestione caso per la fase di acquisizione Guymager permette, oltre all’acquisizione simultanea di più memorie di massa, anche mager l’inserimento di informazioni quali: • Codice caso; • Catalogazione dell’evidence dell’evidence; • Nome dell’operatore che sta compiendo le operazioni operazioni; • Descrizione dell’oggetto che si sta acquise acquisendo. Il programma supporta tutti i principali formati di acquisizione (dd, aff ed encase) e permette di eseguire il controllo d’integrità, tramite verifica dell’hash md5 o sha256, sia dell’immagine creata sia del device originale (anche su immagini “splittate”). ). Per avviare il processo di acquisizione i Guymager fate clic con il tasto destro del mouse in
53 Manuale DEFT 7 sulla memoria di massa da clonare e selezionare la funzione Acquire image. . Nella finestra Acquire Image è possibile indicare numerosi parametri dell’acquisizione o ll’acquisizione della gestione del caso. 6.6 Ricerca di file e cartelle 6.6.1 Catfish Catfish permette di compiere le stesse operazioni che si possono eseguire a riga di comando tramite i comandi find e locate. Nell’esempio riportato nell’immagine, selezionata la memoria o la cartella dove compiere ato la ricerca, è stata lanciata una ricerca di tutti i file aventi estensione JPG scrivendo nel campo di ricerca *.jpg. Una volta terminata la ricerca è possibile aprire i vari file elencati . con un semplice doppio clic. Catfish: Ricerca di file Nella finestra sono riportate anche ulteriori informazioni dei file riguardanti la data i dell’ultima modifica, il percorso del file e la sua dimensione sul disco.
54 Manuale DEFT 7 6.7 Findwild Findwild è un programma che permettere di ricercare parole all’interno di file. Specificando la directory d’interesse e le parole chiave, è possibile ottenere un elenco dei interesse file contenenti le chiavi di ricerca. Findwild: Ricerca di contenuti
55 Manuale DEFT 7 6.8 Carving di file da GUI Hunchbacked 4most (H4m), disponibile in italiano e inglese, è un’interfaccia grafica per la , gestione delle principali funzioni di foremost e scalpel. Tramite H4m, una volta scelto il programma da impiegare come file carver, è possibile , eseguire il carving con alcuni semplici clic. Hunchbacked 4most Carving di file con Foremost 4most: H4m, una volta indicati il file o il device in cui eseguire la ricerca e la cartella dove , memorizzare i file recuperati, ricerca e salva tutti i file con header e footer specificati der dall’operatore.
56 Manuale DEFT 7 Hunchbacked 4most Carving di file con Scalpel 4most: Oltre ai tradizionali formati di file supportati da Foremost e Scalpel, è possibile personalizzare la ricerca indicando un nuovo file di configurazione contenente gli header ed i footer d’interesse.
57 Manuale DEFT 7 6.9 Gestione di un caso con Autopsy Autopsy forensic browser è un’interfaccia grafica per la gestione delle funzionalità di The Sleuth Kit71. È utilizzata principalmente per la gestione dei casi in cui è richiesta l’analisi di memorie di massa. Autopsy permette di: • utilizzare direttamente il device o le acquisizioni in formato dd, aff ed encase; • visualizzare informazioni sul tipo di file system; • analizzare e identificare il contenuto di file e directory e i loro riferimenti temporali; • recuperare file cancellati; • gestire un database degli hash di file del caso posto ad analisi; • creare ed analizzare timeline; • eseguire ricerche di file per parola chiave; • analizzare meta dati; • creazione di report delle evidenze riscontrate; • creazione di un caso. Avviato Autopsy dalla sezione Disk Forensic, è richiesto all’operatore se intende creare un nuovo caso o aprirne uno esistente. In questo esempio faremo clic su new per la creazione del caso di prova ed inseriremo i dati in nostro possesso per la catalogazione, come nome, descrizione e nominativi degli investigatori: 71 http://www.sleuthkit.org/
58 Manuale DEFT 7 Creazione nuovo caso Una volta confermati i dati in /root/evidence/nome caso sarà creata una dire dati, directory contenente tutti i dati del caso caso. All’interno di un caso possono essere aggiunti uno o più oggetti (raffiguranti o i soggetti appartenenti o i sistemi informatici) facendo clic su add host all’interno del cas ed caso inserendo i dati richiesti:
59 Manuale DEFT 7 Aggiunta di oggetti che compongono il caso Ad ogni oggetto possono essere aggiunt una o più memorie di massa: è sufficiente fare aggiunte clic su add image file, inserire nel campo location o il collegamento diretto ad una memoria di massa (es: /dev/sdx) o il path contenente il file dell’acquisizione ( /dev/sdx) (es: /media/forensic/disco001.dd) /media/forensic/disco001.dd) e specificare se la memoria che stiamo aggiungendo è una partizione o l’intera memoria di massa; per quanto riguarda l’import method per import method, comodità d’uso è caldamente consigliato lasciare il valore predefinito symlink ’uso symlink.
60 Manuale DEFT 7 Aggiunta di memoria di massa all’interno dell’oggetto Una volta aggiunta la memoria sarà chiesto se calcolare, o inserire manualmente se già calcolato, il valore dell’hash md572 e di specificare il nome simbolico della partizione e il ed suo file system. 72 Autopsy supporta solo l’algoritmo di hash md5.
61 Manuale DEFT 7 Gestione valore dell’hash e tipo di file system della/e partizioni La creazione dell’oggetto Disco001 sarà completa al termine delle operazioni precedenti. È possibile continuare ad aggiungere altre memorie all’oggetto o iniziare la nostra analisi facendo clic su Analyze.
62 Manuale DEFT 7 Gestione dell’oggetto Disco001 appartenente al caso L’interfaccia del modulo di analisi permette all’operatore di visualizzare l’albero delle directory della partizione sottoposta ad analisi e, una volta selezionato un file, di visualizzarne un’anteprima del contenuto. L’accesso al file è in sola lettura in modo da non alterarne n i riferimenti temporali n i né né metadati. Nella schermata di analisi è visualizzato: • Il nome file/directory e il suo percorso; ed • I valori temporali come data creazione, ultimo accesso ed ultima modifica modifica; • Il tipo di dato; • Se il dato è stato cancellato o meno (in rosso se vi è stata richiesta l’azione di e in eliminazione del dato).
63 Manuale DEFT 7 Autopsy: File analysis Un’altra funzione interessante è la ricerca per parola chiave. Tale funzione permette la ricerca mediante il comando grep e si estende su tutto l’albero del file system, compreso le lo spazio non allocato. Tale funzione può essere molto lenta nel caso in cui si lanci la ricerca su memorie contenenti molti file o memorie di grandi dimensioni. In questi casi raccomandiamo di avviare la ricerca per parola chiave utilizzando una shell di sistema ed eseguire il grep a riga di comando. La stessa raccomandazione è valida per la creazione di time line.
64 Manuale DEFT 7 Ricerca di file per argomento

Recommended

Apache Parte 1
Apache Parte 1Apache Parte 1
Apache Parte 1Majong DevJfu
 
Italian deft 7 manual 90
Italian deft 7 manual 90Italian deft 7 manual 90
Italian deft 7 manual 90mstrom62
 
Drupal - per chi vuole iniziare
Drupal - per chi vuole iniziareDrupal - per chi vuole iniziare
Drupal - per chi vuole iniziareSalvatore Paone
 
I software per le indagini informatiche
I software per le indagini informaticheI software per le indagini informatiche
I software per le indagini informaticheGiovanni Fiorino
 
Presentazione Tesi Marco Ventura
Presentazione Tesi Marco VenturaPresentazione Tesi Marco Ventura
Presentazione Tesi Marco Venturaguest335584
 
Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1I.S.I.S. "Antonio Serra" - Napoli
 
Lezione corso Base GNU/Linux
Lezione corso Base GNU/LinuxLezione corso Base GNU/Linux
Lezione corso Base GNU/LinuxAlex Palesandro
 
Installazione di koha_su_debian_v2_0_20_12_2014
Installazione di koha_su_debian_v2_0_20_12_2014Installazione di koha_su_debian_v2_0_20_12_2014
Installazione di koha_su_debian_v2_0_20_12_2014Joaquim Hangalo
 

Recommended

Apache Parte 1
Apache Parte 1Apache Parte 1
Apache Parte 1Majong DevJfu
 
Italian deft 7 manual 90
Italian deft 7 manual 90Italian deft 7 manual 90
Italian deft 7 manual 90mstrom62
 
Drupal - per chi vuole iniziare
Drupal - per chi vuole iniziareDrupal - per chi vuole iniziare
Drupal - per chi vuole iniziareSalvatore Paone
 
I software per le indagini informatiche
I software per le indagini informaticheI software per le indagini informatiche
I software per le indagini informaticheGiovanni Fiorino
 
Presentazione Tesi Marco Ventura
Presentazione Tesi Marco VenturaPresentazione Tesi Marco Ventura
Presentazione Tesi Marco Venturaguest335584
 
Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1Sistema Operativo - LInux - Modulo 2.1
Sistema Operativo - LInux - Modulo 2.1I.S.I.S. "Antonio Serra" - Napoli
 
Lezione corso Base GNU/Linux
Lezione corso Base GNU/LinuxLezione corso Base GNU/Linux
Lezione corso Base GNU/LinuxAlex Palesandro
 
Installazione di koha_su_debian_v2_0_20_12_2014
Installazione di koha_su_debian_v2_0_20_12_2014Installazione di koha_su_debian_v2_0_20_12_2014
Installazione di koha_su_debian_v2_0_20_12_2014Joaquim Hangalo
 
Hosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDayHosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDayAruba S.p.A.
 
Hadoop analyzerJR
Hadoop analyzerJRHadoop analyzerJR
Hadoop analyzerJRSimone Romano
 
Google Drive
Google DriveGoogle Drive
Google DriveBruna Gottifredi
 
Create R package with RStudio
Create R package with RStudioCreate R package with RStudio
Create R package with RStudioNicola Procopio
 
Introduzione alla programmazione Android - Android@tulug lezione 4
Introduzione alla programmazione Android - Android@tulug lezione 4Introduzione alla programmazione Android - Android@tulug lezione 4
Introduzione alla programmazione Android - Android@tulug lezione 4Ivan Gualandri
 
Hosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDay
Hosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDayHosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDay
Hosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDayAruba S.p.A.
 
Apache Maven - Gestione di progetti Java e build automation
Apache Maven - Gestione di progetti Java e build automationApache Maven - Gestione di progetti Java e build automation
Apache Maven - Gestione di progetti Java e build automationTiziano Serritella
 
Zip
ZipZip
ZipOpen source
 
Hosting Backup: 3 soluzioni a confronto #TipOfTheDay
Hosting Backup: 3 soluzioni a confronto #TipOfTheDayHosting Backup: 3 soluzioni a confronto #TipOfTheDay
Hosting Backup: 3 soluzioni a confronto #TipOfTheDayAruba S.p.A.
 
Beryl
BerylBeryl
BerylMauro Fava
 
Elaborazione automatica dei dati: calcolatore e matlab
Elaborazione automatica dei dati: calcolatore e matlabElaborazione automatica dei dati: calcolatore e matlab
Elaborazione automatica dei dati: calcolatore e matlabprofman
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberryOrazio Sarno
 
Profilazione di applicazioni PHP con XHProf.
Profilazione di applicazioni PHP con XHProf.Profilazione di applicazioni PHP con XHProf.
Profilazione di applicazioni PHP con XHProf.Filippo Matteo Riggio
 
ASP.NET, ottimizziamo con la cache
ASP.NET, ottimizziamo con la cacheASP.NET, ottimizziamo con la cache
ASP.NET, ottimizziamo con la cacheAndrea Dottor
 
Appunti di big data
Appunti di big dataAppunti di big data
Appunti di big dataFranco Diaspro
 
Hadoop
HadoopHadoop
HadoopReply
 
GNU Linux Programming introduction
GNU Linux Programming introductionGNU Linux Programming introduction
GNU Linux Programming introductionVincenzo Paolo Fraddosio
 
Big data stack tecnologico
Big data stack tecnologicoBig data stack tecnologico
Big data stack tecnologicoMassimo Romano
 
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.Raul Cafini
 
Drive
DriveDrive
Drivewebmastercasalvelino
 

More Related Content

Similar to Italian deft 7 manual 65

Hosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDayHosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDayAruba S.p.A.
 
Create R package with RStudio
Create R package with RStudioCreate R package with RStudio
Create R package with RStudioNicola Procopio
 
Introduzione alla programmazione Android - Android@tulug lezione 4
Introduzione alla programmazione Android - Android@tulug lezione 4Introduzione alla programmazione Android - Android@tulug lezione 4
Introduzione alla programmazione Android - Android@tulug lezione 4Ivan Gualandri
 
Hosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDay
Hosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDayHosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDay
Hosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDayAruba S.p.A.
 
Apache Maven - Gestione di progetti Java e build automation
Apache Maven - Gestione di progetti Java e build automationApache Maven - Gestione di progetti Java e build automation
Apache Maven - Gestione di progetti Java e build automationTiziano Serritella
 
Hosting Backup: 3 soluzioni a confronto #TipOfTheDay
Hosting Backup: 3 soluzioni a confronto #TipOfTheDayHosting Backup: 3 soluzioni a confronto #TipOfTheDay
Hosting Backup: 3 soluzioni a confronto #TipOfTheDayAruba S.p.A.
 
Elaborazione automatica dei dati: calcolatore e matlab
Elaborazione automatica dei dati: calcolatore e matlabElaborazione automatica dei dati: calcolatore e matlab
Elaborazione automatica dei dati: calcolatore e matlabprofman
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberryOrazio Sarno
 
Profilazione di applicazioni PHP con XHProf.
Profilazione di applicazioni PHP con XHProf.Profilazione di applicazioni PHP con XHProf.
Profilazione di applicazioni PHP con XHProf.Filippo Matteo Riggio
 
ASP.NET, ottimizziamo con la cache
ASP.NET, ottimizziamo con la cacheASP.NET, ottimizziamo con la cache
ASP.NET, ottimizziamo con la cacheAndrea Dottor
 
Hadoop
HadoopHadoop
HadoopReply
 
Big data stack tecnologico
Big data stack tecnologicoBig data stack tecnologico
Big data stack tecnologicoMassimo Romano
 
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.Raul Cafini
 

Similar to Italian deft 7 manual 65 (20)

Hosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDayHosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDay
 
Hadoop analyzerJR
Hadoop analyzerJRHadoop analyzerJR
Hadoop analyzerJR
 
Google Drive
Google DriveGoogle Drive
Google Drive
 
Create R package with RStudio
Create R package with RStudioCreate R package with RStudio
Create R package with RStudio
 
Introduzione alla programmazione Android - Android@tulug lezione 4
Introduzione alla programmazione Android - Android@tulug lezione 4Introduzione alla programmazione Android - Android@tulug lezione 4
Introduzione alla programmazione Android - Android@tulug lezione 4
 
Hosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDay
Hosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDayHosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDay
Hosting Backup, quali opzioni e quali costi ci aspettano - #TipOfTheDay
 
Apache Maven - Gestione di progetti Java e build automation
Apache Maven - Gestione di progetti Java e build automationApache Maven - Gestione di progetti Java e build automation
Apache Maven - Gestione di progetti Java e build automation
 
Zip
ZipZip
Zip
 
Hosting Backup: 3 soluzioni a confronto #TipOfTheDay
Hosting Backup: 3 soluzioni a confronto #TipOfTheDayHosting Backup: 3 soluzioni a confronto #TipOfTheDay
Hosting Backup: 3 soluzioni a confronto #TipOfTheDay
 
Beryl
BerylBeryl
Beryl
 
Elaborazione automatica dei dati: calcolatore e matlab
Elaborazione automatica dei dati: calcolatore e matlabElaborazione automatica dei dati: calcolatore e matlab
Elaborazione automatica dei dati: calcolatore e matlab
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberry
 
Profilazione di applicazioni PHP con XHProf.
Profilazione di applicazioni PHP con XHProf.Profilazione di applicazioni PHP con XHProf.
Profilazione di applicazioni PHP con XHProf.
 
ASP.NET, ottimizziamo con la cache
ASP.NET, ottimizziamo con la cacheASP.NET, ottimizziamo con la cache
ASP.NET, ottimizziamo con la cache
 
Appunti di big data
Appunti di big dataAppunti di big data
Appunti di big data
 
Hadoop
HadoopHadoop
Hadoop
 
GNU Linux Programming introduction
GNU Linux Programming introductionGNU Linux Programming introduction
GNU Linux Programming introduction
 
Big data stack tecnologico
Big data stack tecnologicoBig data stack tecnologico
Big data stack tecnologico
 
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
Analisi ed implementazione di file system distribuiti in ambiente GNU/Linux.
 
Drive
DriveDrive
Drive
 

Italian deft 7 manual 65

  • 1. 50 Manuale DEFT 7 6.4 Calcolo dell’hash Dhash è l’unico strumento in DEFT Linux dedicato al calcolo di hash in modalità grafica. dhash: Calcolo dell’hash di un device Avviato il programma, fate clic su open device per scegliere una memoria di massa o su Open file per selezionare un file ionare file. Indicate la tipologia di hash da calcolare (md5, sha1 od entrambi) e fate clic su Starts. Una volta terminata l’operazione è possibile salvare un report html dei risultati facendo i clic su save log. 6.5 Acquisizione di memorie di massa e Come già indicato, in DEFT Linux è possibile acquisire memorie di massa anche tramite interfaccia grafica utilizzando Dhash o Guymager. Il primo è adatto per le acquisizioni in formato dd, mentre il secondo è caldamente consigliato per le acquisizioni in parallelo e r ed in formato ewf.
  • 2. 51 Manuale DEFT 7 6.5.1 Dhash In Dhash, la procedura per l’acquisizione è simile a quella per il calcolo dell’hash. , Selezionate il device da acquisire facendo clic su open device e poi su Acquire Acquire. Potete inoltre decidere di acquisire e comprimere in formato gz spuntando la casella acquisire Compress e/o scegliere se eseguire il calcolo del o degli hash. Acquisizione con calcolo simultaneo degli hash md5 e sha1 Premendo il pulsante Starts è avviata l’acquisizione. Al termine delle attività, è possibile salvare un report in formato html facendo clic sul le pulsante Save log.
  • 3. 52 Manuale DEFT 7 6.5.2 Guymager Guymager permette una gestione più avanzata delle acquisizioni rispetto a Dhash Dhash. Guymage: Gestione caso per la fase di acquisizione Guymager permette, oltre all’acquisizione simultanea di più memorie di massa, anche mager l’inserimento di informazioni quali: • Codice caso; • Catalogazione dell’evidence dell’evidence; • Nome dell’operatore che sta compiendo le operazioni operazioni; • Descrizione dell’oggetto che si sta acquise acquisendo. Il programma supporta tutti i principali formati di acquisizione (dd, aff ed encase) e permette di eseguire il controllo d’integrità, tramite verifica dell’hash md5 o sha256, sia dell’immagine creata sia del device originale (anche su immagini “splittate”). ). Per avviare il processo di acquisizione i Guymager fate clic con il tasto destro del mouse in
  • 4. 53 Manuale DEFT 7 sulla memoria di massa da clonare e selezionare la funzione Acquire image. . Nella finestra Acquire Image è possibile indicare numerosi parametri dell’acquisizione o ll’acquisizione della gestione del caso. 6.6 Ricerca di file e cartelle 6.6.1 Catfish Catfish permette di compiere le stesse operazioni che si possono eseguire a riga di comando tramite i comandi find e locate. Nell’esempio riportato nell’immagine, selezionata la memoria o la cartella dove compiere ato la ricerca, è stata lanciata una ricerca di tutti i file aventi estensione JPG scrivendo nel campo di ricerca *.jpg. Una volta terminata la ricerca è possibile aprire i vari file elencati . con un semplice doppio clic. Catfish: Ricerca di file Nella finestra sono riportate anche ulteriori informazioni dei file riguardanti la data i dell’ultima modifica, il percorso del file e la sua dimensione sul disco.
  • 5. 54 Manuale DEFT 7 6.7 Findwild Findwild è un programma che permettere di ricercare parole all’interno di file. Specificando la directory d’interesse e le parole chiave, è possibile ottenere un elenco dei interesse file contenenti le chiavi di ricerca. Findwild: Ricerca di contenuti
  • 6. 55 Manuale DEFT 7 6.8 Carving di file da GUI Hunchbacked 4most (H4m), disponibile in italiano e inglese, è un’interfaccia grafica per la , gestione delle principali funzioni di foremost e scalpel. Tramite H4m, una volta scelto il programma da impiegare come file carver, è possibile , eseguire il carving con alcuni semplici clic. Hunchbacked 4most Carving di file con Foremost 4most: H4m, una volta indicati il file o il device in cui eseguire la ricerca e la cartella dove , memorizzare i file recuperati, ricerca e salva tutti i file con header e footer specificati der dall’operatore.
  • 7. 56 Manuale DEFT 7 Hunchbacked 4most Carving di file con Scalpel 4most: Oltre ai tradizionali formati di file supportati da Foremost e Scalpel, è possibile personalizzare la ricerca indicando un nuovo file di configurazione contenente gli header ed i footer d’interesse.
  • 8. 57 Manuale DEFT 7 6.9 Gestione di un caso con Autopsy Autopsy forensic browser è un’interfaccia grafica per la gestione delle funzionalità di The Sleuth Kit71. È utilizzata principalmente per la gestione dei casi in cui è richiesta l’analisi di memorie di massa. Autopsy permette di: • utilizzare direttamente il device o le acquisizioni in formato dd, aff ed encase; • visualizzare informazioni sul tipo di file system; • analizzare e identificare il contenuto di file e directory e i loro riferimenti temporali; • recuperare file cancellati; • gestire un database degli hash di file del caso posto ad analisi; • creare ed analizzare timeline; • eseguire ricerche di file per parola chiave; • analizzare meta dati; • creazione di report delle evidenze riscontrate; • creazione di un caso. Avviato Autopsy dalla sezione Disk Forensic, è richiesto all’operatore se intende creare un nuovo caso o aprirne uno esistente. In questo esempio faremo clic su new per la creazione del caso di prova ed inseriremo i dati in nostro possesso per la catalogazione, come nome, descrizione e nominativi degli investigatori: 71 http://www.sleuthkit.org/
  • 9. 58 Manuale DEFT 7 Creazione nuovo caso Una volta confermati i dati in /root/evidence/nome caso sarà creata una dire dati, directory contenente tutti i dati del caso caso. All’interno di un caso possono essere aggiunti uno o più oggetti (raffiguranti o i soggetti appartenenti o i sistemi informatici) facendo clic su add host all’interno del cas ed caso inserendo i dati richiesti:
  • 10. 59 Manuale DEFT 7 Aggiunta di oggetti che compongono il caso Ad ogni oggetto possono essere aggiunt una o più memorie di massa: è sufficiente fare aggiunte clic su add image file, inserire nel campo location o il collegamento diretto ad una memoria di massa (es: /dev/sdx) o il path contenente il file dell’acquisizione ( /dev/sdx) (es: /media/forensic/disco001.dd) /media/forensic/disco001.dd) e specificare se la memoria che stiamo aggiungendo è una partizione o l’intera memoria di massa; per quanto riguarda l’import method per import method, comodità d’uso è caldamente consigliato lasciare il valore predefinito symlink ’uso symlink.
  • 11. 60 Manuale DEFT 7 Aggiunta di memoria di massa all’interno dell’oggetto Una volta aggiunta la memoria sarà chiesto se calcolare, o inserire manualmente se già calcolato, il valore dell’hash md572 e di specificare il nome simbolico della partizione e il ed suo file system. 72 Autopsy supporta solo l’algoritmo di hash md5.
  • 12. 61 Manuale DEFT 7 Gestione valore dell’hash e tipo di file system della/e partizioni La creazione dell’oggetto Disco001 sarà completa al termine delle operazioni precedenti. È possibile continuare ad aggiungere altre memorie all’oggetto o iniziare la nostra analisi facendo clic su Analyze.
  • 13. 62 Manuale DEFT 7 Gestione dell’oggetto Disco001 appartenente al caso L’interfaccia del modulo di analisi permette all’operatore di visualizzare l’albero delle directory della partizione sottoposta ad analisi e, una volta selezionato un file, di visualizzarne un’anteprima del contenuto. L’accesso al file è in sola lettura in modo da non alterarne n i riferimenti temporali n i né né metadati. Nella schermata di analisi è visualizzato: • Il nome file/directory e il suo percorso; ed • I valori temporali come data creazione, ultimo accesso ed ultima modifica modifica; • Il tipo di dato; • Se il dato è stato cancellato o meno (in rosso se vi è stata richiesta l’azione di e in eliminazione del dato).
  • 14. 63 Manuale DEFT 7 Autopsy: File analysis Un’altra funzione interessante è la ricerca per parola chiave. Tale funzione permette la ricerca mediante il comando grep e si estende su tutto l’albero del file system, compreso le lo spazio non allocato. Tale funzione può essere molto lenta nel caso in cui si lanci la ricerca su memorie contenenti molti file o memorie di grandi dimensioni. In questi casi raccomandiamo di avviare la ricerca per parola chiave utilizzando una shell di sistema ed eseguire il grep a riga di comando. La stessa raccomandazione è valida per la creazione di time line.
  • 15. 64 Manuale DEFT 7 Ricerca di file per argomento