Ricette e contromisure per la sicurezza delle informazioni
La copia forense: modalità operative (pt. 2)
1. Università di Cagliari
Dipartimento di Ingegneria
Elettrica ed Elettronica
Coordinatore: Massimo Farina
Seminario di
INFORMATICA FORENSE
A.A. 2014/2015
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
alessandro.bonu@gmail.com
2. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
I REPERTI OGGETTO DI ANALISI
In qualunque scena del crimine
troviamo dispositivi high-tech.
Tra quest'ultimi, quelli di interesse
per la computer forensics sono
quelli in grado, in qualsiasi modo,
di memorizzare informazioni.
3. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
ESERCITAZIONE - LEZIONE 1
“Una società di ricerca finanziata dal governo ha messo a punto
un nuovo sistema di cifratura che consentirebbe un vantaggio
consistente alla nazione, permettendo comunicazioni
virtualmente inviolabili. Ovviamente se anche altre nazioni
ottengono lo stesso sistema si perde il vantaggio, per cui il livello
di segretezza del progetto è massimo.
C’è un problema: il responsabile della sicurezza informatica della
società si è accorto di un accesso insolito ad alcuni file del
progetto, in particolare allo schema elettronico del
dispositivo. Con l’aiuto delle forze dell’ordine si è riusciti a
prendere con le mani nel sacco il presunto colpevole, ma l’unica
irregolarità rilevata è un pendrive USB trovato indosso al
sospetto.”
4. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
REGOLE DI INGAGGIO
• Il reperto è la pendrive usb;
• La pendrive sospetta viene consegnata al forenser incaricato al quale
vengono date le seguenti regole di ingaggio:
1. calcolo dell’hash del device in md5 e sha1;
2. la pendrive non presenta etichette o riferimenti esterni, si richiede pertanto
l’estrazione del S.N. (Serial Number) e modello della stessa;
3. analisi e tipologia del/i filesystem;
4. offset iniziale del/i filesystem (potrebbero esserci più partizioni)
5. acquisizione della copia forense;
6. verifica e riscontro della corretta esecuzione della copia;
7. stesure della relazione tecnica;
8. preparazione per la consegna del reperto e della copia.
5. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
LINEE GUIDA PER IL FORENSER
• Utilizzo della distribuzione live: NBCAINE 4.0
• Per i punti 3 e 4 utilizzare comandi da shell;
• Per il punto 5 e 6 utilizzare GUYMAGER e riscontro con AIR, per scrupolo eseguire anche una
copia con dd da riga di comando;
• Tutte le evidenze devono scrupolosamente essere verificate con hash md5 e sha1, in caso di
non corrispondenza degli hash ripetere l’operazione fino ad avere esatta corrispondenza;
• Non ci sono regole specifiche per la stesura della relazione: deve descrivere tutte le attività
senza che si possa obiettare che la copia risulti differente rispetto al reperto originale,
(rimasto intatto come da consegna);
• Una volta terminata la relazione finale, descrivere la preparazione del reperto e del materiale
oggetto dell’incarico e pronti per la consegna.
• Tutte le attività possono essere analizzate e descritte teoricamente, il consiglio, per chi
potesse, è quello di simulare il tutto praticamente utilizzando una qualsiasi chiavetta usb per
simulare il reperto oggetto di indagine, creando una piccola partizione di 1 GB e scrivendoci
alcuni file. Una volta definito che quello è il reperto ricordatevi sempre che dev’essere
cristallizzato.
6. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
UTILIZZO DELLA DISTRIBUZIONE LIVE DI NBCAINE 4.0
• mi collego sul sito di riferimento e scarico la ISO di Nbcaine 4.0
http://www.caine-live.net/Downloads/nbcaine4.0.iso
Utilizzo il tool Unetbooting per creare un device di boot con la distro di
nbcaine 4.0 (http://unetbootin.sourceforge.net) appena scaricata
7. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
CREAZIONE DEL SUPPORTO/DEVICE LIVE
1. CD live => masterizzazione della ISO
2. USB bootable => tool “Unetbootin”
8. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
PREPARAZIONE DEL PC OPERATIVO
• Verifico da BIOS: ordine di avvio dei device e ora corretta
9. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
AVVIO DELL’AMBIENTE OPERATIVO
• Inserimento del device di boot per l’esecuzione della copia live di
NBCAINE 4.0 come impostato da BIOS
CD
USB
10. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
PREPARAZIONE AREA DEDICATA AL CASO
• Cartella principale dedicata al caso:
es. case-kingston
• Sottocartelle organizzate:
acquisizioni
risultati
report
temp
NOTA IMPORTANTE! = backup del lavoro svolto
11. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
PENDRIVE SUSPECT = REPERTO ORIGINALE
• Trattare con molta cautela..
• Non presenta riferimenti esterni (modello e serial number)
12. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
COLLEGAMENTO DEL REPERTO
• con tutte le cautele del caso collegare il reperto = pendrive usb al pc
operativo che esegue la live di nbcaine;
• si apre una shell di comando e si verifica con il comando dmesg se il
dispositivo è stato riconosciuto correttamente.
13. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
1. CALCOLO DELL’HASH DEL DEVICE
• output a video
md5sum /dev/sdb && sha1 /dev/sdb
• output su file hash-kingston
• md5sum /dev/sdb > risultati/hash-kingston
• sha1 /dev/sdb >> risultati/hash-kingston
14. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
2. ACQUISIZIONE DELLE INFO SUL DEVICE
• Per ottenere le info su device usb, eseguire il seguente comando da shell:
cat /proc/scsi/usb-storage/*
cat /proc/scsi/usb-storage/* > risultati/kingston.device
15. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
3. VERIFICA DELLA TIPOLOGIA DEL/I FILESYSTEM
• Eseguire il seguente comando da shell: fdisk -l /dev/sdb
16. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
4. VERIFICA DEGLI OFFSET*
*Indica la distanza tra due elementi all'interno di un gruppo di elementi dello
stesso tipo. (es.ELEMENTI= A R T S G K E | OFFSET DI K RISPETTO A T = 3)
• eseguire il comando da shell per la verifica delle partizioni: mmls /dev/sdb
offset partizione FAT32 = 0000000063
offset partizione LINUX = 0002088450
17. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
VERIFICA PARTIZIONE WINDOWS
• fsstat -f fat -o 0000000063 /dev/sdb
18. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
VERIFICA PARTIZIONE LINUX
• fsstat -f ext3 -o 0002088450 /dev/sdb
19. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
5. ACQUISIZIONE DELLA COPIA FORENSE: GUYMAGER
20. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
COMPARAZIONE DEGLI HASH MD5 E SHA1
• Una volta terminata la copia la prima cosa da fare è verificare che gli hash
corrispondano a quelli estratti per il device originale (/dev/sdb)
21. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
6. ANALISI DEL FILESYSTEM DELL’IMMAGINE ACQUISITA
22. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
COMPARAZIONE DI IMMAGINE E DEVICE CON FDISK
23. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
COPIA DELL’IMMAGINE CON GUYMAGER
• importante è anche fare copia della copia sulla quale lavorare e averne
sempre una intonsa da dove poter riprendere in caso di problemi, questo
evita tutta la procedura di acquisizione e verifica già vista in precedenza
24. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
MOUNT DELLA COPIA FORENSE
25. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
CLUSTER SIZE
• fsstat -f fat -o 63 kingston.dd
26. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
7. RELAZIONE TECNICA
• Sintetica: dato che non necessita di riportare eccessivi particolari tecnici
dell’analisi ma solo ciò che interessa dal punto di vista giuridico;
• Semplificata: colui che legge e valuta l’esito è di principio un fruitore
inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile,
bisogna eliminare terminologie non consuete e spiegare a livello
elementare quanto rilevato;
• Asettica: non deve contenere giudizi personali dell’operatore né tanto
meno valutazioni legali sulle informazioni rilevate a meno che tali
considerazioni non siano state espressamente richieste.
27. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
CATENA DI CUSTODIA
• La catena di custodia è un documento che contiene le informazioni di ciò che è stato fatto
con la prova originale e con le copie forensi realizzate, a partire dall'acquisizione fino ad
arrivare al giorno del processo.
• Tipiche informazioni che possono essere contenute inizialmente in questo documento sono:
Numero del caso
Società incaricata dell'investigazione
Investigatore assegnato al caso
Natura e breve descrizione del caso
Investigatore incaricato della duplicazione dei dati
Data e ora di inizio custodia
Luogo in cui il supporto è stato rinvenuto
Produttore del supporto
Modello del supporto
Numero di serie del supporto
• Ogni volta che i supporti oggetto di indagini vengono affidati ad un nuovo investigatore, nella
catena di custodia, dovrà essere aggiunta un'informazione contenente:
Nome dell'incaricato all'analisi
Data e ora di presa in carico del supporto
Data e ora di restituzione del supporto
28. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
8. CONSEGNA DEL MATERIALE
• predisposizione della catena di custodia;
• preparazione del materiale da
consegnare con opprtuni imballaggi e
sigilli;
• consegna al committente.
29. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
FINE ESERCITAZIONE
sessione domande e risposte
prima di procedere..
30. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
CI METTIAMO DALL’ALTRA PARTE
• adesso impersoniamo il soggetto che
riceve il materiale e deve trattare la
prova:
potrebbe in questo caso trattarsi di un
collega al quale si passa la fase di analisi
potrebbe essere un perito che deve
operare per l’analisi del caso
31. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
FRAGILITA’ DEI REPERTI
• Tutti i dispositivi oggetto di interesse
(REPERTI) vanno gestiti e controllati con i
dovuti accorgimenti del caso.
• Non possono essere gestiti con
leggerezza da parte dell'operatore.
• Fragilità della prova: data l'immaterialità
della prova contenuta al suo interno, con
estrema facilità può essere distrutta od
alterata.
32. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
DA DOVE SI INIZIA?
• predisposizione della catena di custodia
del materiale ricevuto;
• si stabiliscono tempi e risorse;
• si procede alla predisposizione di un
ambiente operativo in relazione quella
che sarà la strategia da adottare:
PROFILO INVESTIGATIVO.
33. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
IL DATO
• a questo punto si passa alla fase di analisi e ricerca
del dato..
MA QUAL È IL DATO DA RICERCARE?
L'aspetto più importante per un digital
forenser è quello di seguire una
metodologia investigativa standard e ben
definita per la soluzione del problema
forense che gli è stato sottoposto.
34. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
REGOLE DI INGAGGIO
1. Acquisire il reperto
file immagine
2. Eseguire l’analisi per l’acquisizione delle seguenti
evidenze:
informazioni su utilizzo di tool di acquisizione di
informazioni dalla rete;
l’utilizzo della mail con allegati;
consultazione di alcuni siti di hacking o relativi ad
attività illecite;
utilizzo di social network.
• Relazione tecnica e consegna del materiale elaborato.
35. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
EVIDENZE DA RICERCARE
• invio mail a utente alexand@tiscali.it con
allegato;
• consultazione dei seguente siti web:
hackday.com
blackhat.com
jumptuck.com
informazioni in merito ad attacchi DDoS
• eventuale account e utilizzo di facebook
• utilizzo di programmi di sniff in rete
36. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
METODOLOGIA INVESTIGATIVA
• Profilo investigativo: determinazione dei passi
operativi necessari allo svolgimento del caso,
tenendo in considerazione il tempo necessario per
ciascuno;
• Determinazione delle risorse necessarie (hardware,
software open source e professionali);
• Determinazione dei rischi e relativa predisposizione
di una catena di custodia;
• Analisi e recupero della prova digitale;
• Stesura del report finale (relazione tecnica).
37. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
LA PROVA INFORMATICA / REPERTO
OFF-LINE ON-LINE
38. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
OFF-LINE / POST MORTEM
• ..rimozione dei dispositivi di memoria
predisposizione della catena di custodia
acquisizione delle prove (file immagine)
• FILE IMMAGINE
acquisizione delle info sul file
mount dell’immagine
analisi e ricerca
documentazione di tutte le attività operative
recupero della prova
predisposizione della catena di custodia
39. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
ON-LINE / LIVE
• ACQUISIZIONE LIVE
analisi e valutazione del rischio, i tempi sono molto
importanti in questo caso;
analisi irripetibile, presenza delle parti e verbalizzazione
del tutto;
acquisizione dell’immagine del desktop;
dump della memoria volatile (in questo caso si manipola il
reperto che perde la sua caratteristica della
cristallizzazione);
spegnimento del sistema staccando il cavo di
alimentazione;
rimozione di tutti i dispositivi di memoria..
40. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
ACQUISIZIONE DEL DESKTOP CRISTALLIZZATO
41. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
ACQUISIZIONE DEL DESKTOP
42. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
PRIMI ELEMENTI DA VALUTARE
1. Il soggetto è colto in flagrante
elementi richiesti nelle regole di ingaggio (incarico),
sono già evidenti:
1. il sito blackhat.com
2. uno sniffer di rete operativo e visibile sul desktop
2. Profilo del soggetto
si evidenzia una buona dose di ingenuità
un apparente ma effettivo disordine che fa pensare che
non curi troppo la gestione e l’organizzazione dei dati
presenti all’interno del suo sistema/computer
43. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
DUMP DELLA MEMORIA VOLATIVE / RAM
• non tocchiamo altro e procediamo con il
dump: ma cosa succede?
da questo momento in poi la prova diventa
irripetibile in quanto per procedere con il
dump occorre eseguire in memoria un
programma dedicato;
conseguente variazione dei registri di
memoria e perdita della cristallizzazione
originale;
bugia.. una variante è stata già eseguita..
44. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
FTKIMAGER
• Viene utilizzato per creare immagini forensi di:
Hard drive
CD e DVD
RAM
• Mostrare i contenuti di:
dischi locali
periferiche locali con storage
• Mostra i contenuti dei dump effettuati
45. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
DUMP DELLA RAM
46. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
FTK IMAGER: RESTITUISCE UN LOG DI ATTIVITÀ
• Created By AccessData® FTK® Imager 3.1.2.0
Case Information: xxxxxxxxxxx
Case Number: xxxxxxxxxxx
Evidence Number: xxxxxxxxxxx
Unique Description: xxxxxxxxxxx
Examiner: xxxxxxxxxxx
• Notes:
Information for xxxxxxxxxxxxxxxx
• [Computed Hashes]
MD5 checksum: c8c931761211e246af9fd601a6d0b258
SHA1 checksum: 9cf522a3ac6e3937afc8e9c1f75d3e720836292f
• Image information:
Acquisition started: Fri Jan 23 16:33:07 2015
Acquisition finished: Fri Jan 23 16:35:23 2015
47. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
APERTURA DEL FILE IMMAGINE ACQUISITO
48. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
ANALISI DEL DUMP
49. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
MOLTI DATI UTILI PRESENTI IN MEMORIA
50. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
ANALISI DEI PROCESSI CON VM MAP
• Tool di analisi dei processi in esecuzione sviluppato da Mark Russinovic
51. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
WIN-UFO (ULTIMATE FORENSICS OUTFLOW)
• win-ufo.org
• Informazioni preliminari sul caso e avvio..
52. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
I TOOLS DI WIN-UFO
53. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
RICERCA DATI SU FACEBOOK
• evidenza di un accesso su facebook
• username e password memorizzati
• EVIDENZA PRESENTE!
54. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
RICERCA SOFTWARE DI SNIFFING
• Evidenza presente anche in questo caso:
Nirsoft SmartSniff
55. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
RICERCA DATI DI NAVIGAZIONE
56. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
TIMELINE ACTIVITY
57. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
OFF-LINE
Terminata la fase di acquisizione delle evidenze live e irripetibili si
procede:
• si spegne il sistema/computer staccando direttamente
l’alimentazione, in questo modo si evita che un corretto
shutdown vada a chiudere o sovrascrivere informazioni utili.
• Se per es. fosse stato programmata la cancellazione del
pagefile.sys piuttosto che la cronologia dei browser o dei file
recenti alla chiusura delle applicazioni, questo verrebbe
evitato.
• Una volta che il sistema è spento, si estraggono tutti i supporti
di memoria, si predispone la catena di custodia e si procede
con la copia forense dei reperti per l’acquisizione del file
immagine che andremo ad analizzare.
58. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
LA COPIA DELLA COPIA
• Terminata la copia forense con le procedure viste nella parte 1 è
necessario:
fare sempre una o più copia dell’immagine acquisita e
verificarne l'integrità;
in particolar modo quando si lavora su file image e poter
sempre fare un roll-back, evitando tutto il procedimento di
riacquisizione.
59. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
L’ANALISI
A questo punto si può procedere con la fase di analisi:
su file immagine: montato in ro come se fosse un device:
mount -o ro,nodev,noexec,noatime,offset=xxxxxx,loop
/<path>/file.img /mnt/<dir-mount>
su device clone: il risultato è identico, ma con un device
clone è anche possibile riesumare il sistema originale in
versione live. Occorre notare che in questo caso i risultati
ottenuti possono essere utilizzati dal forenser solo per
incrociare e verificare dati ottenuti con l’analisi del file
immagine cristallizzato.
E’ ovvio che eseguendo l’analisi in questa modalità la
prova originale risulta alterata e pertanto inutilizzabile.
60. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
OPZIONI DI MOUNT
• ro: forza il montaggio in sola lettura;
• nodev: non interpreta i file di dispositivo presenti sul
filesystem;
• noexec non permette l’esecuzione dei file eseguibili
presenti sul filesystem;
• noatime: non aggiorna la data di accesso ai singoli file o
directory;
• loop: specifica al kernel che il primo parametro non è un
device ma un file immagine
• offset: il primo blocco del file system che si intende
montare
61. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
ANALISI DELLA PROVA OFF-LINE
62. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
AUTOPSY
• Autopsy Forensic Browser fornisce l'interfaccia grafica e l'ambiente di
collegamento dei vari programmi, permettendo di ottenere risultati
omogenei ed una gestione strutturata del caso.
63. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
AUTOPSY: CARATTERISTICHE
• E' bene chiarire che non si tratta di un tool
“tuttofare”, non ha funzionalità di copia e
duplicazione disco:
non permette la maggior parte delle analisi
funzionali a livello applicativo (es. analisi
registry windows, analisi mail, .dat files);
non è adatto alla network forensics;
svolge al meglio le funzioni per le quali è
progettato: in particolare l'analisi a livello
filesystem.
64. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
I DATI DEL CASO
65. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
MOUNT DEL FILE IMMAGINE
66. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
RICERCA DI HACKDAY
• 10 riferimenti trovati
Hex o ASCII
67. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
RICERCA DI JUMPTUCK.COM
68. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
RICERCA DI MAIL INVIATE
69. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
RICERCA DATI SU FACEBOOK
70. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
Grazie per l’attenzione
alessandro.bonu@gmail.com
it.linkedin.com/in/abonu
@abonu
71. SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)
di Alessandro Bonu
71
Licenza
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare,
eseguire o recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni:
Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi
ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo
in cui tu usi l’opera.
Non commerciale. Non puoi usare quest’opera per fini commerciali.
Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne
un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a
questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della
licenza di quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste
condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra