SlideShare a Scribd company logo

Sfdumper e cugini

denis frati
denis frati

presentazione dei tools per la computer forensics sviluppati, o in via di sviluppo, nell'ambito di Computer Forensics Italy mailing list

Technology
1 of 34
Download to read offline
SFDumper Prologo Un consulente, operante con tools open source, necessità di recuperare specifici tipi di files dall'immagine di due hard disk, 500 Gb circa. Alternative: - affidarsi a tools commerciali; - usare Autopsy Forensic Browser; - creare righe di comando e script specifici. Denis Frati http://www.cfitaly.net 1
Tools commerciali No, Thank's! Il consulente preferisce affidarsi all'open source, non per motivi economici, ma per fiducia verso il codice aperto, analizzabile e migliorabile. Denis Frati http://www.cfitaly.net 2
Autopsy Forensic Browser Assenza di filtri per tipologia di file od estensione, obbliga ad estrarre i files singolarmente Denis Frati http://www.cfitaly.net 3
Autopsy – All deleted files Su volumi ed immagini di grandi dimensioni il browser va in stallo Denis Frati http://www.cfitaly.net 4
Autopsy – File name search Può essere ingannato dai files rinominati e permane il vincolo dell'estrazione dei files singolarmente Denis Frati http://www.cfitaly.net 5
Autopsy – File type La visualizzazione dei files ordinati per tipologia non è ancora implementata Denis Frati http://www.cfitaly.net 6
Autopsy – File type II L'output dell'ordinamento per tipo non ci da indicazioni sullo stato del file (attivo/cancellato) Obbligando al recovery del singolo file navigando tra le directory o affidandosi allo sleut kit # icat -f fat16 -o 0 pendrive.img 582 Denis Frati http://www.cfitaly.net 7
Riga di comando e script La riga di comando è estremamente potente, tuttavia: - opzioni differenti per ogni tool; nemo@nexus:~$ icat Missing image name and/or address usage: icat [-hHsvV] [-f fstype] [-i imgtype] [-o imgoffset] image [images] inum[-typ[-id]] -h: Do not display holes in sparse files -r: Recover deleted file -R: Recover deleted file and suppress recovery errors -s: Display slack space at end of file -i imgtype: The format of the image file (use '-i list' for supported types) -f fstype: File system type (use '-f list' for supported types) -o imgoffset: The offset of the file system in the image (in sectors) -v: verbose to stderr -V: Print version Denis Frati http://www.cfitaly.net 8
Riga di comando e script II - esigenza di conoscere elementi distintivi del dispositivo/immagine (settore inizio, file system, inode del file), da recuperarsi di volta in volta per ogni caso Perché non ottimizzare i tempi? Denis Frati http://www.cfitaly.net 9
SFDumper – La genesi Denis Frati http://www.cfitaly.net 10
SFDumper – Cosa fa?  estrae i file referenziati dal file system  attivi  cancellati  recupera i file non più referenziati  elimina i doppioni  consente di ricercare stringhe nei file recuperati Riconoscendo autonomamente la tipologia di file system ed il settore di inizio dello stesso Denis Frati http://www.cfitaly.net 11
SFDumper – Gli strumenti Non con la magia! Solo lo Sleuth Kit e Denis Frati http://www.cfitaly.net 12
SFDumper – Il metodo mmls e fsstat permettono di determire le caratteristiche dell'immagine/device $file_system; $set_iniz; ecc.. fls -F -r -f $file_system -o $set_iniz ecc.... raccolte inode >>file da recuperare icat -f tipo-fs -o set-iniziale immagine/device inode Denis Frati http://www.cfitaly.net 13
SFDumper – il metodo II Successivamente al recupero dei file referenziati, e come unico passo quando non viene riconosciuto alcun tipo di file system supportato dalla Sleuth Kit, viene affettuato il data carving (unallocated space only) Denis Frati http://www.cfitaly.net 14
SFDumper – Il risultato Denis Frati http://www.cfitaly.net 15
SFDumper - Vantaggi Ricerca e recupero dei soli file di interesse; Non subire l'inganno del rename; Conservazion dei nomi file; Recupero dei file non referenziati dal file system; Eliminazione dei doppioni; Possibile ampliamento del data-base di headers & footer per foremost; Codice aperto ispezionabile e migliorabile Denis Frati http://www.cfitaly.net 16
SFDumper - Gui realizzata con Zenity, tool per visualizzare i box di dialogo di Gtk+, utilizzati per l'inserimento testo, scelta di opzioni e navigazione del file system. Denis Frati http://www.cfitaly.net 17
SFDumper Bug & Cooming Soon Il tool risente dei bug dei tool implementati e di tool simili: Mancata individuazione file orfani (as Autopsy) facilmente risolvibile (ifinder.sh/ifind[STK]), ma incrementa i tempi di elaborazione; Prossimamente: Supporto alle immagini splittate; Miglioramento ricerca per estensioni. Denis Frati http://www.cfitaly.net 18
SFDumper – Stato attuale Sourceforge page: http://sfdumper.sourceforge.net/ Collaborazioni esterne di revisione codice; Ad oggi 592 download; Utilizzato da consulenti e appartenenti alle FFPP. Denis Frati http://www.cfitaly.net 19
I cugini di SFDumper  Reverse calculator (Gianni Amato);  Yahoo Messenger Chat Revelator;  E-Mail Dumper & Inspector;  Digital Forenser Expert; Nati ed inspirati da discussioni e confronti avvenuti in CFI Mailing List, o tra i suoi appartenenti Denis Frati http://www.cfitaly.net 20
Reverse calculator Sviluppato da Gianni Amato, come estensione per Mozilla Firefox, trae ispirazione dal “CFI game summer 2008” che prevedeva il data hiding descritto da Didier Stevens http://blog.didierstevens.com/2008/03/31/hiding-inside- wikipedia/ ” Denis Frati http://www.cfitaly.net 21
Yahoo Messenger Chat Revelator Il tool realizzato da Gianni Amato trae spunto dallo script per Encase realizzato da Lance Mueller (http://www.forensickb.com/2008/01/searching-for-encrypted-keywords-in.html) realizzato visual basic portabile su Wine dovrebbe lavorare su diversi “messenger” Denis Frati http://www.cfitaly.net 22
E-mail Dumper & Inspector Nasce dalla necessità di: analizzare ed indicizzare grandi volumi di mail; rendere fruibili a chiunque i dati estratti. Denis Frati http://www.cfitaly.net 23
E-Mail D&S – il Dumper Si compone di due moduli: il Dumper, un bash script che estrae le informazioni dai campi della mail e le propone in  formato idoneo ad essere importato su fogli di calcolo;  file di creazione e riempimento data-base MySql;  le estrapola dal file mbox;  estrae gli allegati calcolandone MD5 e SHA1 Denis Frati http://www.cfitaly.net 24
E-Mail D&S – Dumper Output Denis Frati http://www.cfitaly.net 25
E-Mail D&I – l'Inspector  L'Inspector è un modulo costituito da pagine php che si interfacciano al db MySql consentendone la consultazione:  attraverso ricerche per mittente, destinatari, codestinatari, indirizzi IP, oggetto, parole chiave.  in html (attenzione ai link pericolosi!)  la visualizzazione con il client di posta (idem come sopra!)  l'apertura dei soli allegati Denis Frati http://www.cfitaly.net 26
E-Mail D&I – l'Inspector Search page Denis Frati http://www.cfitaly.net 27
E-Mail D&I – l'Inspector details pages Denis Frati http://www.cfitaly.net 28
E-Mail D&I – l'Inspector Html View Denis Frati http://www.cfitaly.net 29
Digital Forenser Expert Progetto di •tipologia di Bernardo Cipolla sistemi, FS Mira a: e software •creare un profilo usati dell'indagato in •tentativi di base a: data hiding •rinvenuto in rilevati sequestro Denis Frati http://www.cfitaly.net 30
Digital Forenser Expert II Assegna un punteggio alle diverse caratteristiche rilevate, cercando con ciò di determinare la tipologia di utente, le sue capacità/pericolosità Denis Frati http://www.cfitaly.net 31
Digital Forenser Expert III La bozza di progetto è interessante potrebbe consentire: la creazione di un profilo evolvendolo in base ai rilievi in divenire; la creazione di un archivio dei soggetti, seguendone l'evoluzione; suggerire all'operatore direzioni di analisi in base alla similitudine di modus operandi/profilo Servirebbe il supporto di operatori con esperienza per discriminare sulla modalità di valutazione. Denis Frati http://www.cfitaly.net 32
Domande Denis Frati http://www.cfitaly.net 33
Fine si ringrazia Il Magnifico Rettore della LUSPIO Prof. Giuseppe Parlato ed il Dott. Alessandro Mecarelli Dott. Benedetto Colangelo tutti i partecipanti ricordando :-) realizzata con contatti: denis.frati@cybercrimes.it www.denisfrati.it Denis Frati http://www.cfitaly.net 34

Recommended

Amazing Arts
Amazing ArtsAmazing Arts
Amazing Artschanmyasoe
 
Friends
FriendsFriends
Friendschanmyasoe
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
CAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsCAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsdenis frati
 
Benfiet Circus Zuid Afrika
Benfiet Circus Zuid AfrikaBenfiet Circus Zuid Afrika
Benfiet Circus Zuid AfrikaErikvanhove
 
Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishingdenis frati
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furiousdenis frati
 
Amazing Photos
Amazing PhotosAmazing Photos
Amazing Photoschanmyasoe
 

Recommended

Amazing Arts
Amazing ArtsAmazing Arts
Amazing Artschanmyasoe
 
Friends
FriendsFriends
Friendschanmyasoe
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
CAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsCAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsdenis frati
 
Benfiet Circus Zuid Afrika
Benfiet Circus Zuid AfrikaBenfiet Circus Zuid Afrika
Benfiet Circus Zuid AfrikaErikvanhove
 
Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishingdenis frati
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furiousdenis frati
 
Amazing Photos
Amazing PhotosAmazing Photos
Amazing Photoschanmyasoe
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFAndrea Draghetti
 
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2016
 
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Luca Silva
 
Clonare mac os x
Clonare mac os xClonare mac os x
Clonare mac os xCe.Se.N.A. Security
 
Pc piu sicuro
Pc piu sicuroPc piu sicuro
Pc piu sicuroGianluca Vaglio
 
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Fullone
 
Internet information services
Internet information servicesInternet information services
Internet information servicesGiusy Scopelliti
 
Italian deft 7 manual 90
Italian deft 7 manual 90Italian deft 7 manual 90
Italian deft 7 manual 90mstrom62
 
TuxIsAlive
TuxIsAliveTuxIsAlive
TuxIsAliveClaudio Mignanti
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniS.info Srl
 
Tesina Grupposis
Tesina GrupposisTesina Grupposis
Tesina GrupposisLuca Mengoni
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmateAlessandro Selli
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeft Association
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxSandro Rossetti
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniSalvatore Lentini
 
Drush make vs composer
Drush make vs composer Drush make vs composer
Drush make vs composer sparkfabrik
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.Andrea Marchetti
 
Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.Andrea Marchetti
 
Slide chivari 20130517
Slide chivari 20130517Slide chivari 20130517
Slide chivari 20130517denis frati
 
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàPhishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàdenis frati
 

More Related Content

Similar to Sfdumper e cugini

BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFAndrea Draghetti
 
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2016
 
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Luca Silva
 
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Fullone
 
Internet information services
Internet information servicesInternet information services
Internet information servicesGiusy Scopelliti
 
Italian deft 7 manual 90
Italian deft 7 manual 90Italian deft 7 manual 90
Italian deft 7 manual 90mstrom62
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniS.info Srl
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeft Association
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxSandro Rossetti
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniSalvatore Lentini
 
Drush make vs composer
Drush make vs composer Drush make vs composer
Drush make vs composer sparkfabrik
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.Andrea Marchetti
 
Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.Andrea Marchetti
 

Similar to Sfdumper e cugini (20)

BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTF
 
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perduta
 
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
Siete sicuri sicurezza ict in azienda- tecnoworkshop- firenze-1-dicembre-2012
 
Clonare mac os x
Clonare mac os xClonare mac os x
Clonare mac os x
 
Pc piu sicuro
Pc piu sicuroPc piu sicuro
Pc piu sicuro
 
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
 
Internet information services
Internet information servicesInternet information services
Internet information services
 
Italian deft 7 manual 90
Italian deft 7 manual 90Italian deft 7 manual 90
Italian deft 7 manual 90
 
TuxIsAlive
TuxIsAliveTuxIsAlive
TuxIsAlive
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioni
 
Tesina Grupposis
Tesina GrupposisTesina Grupposis
Tesina Grupposis
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
 
Drush make vs composer
Drush make vs composer Drush make vs composer
Drush make vs composer
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
 
Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.
 
Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.Set up and management of an integrated information system on Linux.
Set up and management of an integrated information system on Linux.
 

More from denis frati

Slide chivari 20130517
Slide chivari 20130517Slide chivari 20130517
Slide chivari 20130517denis frati
 
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàPhishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàdenis frati
 
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled ForensicSe il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensicdenis frati
 
Phishing: anatomia del fenomeno
Phishing: anatomia del fenomenoPhishing: anatomia del fenomeno
Phishing: anatomia del fenomenodenis frati
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlodenis frati
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reodenis frati
 
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista GallusComputer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallusdenis frati
 
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e GiuridiciLA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridicidenis frati
 

More from denis frati (8)

Slide chivari 20130517
Slide chivari 20130517Slide chivari 20130517
Slide chivari 20130517
 
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàPhishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
 
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled ForensicSe il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
 
Phishing: anatomia del fenomeno
Phishing: anatomia del fenomenoPhishing: anatomia del fenomeno
Phishing: anatomia del fenomeno
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlo
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reo
 
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista GallusComputer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
 
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e GiuridiciLA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
 

Sfdumper e cugini

  • 1. SFDumper Prologo Un consulente, operante con tools open source, necessità di recuperare specifici tipi di files dall'immagine di due hard disk, 500 Gb circa. Alternative: - affidarsi a tools commerciali; - usare Autopsy Forensic Browser; - creare righe di comando e script specifici. Denis Frati http://www.cfitaly.net 1
  • 2. Tools commerciali No, Thank's! Il consulente preferisce affidarsi all'open source, non per motivi economici, ma per fiducia verso il codice aperto, analizzabile e migliorabile. Denis Frati http://www.cfitaly.net 2
  • 3. Autopsy Forensic Browser Assenza di filtri per tipologia di file od estensione, obbliga ad estrarre i files singolarmente Denis Frati http://www.cfitaly.net 3
  • 4. Autopsy – All deleted files Su volumi ed immagini di grandi dimensioni il browser va in stallo Denis Frati http://www.cfitaly.net 4
  • 5. Autopsy – File name search Può essere ingannato dai files rinominati e permane il vincolo dell'estrazione dei files singolarmente Denis Frati http://www.cfitaly.net 5
  • 6. Autopsy – File type La visualizzazione dei files ordinati per tipologia non è ancora implementata Denis Frati http://www.cfitaly.net 6
  • 7. Autopsy – File type II L'output dell'ordinamento per tipo non ci da indicazioni sullo stato del file (attivo/cancellato) Obbligando al recovery del singolo file navigando tra le directory o affidandosi allo sleut kit # icat -f fat16 -o 0 pendrive.img 582 Denis Frati http://www.cfitaly.net 7
  • 8. Riga di comando e script La riga di comando è estremamente potente, tuttavia: - opzioni differenti per ogni tool; nemo@nexus:~$ icat Missing image name and/or address usage: icat [-hHsvV] [-f fstype] [-i imgtype] [-o imgoffset] image [images] inum[-typ[-id]] -h: Do not display holes in sparse files -r: Recover deleted file -R: Recover deleted file and suppress recovery errors -s: Display slack space at end of file -i imgtype: The format of the image file (use '-i list' for supported types) -f fstype: File system type (use '-f list' for supported types) -o imgoffset: The offset of the file system in the image (in sectors) -v: verbose to stderr -V: Print version Denis Frati http://www.cfitaly.net 8
  • 9. Riga di comando e script II - esigenza di conoscere elementi distintivi del dispositivo/immagine (settore inizio, file system, inode del file), da recuperarsi di volta in volta per ogni caso Perché non ottimizzare i tempi? Denis Frati http://www.cfitaly.net 9
  • 10. SFDumper – La genesi Denis Frati http://www.cfitaly.net 10
  • 11. SFDumper – Cosa fa?  estrae i file referenziati dal file system  attivi  cancellati  recupera i file non più referenziati  elimina i doppioni  consente di ricercare stringhe nei file recuperati Riconoscendo autonomamente la tipologia di file system ed il settore di inizio dello stesso Denis Frati http://www.cfitaly.net 11
  • 12. SFDumper – Gli strumenti Non con la magia! Solo lo Sleuth Kit e Denis Frati http://www.cfitaly.net 12
  • 13. SFDumper – Il metodo mmls e fsstat permettono di determire le caratteristiche dell'immagine/device $file_system; $set_iniz; ecc.. fls -F -r -f $file_system -o $set_iniz ecc.... raccolte inode >>file da recuperare icat -f tipo-fs -o set-iniziale immagine/device inode Denis Frati http://www.cfitaly.net 13
  • 14. SFDumper – il metodo II Successivamente al recupero dei file referenziati, e come unico passo quando non viene riconosciuto alcun tipo di file system supportato dalla Sleuth Kit, viene affettuato il data carving (unallocated space only) Denis Frati http://www.cfitaly.net 14
  • 15. SFDumper – Il risultato Denis Frati http://www.cfitaly.net 15
  • 16. SFDumper - Vantaggi Ricerca e recupero dei soli file di interesse; Non subire l'inganno del rename; Conservazion dei nomi file; Recupero dei file non referenziati dal file system; Eliminazione dei doppioni; Possibile ampliamento del data-base di headers & footer per foremost; Codice aperto ispezionabile e migliorabile Denis Frati http://www.cfitaly.net 16
  • 17. SFDumper - Gui realizzata con Zenity, tool per visualizzare i box di dialogo di Gtk+, utilizzati per l'inserimento testo, scelta di opzioni e navigazione del file system. Denis Frati http://www.cfitaly.net 17
  • 18. SFDumper Bug & Cooming Soon Il tool risente dei bug dei tool implementati e di tool simili: Mancata individuazione file orfani (as Autopsy) facilmente risolvibile (ifinder.sh/ifind[STK]), ma incrementa i tempi di elaborazione; Prossimamente: Supporto alle immagini splittate; Miglioramento ricerca per estensioni. Denis Frati http://www.cfitaly.net 18
  • 19. SFDumper – Stato attuale Sourceforge page: http://sfdumper.sourceforge.net/ Collaborazioni esterne di revisione codice; Ad oggi 592 download; Utilizzato da consulenti e appartenenti alle FFPP. Denis Frati http://www.cfitaly.net 19
  • 20. I cugini di SFDumper  Reverse calculator (Gianni Amato);  Yahoo Messenger Chat Revelator;  E-Mail Dumper & Inspector;  Digital Forenser Expert; Nati ed inspirati da discussioni e confronti avvenuti in CFI Mailing List, o tra i suoi appartenenti Denis Frati http://www.cfitaly.net 20
  • 21. Reverse calculator Sviluppato da Gianni Amato, come estensione per Mozilla Firefox, trae ispirazione dal “CFI game summer 2008” che prevedeva il data hiding descritto da Didier Stevens http://blog.didierstevens.com/2008/03/31/hiding-inside- wikipedia/ ” Denis Frati http://www.cfitaly.net 21
  • 22. Yahoo Messenger Chat Revelator Il tool realizzato da Gianni Amato trae spunto dallo script per Encase realizzato da Lance Mueller (http://www.forensickb.com/2008/01/searching-for-encrypted-keywords-in.html) realizzato visual basic portabile su Wine dovrebbe lavorare su diversi “messenger” Denis Frati http://www.cfitaly.net 22
  • 23. E-mail Dumper & Inspector Nasce dalla necessità di: analizzare ed indicizzare grandi volumi di mail; rendere fruibili a chiunque i dati estratti. Denis Frati http://www.cfitaly.net 23
  • 24. E-Mail D&S – il Dumper Si compone di due moduli: il Dumper, un bash script che estrae le informazioni dai campi della mail e le propone in  formato idoneo ad essere importato su fogli di calcolo;  file di creazione e riempimento data-base MySql;  le estrapola dal file mbox;  estrae gli allegati calcolandone MD5 e SHA1 Denis Frati http://www.cfitaly.net 24
  • 25. E-Mail D&S – Dumper Output Denis Frati http://www.cfitaly.net 25
  • 26. E-Mail D&I – l'Inspector  L'Inspector è un modulo costituito da pagine php che si interfacciano al db MySql consentendone la consultazione:  attraverso ricerche per mittente, destinatari, codestinatari, indirizzi IP, oggetto, parole chiave.  in html (attenzione ai link pericolosi!)  la visualizzazione con il client di posta (idem come sopra!)  l'apertura dei soli allegati Denis Frati http://www.cfitaly.net 26
  • 27. E-Mail D&I – l'Inspector Search page Denis Frati http://www.cfitaly.net 27
  • 28. E-Mail D&I – l'Inspector details pages Denis Frati http://www.cfitaly.net 28
  • 29. E-Mail D&I – l'Inspector Html View Denis Frati http://www.cfitaly.net 29
  • 30. Digital Forenser Expert Progetto di •tipologia di Bernardo Cipolla sistemi, FS Mira a: e software •creare un profilo usati dell'indagato in •tentativi di base a: data hiding •rinvenuto in rilevati sequestro Denis Frati http://www.cfitaly.net 30
  • 31. Digital Forenser Expert II Assegna un punteggio alle diverse caratteristiche rilevate, cercando con ciò di determinare la tipologia di utente, le sue capacità/pericolosità Denis Frati http://www.cfitaly.net 31
  • 32. Digital Forenser Expert III La bozza di progetto è interessante potrebbe consentire: la creazione di un profilo evolvendolo in base ai rilievi in divenire; la creazione di un archivio dei soggetti, seguendone l'evoluzione; suggerire all'operatore direzioni di analisi in base alla similitudine di modus operandi/profilo Servirebbe il supporto di operatori con esperienza per discriminare sulla modalità di valutazione. Denis Frati http://www.cfitaly.net 32
  • 33. Domande Denis Frati http://www.cfitaly.net 33
  • 34. Fine si ringrazia Il Magnifico Rettore della LUSPIO Prof. Giuseppe Parlato ed il Dott. Alessandro Mecarelli Dott. Benedetto Colangelo tutti i partecipanti ricordando :-) realizzata con contatti: denis.frati@cybercrimes.it www.denisfrati.it Denis Frati http://www.cfitaly.net 34