Nanni Bassetti All&Nothing

PREMESSA: questo articolo è basato su un test da me condotto e mi piacerebbe avere verifica dai lettori di questo blog. Tempo fa ho notato una stranezza, non avendo cavato ancora una soluzione, ho pensato di sottoporla al pubblico del mio blog, sottolineo che è basato su una sola prova, sulla quale non ho ancora una spiegazione, che potrei non avere per mia "ignoranza", quindi vorrei altre opinioni e/o sperimentazioni. Detto questo passo a descrivere l'esperimento: da Linux (senza montare nè in lettura nè in scrittura) 1) attacco una pendrive da 128Mb formattata in NTFS 2) Faccio l'immagine dd e la chiamo pen1.dd 3) faccio l'md5sum da Windows XP: 4) attacco il pendrive da 128Mb 5) la stacco con RIMOZIONE SICURA da Linux 6) faccio immagine dd e la chiamo pen2.dd 7) faccio md5sum 8) confronto i due md5 e noto che SONO DIVERSI. La pendrive è vuota, la pendrive NON è stata sfogliata, la pendrive è stata solo attaccata a Windows e staccata con rimozione sicura. A ques

Spesso accade di dimenticare tutte le potenzialità ed i tools di Sleuthkit , quindi ho deciso di scrivere una piccola guida veloce per illustrare gli usi più prêt-à-porter di questa utilissima suite di strumenti per la computer forensics, sviluppata da Brian Carrier. Iniziamo dal disco/immagine mmls /dev/sdaX o mmls disk.dd serve a visualizzare le partizioni di un device o di un file immagine, fornendoci in output lo starting sector, molto utile per determinare l'offset di inizio partizione. 'Mmls' è simile a' fdisk-lu 'in Linux con alcune differenze. Vale a dire, che mostra i settori che non sono stati utilizzati in modo tale che questi possono essere usati per cercare dei dati nascosti. Inoltre, fornisce anche il valore della lunghezza delle partizioni in modo che possa essere usato con 'dd' più facilmente per estrarle. fsstat -f file_system -o offset disk.dd serve a fornire dati importanti sul file system presente sul dispositivo o file immagine del dispo