Post

Visualizzazione dei post da ottobre, 2008

CAINE V0.3

Immagine
Annuncio l'uscita di CAINE v0.3 - Aggiunti: libewf-20080501, afflib-3.3.4. - Aggiornato TSK 3.0 (ricompilato). - Sistema aggiornato con l’ultimo kernel. - Corretto un bug a SFDumper di adattamento al sistema CAINE Adesso CAINE ha lo Sleuthkit ed Autopsy ricompilati per il riconoscimento delle immagini AFF e formato ENCASE. http://www.caine-live.net/page5/page5.html

CFI - Linux Day Modena 2008

Immagine
Oggi sono molto contento, perchè sia il Linux Day di Reggio Calabria dove hanno partecipato i CFIini: Gianni Amato, Loris Borgese, Achille Foti è andato benissimo, da quel che mi dicono, vi è stata una platea interessata ed interattiva... Il Linux Day di Modena con: Nanni Bassetti, Denis Frati, Giancarlo Giustini e Giordano Lanzi è andato lo stesso benissmo, abbiamo conosciuto il professor Michele Colajanni, il ricercatore Mauro (scusami non ricordo il cognome) dell'Università di Modena, persone disponibilissime ed aperte a futuri progetti e collaborazioni. Grande interesse è stato mostrato sin dal mio intervento introduttivo su CFI (Computer Forensics Italy) e sulle Best Practices forensi, con tante domande che stimolavano il dialogo. Poi è stato il turno di Giancarlo Giustini, che ha presentato la Linux Live Distro CAINE , la prima al MONDO a montare lo Sleuthkit 3.0 e Autopsy 2.20 e tutti gli altri tool aggiornati (Photorec, testdisk, foremost, ecc.), inoltre contiene anche

Grep e Strings due giganti di Linux

Il tempo libero serve anche a sperimentare e quando si ha la passione per la computer forensics, son dolori.... Tramite Nigilant32 (presente nella parte Live di Helix 2 ) faccio l'immaginedella Ram del mio PC, mentre è in uso, e la salvo sul file RAM.IMG. ram.img - dump della mia ram 1.3Gb Tramite editor esadecimale, vedo che tra le tante stringhe, contenute nel file, ne prendo una a casaccio per fare il mio test, la stringa è " awatarami ". Cerco con strings e il parametro -t d (che mi genera anche l'offset in decimale) ottenendo: strings -t d ram.img | less 33593  Skype z awatarami Quindi segno l'offset come: 33593 Poi cerco con grep ed i parametri -i ignora il maiuscolo/minuscolo; -a tratta il file binario come se fosse testuale; -b stampa il byte offset; -o Mostra solo la parte di linea che coincide con la stringa cercata; grep -iabo awatarami ram.img 4923:awatarami Segno l'offset: 4923 Ho cercato la parola "awatarami" ed ho ottenuto due o

EVENTI CFI - AUTUNNO 2008

Con immenso piacere annuncio a tutta la community CFI la ns pagina degli eventi: http://www.cfitaly.net/italiacfi da qui potete vedere sia gli eventi passati sia quelli in fieri.... Per il 25/10 abbiamo: http://www.conoscerelinux.it/Members/pigio/linuxday-2008/linuxday-2008/ a Modena (Bassetti, Frati, Giustini, Lanzi), con presentazione di CAINE http://www.caine-live.net/ poi Gianni Amato, Achille Foti e Loris Borgese e forse Calogero Bonasia su Reggio Calabria: http://rclug.linux.it:80/eventi/linux-day/2008 Insomma ringraziando la disponibilità dei LUG, CFI sta, pian pianino, mantenendo la promessa, di muovere la conoscenza sul territorio nazionale....speriamo di continuare così e col contributo di TUTTI....Grazie!!

CAINE: A new open source live distribution for digital forensics

Immagine
CAINE: A new open source live distribution for digital forensics Sviluppata da: Giancarlo Giustini, Mauro Andreolini, Michele Colajanni E-mail: ing.giustini@gmail.com , mauro.andreolini@unimore.it , michele.colajannig@unimore.it Department of Information Engineering University of Modena and Reggio Emilia SITO WEB: http://www.caine-live.net Nella versione in sviluppo è stato inserito anche Selective File Dumper (SFDumper) Qual'è la diversità di CAINE? L'idea NUOVA è sulla creazione del report automatico, dopo aver effettuato tutte le operazioni, di acquisizione, analisi, comandi da terminale ecc., l'interfaccia permette di creare un report con tutti i log files delle operazioni fatte ed in più permette di aggiungere delle note ed una personalizzazione. Ma non solo questo....CAINE si differenzia dalle altre distro, per la facilità d'uso, l'uso di un'unica GUI (interfaccia grafica) che permette il lancio dei vari tool ed una buona usabilità del tutto. E' poco d

Helix 2 è finalmente tra noi!

Immagine
Ho appena provato Helix 2 sul mio laptop Acer 1694 Centrino M760 con 1250Mb di Ram. Boot: 6 minuti =8-O Piacevole sorpresa è INSTALLABILE! Una volta dentro noto: 1) Ottimo il configuratore di rete wireless ed ethernet 2) Manca Air ma c'è Adepto. 3) I menù sono messi bene, noto subito una facile usabilità degli strumenti 4) RegViewer come al solito....non funziona...appena seleziono un file di registro ...sparisce il tool. 5) Ophcrack richiede un percorso per le rainbow tables...che nn son riuscito a trovare...forse nn ci sono 6) Per il resto sembra molto carino ;) Parte Windows: ben fatta.... molti tool utili specialmente per il dumping della RAM un utile WinAudit tool per sapere di tutto del sistema Windows sul quale si sta operando un tool chiamato USB Deview per visualizzare tutti i dispositivi USB che sono e che sono stati attaccati almeno una volta al PC analizzato. Un Disk Manager con possibilità di lock sui dischi. Un Pre-Search tool per la ricerca e la preview veloce delle

Virtualizzare Windows con VirtualBox

Immagine
Spesso si parla di creare una macchina virtuale sotto Linux, al fine di lanciare un altro sistema operativo "virtualizzato", spesso questo sistema è rappresentato da Windows. Il concetto è semplice, si crea una macchina virtuale, con un suo hard disk virtuale e su di esso si installa Windows come se fosse un'installazione normale, chiaramente, nella macchina virtuale bisogna attivare il dispositivo CD-Rom, in modo da poter inserire il cd di Windows. Una volta installato il sistema operativo di Microsoft, rimane il problema di come farlo comunicare col sistema host di Linux, per sfogliare le directories condivise ad esempio. Ma tra la teoria e la pratica, come al solito, c'è sempre qualche difficoltà, dato che, al fine di sfogliare la rete e vedere le cartelle condivise, bisogna configurare sia Linux sia le connessioni di rete del sistema virtualizzato. Qui descrivo la mia esperienza con Virtualbox ( http://www.virtualbox.org/ ) se qualcuno ha qualcosa da aggiungere o

FUNDL per Win32

Ecco qui la versione di FUNDL - File Undeleter, tool basato su lo Sleuthkit per Linux, finalmente per Windows 32: DOWNLOAD In sostanza si tratta di un ripping dell'ambiente CygWin, che ho fatto con le mie manine, portandomi appresso i file necessari per far funzionare il tutto.Sfrutta lo Sleuthkit 3.0.0b4 (adesso è disponibile TSK 3.0 ) col nuovo FLS che risolve i problemi di recupero dei file orfani....insomma con questo si recuperano tutti i files cancellati! Si parte con START.BAT Il percorso del file immagine deve essere sempre scritto così: /cygdrive/LETTERA_VOLUME/Dir_file_immagine/file.dd LETTERA_VOLUME sarebbe C o D ecc. ecc. Fatemi sapere se funzia bene Grazie!

PICCOLI TOOL

Nella digital forensics c'è sempre bisogno di strumenti e idee nuove.... Qui mi son limitato a creare tre piccoli tool, che forse non hanno nemeno un'utilità, però, almeno da un punto di vista didattico, possono esser validi: FUNDL - File Undeleter - Trattasi di un file bash shell per Linux, (richiede l'uso dello Sleuthkit ), che serve a recuperare tutti i files cancellati da un disco o da una sua bitstream image. Qui la Windows version . JPG_Builder - Trattasi di un bash shell script per Linux, che inserisce l'header ed il footer binari di un'immagine JPG in un file. Questo può servire per tentare di ripristinare qualche JPG corrotta alla quale mancano l'header e/o il footer. Spywarino - Questo è un programmino per Windows, che sfrutta i pre-compilati di dd, nc per duplicare bit a bit, un disco in rete LAN, senza che il proprietario del disco se ne accorga (chiaramente un monkey user). Utile per duplicare il disco di qualcuno e poi analizzarlo con tutta calm

LA FAUNA DELLA COMPUTER FORENSICS

Di Admin (del 16/09/2008 @ 09:07:53, in Computer Forensics , linkato 207 volte) Come si misura la competenza? Negli ultimi tempi si è dibattuto parecchio su quello che serve per poter parlare, insegnare o operare nella computer forensics e a mio vedere sono uscite varie realtà: A) I MEGALOMANI: prima solo di pronunciare le parole "computer forensics" devi: 1) Aver fatto un numero vicino al diametro di Giove di CTU e CTP! Scherzi a parte è un numero ed è sempre imprecisato....forse volutamente....se ne hai fatte 5,10, 100 non si sa ...c'è sempre quello che dice che son poche...la qualità di queste CT? Mha!...non conta...per questi della categoria A, contano solo le "misure" (potremmo ribattezzarli i pornodivi). 2) Devi aver dibattuto in tribunale, sempre per un numero di volte imprecisato, contro gli avvocati più temibili del pianeta, quelli clonati dalle cellule di Bill Gates e Linus Torvald, con un'iniezione di DNA di Perry Mason ed un pò di DNA di