Post

Visualizzazione dei post da 2009

Classificato al Quinto posto alla DC3 Challenge (la sfida del Dipartimento della Difesa USA sui cybercrimes)

Immagine
Devo dire che per l'impegno che ci ho messo, davvero poco e frettoloso, sono VERAMENTE CONTENTO ED ORGOGLIOSO di essermi classificato al 5 (Quinto posto) alla DC3 Challenge (la sfida del Dipartimento della Difesa USA sui cybercrimes) nella categoria IMPACT (cittadini extra USA) e 22-esimo nella classifica generale sui 44 finalisti. http://www.dc3.mil/2009_challenge/stats.php#IMPACT

Seminario Matera 28/11/2009 un successo!

Immagine
Il seminario " SCENA DEL CRIMINE: INDAGINI, PROFILING, COMPUTER FORENSICS " tenutosi oggi (28/11/2009), è stato veramente un successone... Oltre 100 persone (avvocati, magistrati, forze dell'ordine, investigatori privati, consulenti e semplici appassionati), hanno gremito la sala dell'Hotel S. Domenico, per ascoltare in nostri interventi. Un pubblico veramente attivo e simpatico! Per me è stato un onore conoscere il giudice Pietro Errede ed il Dott. Luciano Garofano (ex comandante dei R.I.S. di Parma), col quale ci siamo lasciati in ottimi rapporti e progetti. Walter Paolicelli è stato veramente in gamba ad organizzare tutto e tutto è andato splendidamente, dall'accoglienza in albergo alla cena e pranzo. Con l'introduzione dell'Avv. Emilio Nicola Buccico e la moderazione del giudice Errede gli argomenti trattati sono stati: Lo stato dell'arte delle investigazioni e dei consultenti tecnici/periti: Garofano: "Nelle indagini scientifiche siamo i

De Rerum Informaticorum

Qualcuno decide di seguire un cammino professionale per vari motivi, passioni infantili, un film che gli ha cambiato la vita, un'illuminazione sulla via per Damasco ed altre amenità. I soggetti "X" Chiameremo "soggetti X" tutti coloro che presi da un demone, completamente compatibile con la loro personalità, i loro sogni, la loro mente, iniziano a studiare, lavorare, fare esperienza lungo un cammino ben preciso, cercando, limitatamente alle loro capacità, di raggiungere l'eccellenza. Costoro sono in genere preparati, volenterosi, pieni d'entusiasmo e voglia di fare, a volte riescono a raggiungere i propri obbiettivi, altre volte no, a volte per fattori esterni, per fortuna, per merito, in ogni caso saranno le persone giuste nei posti giusti. I soggetti "Z" Chiameremo i "soggetti Z" tutti coloro che non sono stati presi da un demone particolare, ma come foglie in balia del vento, sono stati portati su strade non perfettamente compatibi

Nomi dei file dopo la formattazione...come mai?

Immagine
Se si formatta un disco o una pendrive usb, per esempio NTFS , sia con formattazione lenta sia con quella veloce, viene ricreata la MFT (Master File Table), giusto? I file non vengono cancellati, spariscono alla vista, solo perchè non v'è più un indice, una MFT , che dice al file system dove sono e come si chiamano, ergo usiamo il carving ,(tecnica che non tiene conto del file system), per recuperarli...peccato che si perdono i nomi ed i metadati (data ed ora,e cc.)...giusto? Non c'è più modo per riavere i nomi dei file, perchè non c'è più MFT che li conserva, essa è stata sovrascritta dalla nuova MFT e tutte le MFT si allocano all'inizio del disco. Ma come fa RECUVA o R-Studio a recuperare i nomi dei file, ora e date??? L'ho provato su una chiavetta formattata 2 volte, una veloce ed una lenta e poi anche formattando da Linux e comunque riesco a ritrovare alcuni file con il loro nome: Ho provato con R-Studio ed anche lui ci riesce...solo che ho notato che

Sgamare le JPGs alterate

Ciao a tutti, leggevo questo: http://www.wired.com/threatlevel/2007/08/researchers-ana/ ed ho scaricato il sorgente in C++, quando l'ho compilato ha dato errore, ho corretto l'errore (un INT che doveva diventare un FLOAT e un newline a fine codice), ho ricompilato ed ora funziona bene: L'ho messo ha disposizione di tutti voi QUI: Jpegquality.zip

Sgamare le JPGs alterate

Ciao a tutti, leggevo questo: http://www.wired.com/threatlevel/2007/08/researchers-ana/ ed ho scaricato il sorgente in C++, quando l'ho compilato ha dato errore, ho corretto l'errore (un INT che doveva diventare un FLOAT e un newline a fine codice), ho ricompilato ed ora funziona bene:  L'ho messo ha disposizione di tutti voi QUI: Jpegquality.zip

Raw2Fs e Scripts4CF scripts and tools...

Raw2FS , acronimo che serve ad indicare lo scopo di questo mio nuovo bash script per Linux, ossia ricondurre i nomi dei file estratti con tool come Foremost, al nome presente nel file system, con tutto il suo percorso. Sappiamo che  Foremost , come altri carver, salvano i file nominandoli col numero di settore (da 512 bytes), di partenza, in cui questi si trovano, quindi mi serviva uno strumento per risalire all'eventuale nome presente nel file system. Se il file "carvato" non ha corrispondenza con un i-node allora il tool salva l'output hex/ascii di un settore/cluster/block in  un file di testo. Tutto è riassunto in un report in HTML. Ma visto che ero in argomento, perchè non implementare anche una ricerca per stringhe? Raw2Fs  permette di cercare più keywords oppure di caricare un file di testo, generato dal "grepping" e riportare tutti i file nel file system che contengono quelle keywords, se invece la keyword è contenuta nello slack space, allora vien

Il mistero di $LogFile nell'MFT

Immagine
PREMESSA: questo articolo è basato su un test da me condotto e mi piacerebbe avere verifica dai lettori di questo blog. Tempo fa ho notato una stranezza, non avendo cavato ancora una soluzione, ho pensato di sottoporla al pubblico del mio blog, sottolineo che è basato su una sola prova, sulla quale non ho ancora una spiegazione, che potrei non avere per mia "ignoranza", quindi vorrei altre opinioni e/o sperimentazioni. Detto questo passo a descrivere l'esperimento: da Linux (senza montare nè in lettura nè in scrittura) 1) attacco una pendrive da 128Mb formattata in NTFS 2) Faccio l'immagine dd e la chiamo pen1.dd 3) faccio l'md5sum da Windows XP: 4) attacco il pendrive da 128Mb 5) la stacco con RIMOZIONE SICURA da Linux 6) faccio immagine dd e la chiamo pen2.dd 7) faccio md5sum 8) confronto i due md5 e noto che SONO DIVERSI. La pendrive è vuota, la pendrive NON è stata sfogliata, la pendrive è stata solo attaccata a Windows e staccata con rimozione sicura.

The Sleuthkit - mini guida veloce

Immagine
Spesso accade di dimenticare tutte le potenzialità ed i tools di Sleuthkit , quindi ho deciso di scrivere una piccola guida veloce per illustrare gli usi più prêt-à-porter di questa utilissima suite di strumenti per la computer forensics, sviluppata da Brian Carrier. Iniziamo dal disco/immagine mmls /dev/sdaX o mmls disk.dd serve a visualizzare le partizioni di un device o di un file immagine, fornendoci in output lo starting sector, molto utile per determinare l'offset di inizio partizione. 'Mmls' è simile a' fdisk-lu 'in Linux con alcune differenze. Vale a dire, che mostra i settori che non sono stati utilizzati in modo tale che questi possono essere usati per cercare dei dati nascosti. Inoltre, fornisce anche il valore della lunghezza delle partizioni in modo che possa essere usato con 'dd' più facilmente per estrarle. fsstat -f file_system -o offset disk.dd serve a fornire dati importanti sul file system presente sul dispositivo o file immagine del dispo

Samsung NC10 - Wep Cracking

Premetto che quest'articolo è solo a fini didattici , detto questo possiamo iniziare a parlare di come approntare il nostro netbook Samsung NC 10 per il wep cracking. Primo step (Linux onboard): Installare Linux Ubuntu o Kubuntu su una partizione libera oppure tramite Wubi , quest'ultimo sistema, vi permette di installare Linux direttamente da Windows, evitando così tutti i problemi di partizionamento ed una volta installato, al reboot del computer, avrete la doppia scelta Windows o Linux. Secondo step (installiamo i driver MadWifi): Facciamo il boot da Linux. Installiamo i drivers wireless per Linux: bisogna installare il pacchetto build-essential e compilare i driver madwifi ed i madwifi-tools (sudo apt-get install madwifi-tools), ma occorre disabilitiare i driver con restrizioni che riconoscono la scheda ma non le permettono di funzionare: Sistema>Amministrazione>Driver Hardware e cliccare sul tasto Disattiva in basso a destra, quindi riavviare il sistema. D

MultiFS Detector and Extractor

Dall'esercizio proposto da Mario Pascucci ( QUI ), mi è venuta l'ispirazione per scrivere questo scriptino, che non fa altro che cercare, tramite sigfind, le signature 55AA delle partizioni FATx e NTFS, e poi dagli offset, ricavati dalla moltiplicazione del numero di settore, trovato da sigfind, per 512 bytes, ricava il valore dei byte 32,33,34,35 delle FATx o da 40 a 48 per le NTFS, trovate e li converte in Big Endian, per poi calcolare la lunghezza totale della partizione in settori. Infine, crea tutte le immagini dd contenenti le possibili partizioni nascoste. Sicuramente è grezzo , però abbastanza veloce, su 2Gb di pen-drive con tre strati, ci ha messo poco più di 20 minuti. Attualmente funziona su Fat12,Fat16,Fat32,NTFS,Ext2/3 #!/bin/bash # MultiFS detector and extractor by Nanni Bassetti - Blog: http://www.nannibassetti.com/dblog WEB Site: http://www.nannibassetti.com # It can detect and extract hidden file systems and partitions from the mass memory support. # It r

Soluzione test di Computer Forensics

Immagine
Il bravo Mario Pascucci ha pubblicato la soluzione al suo  test/esercizio  di computer forensics  QUI  :) Il caro amico  Denis Frati  ha risolto meglio di tutti i partecipanti...quindi COMPLIMENTI!!!! Ma vediamo come ho agito io, superficialmente e non dedicandomi a fondo, peccato, ma quando c'è agonismo mi faccio prendere dalla fretta  , un difetto che mi porto dietro da quando ero piccolo, mi sa che mi converrebbe un corso di Yoga  Ok, vediamo le mie soluzioni: Lancio  FTK Imager  da Windows è vedo subito che: La partizione visibile si chiama:  data-hide  seriale 48FD-A890 img_0085.jpg img_0090.jpg img_0112.jpg img_0133.jpg linux_virus.pdf Ho beccato la partizione nascosta (Volume Label: nascosto1 Seriale: 48FD-AE42) è l'ho estratta con  FTK Imager  e anche col  dd tagliandola dal settore 1972530 per un numero di settori pari 1976014 ricavando un'immagine di 1Gb circa (964Mb). Con FTK Imager le JPG dei circuiti elettronici e della casa al buio si vedono subi