Post

Visualizzazione dei post da marzo 6, 2009

The Sleuthkit - mini guida veloce

Immagine
Spesso accade di dimenticare tutte le potenzialità ed i tools di Sleuthkit , quindi ho deciso di scrivere una piccola guida veloce per illustrare gli usi più prêt-à-porter di questa utilissima suite di strumenti per la computer forensics, sviluppata da Brian Carrier. Iniziamo dal disco/immagine mmls /dev/sdaX o mmls disk.dd serve a visualizzare le partizioni di un device o di un file immagine, fornendoci in output lo starting sector, molto utile per determinare l'offset di inizio partizione. 'Mmls' è simile a' fdisk-lu 'in Linux con alcune differenze. Vale a dire, che mostra i settori che non sono stati utilizzati in modo tale che questi possono essere usati per cercare dei dati nascosti. Inoltre, fornisce anche il valore della lunghezza delle partizioni in modo che possa essere usato con 'dd' più facilmente per estrarle. fsstat -f file_system -o offset disk.dd serve a fornire dati importanti sul file system presente sul dispositivo o file immagine del dispo