Nanni Bassetti All&Nothing

Qualcuno decide di seguire un cammino professionale per vari motivi, passioni infantili, un film che gli ha cambiato la vita, un'illuminazione sulla via per Damasco ed altre amenità. I soggetti "X" Chiameremo "soggetti X" tutti coloro che presi da un demone, completamente compatibile con la loro personalità, i loro sogni, la loro mente, iniziano a studiare, lavorare, fare esperienza lungo un cammino ben preciso, cercando, limitatamente alle loro capacità, di raggiungere l'eccellenza. Costoro sono in genere preparati, volenterosi, pieni d'entusiasmo e voglia di fare, a volte riescono a raggiungere i propri obbiettivi, altre volte no, a volte per fattori esterni, per fortuna, per merito, in ogni caso saranno le persone giuste nei posti giusti. I soggetti "Z" Chiameremo i "soggetti Z" tutti coloro che non sono stati presi da un demone particolare, ma come foglie in balia del vento, sono stati portati su strade non perfettamente compatibi...

Se si formatta un disco o una pendrive usb, per esempio NTFS , sia con formattazione lenta sia con quella veloce, viene ricreata la MFT (Master File Table), giusto? I file non vengono cancellati, spariscono alla vista, solo perchè non v'è più un indice, una MFT , che dice al file system dove sono e come si chiamano, ergo usiamo il carving ,(tecnica che non tiene conto del file system), per recuperarli...peccato che si perdono i nomi ed i metadati (data ed ora,e cc.)...giusto? Non c'è più modo per riavere i nomi dei file, perchè non c'è più MFT che li conserva, essa è stata sovrascritta dalla nuova MFT e tutte le MFT si allocano all'inizio del disco. Ma come fa RECUVA o R-Studio a recuperare i nomi dei file, ora e date??? L'ho provato su una chiavetta formattata 2 volte, una veloce ed una lenta e poi anche formattando da Linux e comunque riesco a ritrovare alcuni file con il loro nome: Ho provato con R-Studio ed anche lui ci riesce...solo che ho notato che rec...

Ciao a tutti, leggevo questo: http://www.wired.com/threatlevel/2007/08/researchers-ana/ ed ho scaricato il sorgente in C++, quando l'ho compilato ha dato errore, ho corretto l'errore (un INT che doveva diventare un FLOAT e un newline a fine codice), ho ricompilato ed ora funziona bene: L'ho messo ha disposizione di tutti voi QUI: Jpegquality.zip

Ciao a tutti, leggevo questo: http://www.wired.com/threatlevel/2007/08/researchers-ana/ ed ho scaricato il sorgente in C++, quando l'ho compilato ha dato errore, ho corretto l'errore (un INT che doveva diventare un FLOAT e un newline a fine codice), ho ricompilato ed ora funziona bene:  L'ho messo ha disposizione di tutti voi QUI: Jpegquality.zip

Raw2FS , acronimo che serve ad indicare lo scopo di questo mio nuovo bash script per Linux, ossia ricondurre i nomi dei file estratti con tool come Foremost, al nome presente nel file system, con tutto il suo percorso. Sappiamo che  Foremost , come altri carver, salvano i file nominandoli col numero di settore (da 512 bytes), di partenza, in cui questi si trovano, quindi mi serviva uno strumento per risalire all'eventuale nome presente nel file system. Se il file "carvato" non ha corrispondenza con un i-node allora il tool salva l'output hex/ascii di un settore/cluster/block in  un file di testo. Tutto è riassunto in un report in HTML. Ma visto che ero in argomento, perchè non implementare anche una ricerca per stringhe? Raw2Fs  permette di cercare più keywords oppure di caricare un file di testo, generato dal "grepping" e riportare tutti i file nel file system che contengono quelle keywords, se invece la keyword è contenuta nello slack space, allora vien...

PREMESSA: questo articolo è basato su un test da me condotto e mi piacerebbe avere verifica dai lettori di questo blog. Tempo fa ho notato una stranezza, non avendo cavato ancora una soluzione, ho pensato di sottoporla al pubblico del mio blog, sottolineo che è basato su una sola prova, sulla quale non ho ancora una spiegazione, che potrei non avere per mia "ignoranza", quindi vorrei altre opinioni e/o sperimentazioni. Detto questo passo a descrivere l'esperimento: da Linux (senza montare nè in lettura nè in scrittura) 1) attacco una pendrive da 128Mb formattata in NTFS 2) Faccio l'immagine dd e la chiamo pen1.dd 3) faccio l'md5sum da Windows XP: 4) attacco il pendrive da 128Mb 5) la stacco con RIMOZIONE SICURA da Linux 6) faccio immagine dd e la chiamo pen2.dd 7) faccio md5sum 8) confronto i due md5 e noto che SONO DIVERSI. La pendrive è vuota, la pendrive NON è stata sfogliata, la pendrive è stata solo attaccata a Windows e s...

Spesso accade di dimenticare tutte le potenzialità ed i tools di Sleuthkit , quindi ho deciso di scrivere una piccola guida veloce per illustrare gli usi più prêt-à-porter di questa utilissima suite di strumenti per la computer forensics, sviluppata da Brian Carrier. Iniziamo dal disco/immagine mmls /dev/sdaX o mmls disk.dd serve a visualizzare le partizioni di un device o di un file immagine, fornendoci in output lo starting sector, molto utile per determinare l'offset di inizio partizione. 'Mmls' è simile a' fdisk-lu 'in Linux con alcune differenze. Vale a dire, che mostra i settori che non sono stati utilizzati in modo tale che questi possono essere usati per cercare dei dati nascosti. Inoltre, fornisce anche il valore della lunghezza delle partizioni in modo che possa essere usato con 'dd' più facilmente per estrarle. fsstat -f file_system -o offset disk.dd serve a fornire dati importanti sul file system presente sul dispositivo o file i...