Nanni Bassetti All&Nothing

Ieri durante una lezione, presso la scuola di GdF di Ostia, sull'uso del Cellebrite UFED e Physical Analyzer  (thanks to Luca Governatori), insieme a tutta la classe (in gambissima), abbiamo fatto un po' di reverse engineering usando la visualizzazione esadecimale di Physical Analyzer del database della famosa app di messaggistica WhatsApp per Android, dato che il P.A. non visualizza i messaggi cancellati di WhatsApp, almeno su Android 4.1.2 del Samsung S3. Il database è di tipo SqlLite 3.0 e si trova in: \data\com.whatsapp\databases\msgstore.db   Prima dell'acquisizione fisica tramite UFED Touch del mio Samsung S3 con Android  4.1.2, ho provveduto a cancellare due (il primo ed il terzo) messaggi di una conversazione dal mio WhatsApp, i due in figura: Finita l'acquisizione ed ottenuto il file DumpData.bin, siamo andati ad aprire con il viewer esadecimale il file msgstoredb.db e a cercare le parole chiave dei messaggi cancellati, ottenendo una v...

Iscrizioni e programma completo qui: http://www.opensourceday.org/ 2013/?mid=3 In particolare: Percorso Forensics (Aula 0) 10:00 –  10:15 Introduzione conferenzieri e progetti italiani D.E.F.T.  e CAINE (Pubblico Ministero Procura Udine Sost.Proc. Dott. Andrea Gondolo) 10:30 – 11:15: Wibbly wobbly timey wimey stuff. Uso delle timeline nell'analisi forense (Dott. Davide Gabrini aka Rebus) 11:15 – 11:45: Coffee break 11:45 – 12:30: Mobile Forensics con strumenti Open Source (Dott. Paolo Dal Checco) 13:30 – 14:15: OS Intelligence (Dott. Alessandro Rossetti aka Sitticus) 14:30 – 15:15: Il problem solving nella digital forensics tramite strumenti open source (Dott. Nanni Bassetti ) iscrivetevi numerosi (anche per avere il vostro attestato di partecipazione)

Il 5 Ottobre 2013 sarò tra i relatori (insieme a Paolo Reale ed al Prof. Roberto Cusani) di questo workshop organizzato dalla Italdetectives presso l'Università La Sapienza a Roma: http://www.italdetectives.org/index.php?option=com_content&view=article&id=219:ict-in-ambito-forense-dai-cellulari-al-computer&catid=9&Itemid=108

Il 19/settembre/2013 sarò relatore qui: http://www.aica2013.it/programma.htm

Often during the investigation on a computer we need to have quickly a response on the activity of the computer itself, so we need a tool says to us when the device was on and off. If we can take the file System.evtx placed in %SystemRoot%\System32\Winevt\Logs\System.evtx We could export it in CSV format using some tools or simply the EventViewer of  our Windows. Let’s see what we can obtain, this is a piece of the file called system7.csv: We can see that the second field is filled by the timestamp (date and time) and the fourth field is filled by the EventId number. At this point, we can think to read the EventId and the timestamp and make a sort of timeline choosing only the events of On, Off, Crash, Sleep and Awake. We can do this using a Gnu/Linux OS or simply CygWin  http://www.cygwin.com/ First of all we need to make a file containing the targets events: $ echo ",12," > events.txt     ----- first entry needs only “...

Sono stato ospite (21 e 22 Marzo 2013) come relatore ed ho partecipato anche alla valutazione dei risultati del gioco di simulazione su un'acquisizione ed analisi di un pendrive. Il tutto si è tenuto presso la Scuola Ispettori e Sovrintendenti della Guardia di Finanza, in due giornate del convegno di studi sul tema: “Computer Forensics”. L'aula era piena, mai visto tanti finanzieri tutti insieme , ed attenta, son stato trattato benissimo ed è stata un'esperienza elettrizzante, grazie alla GdF per il loro lavoro e grazie agli organizzatori per l'onore ricevuto. Nanni Bassetti Per saperne di più: http://www.inabruzzo.com/?p=159827

Salve a tutti, per chi segue questo blog segnalo gli eventi "interessanti" che mi coinvolgono per Marzo/Aprile 2013 18/Marzo/2013 rilasciato Caine 4.0 "Pulsar"  http://www.caine-live.net 21 e 22 Marzo/2013 - Talk sulla computer forensics c/o la "Comando Scuola Ispettori e Sovraintendenti" - L'Aquila. 8-11/Aprile/2013 - Docenza per un corso di 4gg c/o HP Roma.