Professionisti & Consulenti ICT - Italia

Il portale dei Professionisti & Consulenti ICT Italiani! Leggi tutto »

 

Category Archives: Informatica Forense

Foremost ed i suoi segreti…

Molti di voi sapranno cos’è Foremost, il più famoso “carver” nell’ambito del recupero dati e della computer forensics, ma per chi non lo sapesse Foremost è un programma da console per recuperare i file in base alle loro intestazioni, footers, e le strutture dati interne.

Questo processo viene comunemente denominato data carving.Foremost è in grado di lavorare su file immagine (bitstream), come quelli generati dai dd, Safeback, Encase, ecc, o direttamente sul dispositivo.Gli headers ed i footers possono essere specificati da un file di configurazione o è possibile utilizzare parametri della riga di comando per specificare i tipi di file built-in.

Originariamente sviluppato da parte degli US Air Force Office of Special Investigations e dal The Center for Information Systems Security Studies and Research, attualmente Foremost è Open Source ed è mantenuto da Jesse Kornblum, Kris Kendall, and Nick Mikus.

Quando questo fantastico programmino viene lanciato, crea nella directory di output un file “audit.txt” ed una serie di sottocartelle nominate col tipo di file ricercato (es. jpg, doc, tiff, ecc.). All’interno di queste cartelle ci sono i files “carvati”, ossia estratti in base al loro “magic number” presente negli headers e nei footers, questi files sono quelli attivi, quelli cancellati e anche quelli non-allocati.Dato che Foremost agisce sulla parte dati del dispositivo da analizzare e non considera il File System,(ecco perchè si può usare per recuperare i dati dai supporti formattati), i files trovati non avranno il nome, ma saranno nominati con l’indirizzo del settore sul quale sono allocati, che moltiplicato per l’offset dà l’indirizzo assoluto sul dispositivo, sia i nomi dei files sia i loro offset sono scritti nel file AUDIT.TXT.Ecco un esempio:

Foremost version 1.5.2 by Jesse Kornblum, Kris Kendall, and Nick MikusAudit FileForemost started at Fri Mar 28 11:59:15 2008

Invocation: foremost usb.ddOutput directory: /home/nemo/immagini_dd/outputConfiguration file:
/usr/local/etc/foremost.conf
——————————————————————
File: usb.ddStart: Fri Mar 28 11:59:15 2008
Length: 962 MB (1009254400 bytes)
Num Name (bs=512)
Size File Offset Comment0:
0: 00000611.jpg 11 KB 312832
1: 00000643.jpg 8 KB 329216
2: 00000675.jpg 3 KB 345600
3: 00000707.jpg 9 KB 361984
4: 00000739.jpg 8 KB 378768
————————————————-

il nome rappresenta il settore in cui si trova il file.esempio per il primo filenome_file=611 >> il settore in cui si trova, il cui offset è 611*512=312832dove 512 bytes è la misura minima del settore. L’offset ci indica l’indirizzo assoluto in bytes sul disco, quindi 611 settori sono equivalenti a 312832 bytes.

nemo@nexus:~/immagini_dd$ xxd -s 312832 -l 512 usb.dd
004c600: ffd8 ffe0 0010 4a46 4946 0001 0100 0001 ……JFIF……
004c610: 0001 0000 ffdb 0043 0005 0304 0404 0305 …….C……..
004c620: 0404 0405 0505 0607 0c08 0707 0707 0f0b …………….
004c630: 0b09 0c11 0f12 1211 0f11 1113 161c 1713 …………….
004c640: 141a 1511 1118 2118 1a1d 1d1f 1f1f 1317 ……!………
004c650: 2224 221e 241c 1e1f 1eff db00 4301 0505 “$”.$…….C…
004c660: 0507 0607 0e08 080e 1e14 1114 1e1e 1e1e …………….

Da un’analisi di Andrea Ghirardini è emerso, che per supporti di grandi dimensioni Foremost non riesce a scrivere il numero del settore corretto.

Quando Andrea ne parlò sospettammo subito in una limitazione di qualche variabile, notando che tutti i files carvati avevano il nome composto sempre di 8 + 3 caratteri (nome+estensione), ed infatti dopo molti giorni di passione, i curatori di Foremost risposero ad Andrea, confermando il fatto che se il nome del file non può superare gli otto caratteri, il bug è causato da un integer overflow che comporta un errato calcolo.

BSFE.sh (Bash Script Forensic Environment)

Recentemente mi è capitato di lavorare su un’attività nella quale non veniva richiesto un lavoro di fino, ma semplicemente il recupero di file di determinate tipologie, presentando solo quelli che potevano essere di interesse.

Quando ci si trova a lavorare sui grandi numeri si capisce quale sia, al momento, la differenza tra l’open source ed i tools commerciali! Mentre i commerciali ti presentano i file già divisi per tipologie, potendo magari visionarli con un solo tool, esportandoli, dopo averli bookmarkati, in un report estremamente fruibile, dove questi sono corredati di tutte le informazioni ad essi relati, con l’open source ti trovi ancora a lavorare esportando un file alla volta, dovendo lavorare di copia incolla per esportarti i dati di interesse!

Sono buoni motivi per lasciare l’open source? No!…o almeno lo spero!

Così mi sono messo alla tastiera cercando di realizzare un script che facesse al caso mio. Il risultato è “Bash Script Forensic Environment” (nome ancora temporaneo) che si occupa di:

  • estrarre dal file system i file delle tipologie designate:
    1. calcolandone gli hash;
    2. estraendone meta-dati ed eventuali exif e proprietà;
    3. creando gallerie immagini per jpg e png;
  • effettuare il carving, o prendere in pasto l’output di un carving già elaborato per:
    1. ricercare duplicati dei file referenziati eliminandoli;
    2. calcolare gli hash;
    3. estrarre exif e proprietà;
    4. creare gallerie immagini per jpg e png;
  • estrarre i file di registro di MS Win per estrarre informazioni:
    1. sul sistema;
    2. sugli utenti;
    3. sui device collegati;
    4. sui software installati;
  • convertire i file dbx di MS Outlook Express
    1. ottenendo mail in solo testo e in html;
    2. estraendo gli allegati, calcolandone gli hash ed estraendone exif e proprietà;
  • organizzando il tutto in una interfaccia html.

Se volete saperne di più potete visionarvi questi 30 minuti di presentazione di Bash Script Forensic Environment. Buona visione.

Attualmente il codice non è ancora stato rilasciato, ma conto di farlo per inizio 2010.

Selective File Dumper – tool Made in Italy

Tratto d Wikipedia: http://it.wikipedia.org/wiki/Sfdumper

Selective File Dumper è un tool Open Source sviluppato da Nanni Bassetti e Denis Frati, che facilita la ricerca dei files per tipologia o meglio per estensione (es. .doc o .jpg), realizzato principalmente per l’informatica forense.

Il progetto nasce dall’esigenza di facilitare la ricerca ed l’estrazione di tutti i file di un certo tipo, in ambiente Linux.

Sfruttando la potenza dello Sleuthkit ed Autopsy si possono cercare i file con una certa estensione, nel File System, scrivendo moltissimi comandi, in linux pipe, dello Sleuthkit e di Linux, stesso dicasi per i file cancellati. In seguito, tramite Foremost, si può effettuare un data carving, con conseguente duplicazione tra i file analizzati, di quelli già estratti in precedenza (attivi e cancellati), infine si può effettuare una ricerca per stringhe/keywords (grep) sul set di file che si sono salvati usando Sleuthkit e Foremost.

Tutte queste operazioni portano via moltissimo tempo e vanno fatte singolarmente. Tramite il bash script, SFDUMPER.SH, si fanno tutte le operazioni su descritte automaticamente ed inoltre si eliminano i file analizzati doppioni dei file cancellati e attivi estratti con lo Sleuthkit.

Lo script è interattivo, lavora sulla partizione, che chiede di scegliere all’operatore, partendo da un file immagine o direttamente dal dispositivo (es. /dev/sdb). Il tool possiede un’ulteriore caratteristica, ossia la possibilità di estendere il file di configurazione di Foremost, interno allo script, inoltre, grazie all’operazione di carving, si possono estrarre anche quei file che sono stati rinominati, perché il Foremost cerca tra i “magic numbers” presenti nella parte iniziale dei file.

Il progetto è basato su un Linux Bash Script interattivo, utilizzando tutti software Open Source, testati ed accettati dalla comunità di informatica forense, per automatizzare molte operazioni manuali.

Web Site: http://sfdumper.sourceforge.net

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi