Recentemente mi è capitato di lavorare su un’attività nella quale non veniva richiesto un lavoro di fino, ma semplicemente il recupero di file di determinate tipologie, presentando solo quelli che potevano essere di interesse.
Quando ci si trova a lavorare sui grandi numeri si capisce quale sia, al momento, la differenza tra l’open source ed i tools commerciali! Mentre i commerciali ti presentano i file già divisi per tipologie, potendo magari visionarli con un solo tool, esportandoli, dopo averli bookmarkati, in un report estremamente fruibile, dove questi sono corredati di tutte le informazioni ad essi relati, con l’open source ti trovi ancora a lavorare esportando un file alla volta, dovendo lavorare di copia incolla per esportarti i dati di interesse!
Sono buoni motivi per lasciare l’open source? No!…o almeno lo spero!
Così mi sono messo alla tastiera cercando di realizzare un script che facesse al caso mio. Il risultato è “Bash Script Forensic Environment†(nome ancora temporaneo) che si occupa di:
- estrarre dal file system i file delle tipologie designate:
-
- calcolandone gli hash;
- estraendone meta-dati ed eventuali exif e proprietà ;
- creando gallerie immagini per jpg e png;
- effettuare il carving, o prendere in pasto l’output di un carving già elaborato per:
-
- ricercare duplicati dei file referenziati eliminandoli;
- calcolare gli hash;
- estrarre exif e proprietà ;
- creare gallerie immagini per jpg e png;
- estrarre i file di registro di MS Win per estrarre informazioni:
-
- sul sistema;
- sugli utenti;
- sui device collegati;
- sui software installati;
- convertire i file dbx di MS Outlook Express
-
- ottenendo mail in solo testo e in html;
- estraendo gli allegati, calcolandone gli hash ed estraendone exif e proprietà ;
- organizzando il tutto in una interfaccia html.
Se volete saperne di più potete visionarvi questi 30 minuti di presentazione di Bash Script Forensic Environment. Buona visione.
Attualmente il codice non è ancora stato rilasciato, ma conto di farlo per inizio 2010.
Lascia un commento