際際滷

際際滷Share a Scribd company logo

Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics: l'analisi di una "scatola nera"

Sandro Rossetti
Sandro Rossetti
1 of 30
Downloaded 62 times
Creative Commons Attribuzione-Non opere derivate 2.5 La virtualizzazione nella Computer Forensics: lanalisi di una scatola nera Paolo Dal Checco DEFTCON 2013 - Bologna 1Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Chi sono Consulente di Informatica Forense Ph.D. Sicurezza Informatica @dipinfo TO Fondatore DEFT Association Digital Forensics Bureau (DiFoB) di Torino Digit Law S.r.l. di Milano Security Brokers S.c.p.A. 2Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 De鍖nizione di Virtualizzazione Implementazione software di un computer che esegue come se fosse una macchina 鍖sica "Duplicato ef鍖ciente e isolato di una macchina reale" (Popek e Goldberg, 1974) 3Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Host e Guest Host: macchina 鍖sica (esterna) Guest: macchina virtuale (interna) VMM:Virtual Machine Monitor (hypervisor) Collegamenti di rete: bridge, NAT, host o custom Hardware Host (Sistema Operativo) App App Guest 1 (Sistema Operativo) Virtual Machine Monitor (VMM) App App Guest 2 (Sistema Operativo) ... App App Guest n (Sistema Operativo) 4Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 MacchineVirtuali e Computer Forensics Diversi punti di vista e di contatto: test software in ambiente isolato virtualizzazione di immagini forensi acquisizione di macchine virtuali acquisizione di macchine 鍖siche formati proprietari, software proprietario gestionali, database, script, macro utilizzo di live distro su workstation Win (DEFT viene fornito anche come macchina virtuale) questioni legate sicurezza o crittogra鍖a oggi 5Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Eseguire inVM unimmagine forense Tre alternative: 1. Conversione del disco da immagine forense a disco virtuale Richiede tempo e spazio, 竪 necessario partire da DD/RAW Portabile al 100% 2. Creazione di un disco virtuale che referenzia limmagine forense Non occupa spazio aggiuntivo, pochi 鍖le E portabile se si parte da un DD/RAW 3. Mount dellIMG come disco virtuale Immediato e non occupa spazio Non 竪 portabile 6Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Eseguire inVM unimmagine forense disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete 7Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 1: Conversione del disco da RAW IMG a disco virtuale La conversione produce un 鍖le grande quanto limmagine, sostanzialmente aggiunge header/footer Ok se limmagine forense 竪 in DD, altrimenti si converte in DD richiedendo quindi un passaggio ulteriore.Tool pi湛 usati: Virtual Box (Windows, Linux, Mac OS) VBoxManage convertfromraw image鍖le.dd vmdkname.vmdk --formatVMDK qemu (Linux) qemu-img convert image鍖le.dd -O vmdk vmdkname.vmdk Una volta creato il disco, si crea una nuova macchina virtuale che utilizza il disco appena creato 8Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 2: creazione disco virtuale che referenzia IMG Si crea un disco virtuale (VMDK, etc...) che referenzia, al suo interno, limmagine forense Si pu嘆 fare a mano [dd2vm] impostando nel 鍖le di con鍖gurazione del disco virtuale la geometria del disco contenuto nellimmagine forense Se non si dispone di unimmagine RAW, usare FTK Imager per montare una raw device (per LiveView) o eventualmente xmount per emulare un RAW Esistono tool gratuiti e a pagamento per creare il disco virtuale: Live View (per Win) [livevw] dd2vmdk (in C per Win, Linux, Mac) [dd2vmdk] raw2vmdk (in Java per Win, Linux, Mac) [raw2vmdk] ProDiscover Basic Edition [pdisc] EnCase Physical Disk Emulator (PDE) [ecpdm] Virtual Forensic Computing (VFC) [gdvfc] 9Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 LiveView Sviluppato da Carnegie Mellon University Basato su Java, non pi湛 aggiornato Pu嘆 virtualizzare: immagini raw di dischi immagini raw di partizioni dischi 鍖sici (connessi via USB o 鍖rewire) immagini in formati proprietari (tramite software di terze parti come FTK Imager) Ottimo per Windows, in parte anche Linux, tool molto usato In parte risolve anche i con鍖itti hardware legati alla virtualizzazione 10Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 LiveView Necessita di: VMware Server 1.x Full Install oVMware Workstation 5.5+ Java Runtime Environment VMware Disk Mount Utility 11Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 3: Mount di immagine forense come virtual disk In tempo reale, tramite FUSE, limmagine forense viene vista dal sistema operativo come un 鍖le di un 鍖lesystem virtuale (VMDK,VHD oVDI) permettendo anche la scrittura su un 鍖le di cache Si pu嘆 utilizzare xmount (Linux/Mac), gratuito e Open Source [pinguinhq] xmount --in ewf --out vmdk --cache mycache.bin img.e?? /mnt/vmdk fusermount -u /mnt/vmdk Una volta che abbiamo il disco virtuale, possiamo creare e lanciare la macchina virtuale che lo utilizza. Cosa otteniamo? 12Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 BSOD 13Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 BSOD Con Windows, ma anche con Mac OS, lavvio di unaVM nata da una PM non va sempre liscio, cos狸 come quando si cambia lhardware di una macchina lasciando il disco Sia suVMware sia suVirtualBox possono veri鍖carsi problemi con i driver IDE, HAL, estensioni kernel, etc... che impediscono il boot. Si possono risolvere a mano [vbxwin] o utilizzare gli script OpenGates e OpenJobs [pinguinhq] di Gillen Dan Sono ISO che vanno avviate (OpenGates va prima creata) come LiveCD allinterno della virtual machine (guest) in modo che possano patchare il disco virtualeVMDK/VHD 14Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 OpenGates Patch del registro per abilitare i legacy IDE drivers Azzera le password degli utenti (chntpw) Rimuove i driver che possono andare in con鍖itto con lhw Determina gli HAL utilizzati (importante quando si migra su VirtualBox) Risolve i problemi di licenza/convalida che emergono quando Windows si sveglia su un altro hardware Stampa informazioni utili per con鍖gurare laVM 15Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 OpenJobs Installa un bootloader per rendere il disco avviabile (v10.5 e v10.6). Installa le estensioni per il kernel Hackintosh Rimuove estensioni del kernel che possono andare in con鍖itto con il nuovo hardware (v10.7 e 10.8). Azzera le password degli utenti Stampa informazioni utili per con鍖gurare laVM 16Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Lo sapevate? 17Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Lo sapevate? Sembrer ovvio, ma un guest a 64 bit non gira su hw a 32bit... Un software 竪 in grado di capire se 竪 dentro unaVM o fuori (ScoopyNG [scoopyng],VMDetect [vmdetect], Red Pill [rdpill]) Per forzare un delay sul BIOS e avere tempo di lanciare OpenGates, aggiungere nel 鍖le di con鍖gurazione .vmx la riga bios.bootDelay = "xxxx" (xxxx in millisecondi) Per forzare lentrata nel BIOS al boot aggiungere bios.forceSetupOnce = "TRUE" Se Windows richiede lattivazione: La modalit provvisoria funziona sempre (XP) tool di dubbia provenienza o legalit... (XP) rundll32.exe syssetup | SetupOobeBnk (7) sysprep /generalize | slmgr.vbs rearm | rundll32 slc.dll,SLReArmWindows | slmgr /rearm 18Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera 19Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Le scatole nere spesso non sono che dei computer con Sistema Operativo proprietario o anche standard I dati sono memorizzati su supporti di archiviazione, se possibile SSD (protetti e isolati) e con 鍖lesystem proprietari Es. QNX, OS/FS application critical e real time utilizzato in centrali nucleari, auto, navi, etc.. [osqnx]) o anche semplicemente FAT 16/32... 20Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Sistema Operativo real-time Unix-like POSIX- compliant commerciale Esistono driver per Linux 21Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera 22Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Caso reale nel quale ci si pu嘆 imbattere 竪 quello di una scatola nera con hardware obsoleto, software e formato proprietari Cosa fare se non si hanno alternative? Virtualizzare... 23Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Copia forense del disco con Guymager (DEFT) 24Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Veri鍖che integrit e coerenza dati con ausilio di (super)timeline e log2timeline,TSK o Autopsy (DEFT) 25Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Virtualizzazione disco tramite LiveView oppure dd2vmdk o raw2vmdk (DEFT8) o con gli altri metodi descritti 26Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Avvio in ambiente virtuale tramiteVMware o Virtualbox (installabile in DEFT) 27Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Elaborazione dei tracciati storici precedenti lincidente 28Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Esportazione delle informazioni rilevanti (se non 竪 disponibile funzione di esportazione, si pu嘆 operare con screenshot) 29Monday, May 6, 13
Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Bibliogra鍖a (bit.ly) [dd2vm] www.schatzforensic.com.au/2006/p2v [dd2vmdk] dd2vmdk.sourceforge.net [ecpdm] www.guidancesoftware.com/computer-forensics-software-disk-emulator.htm [gdvfc] www.virtualforensiccomputing.com/vfc-faq.php [livevw] liveview.sourceforge.net [pinguinhq] www.pinguin.lu [pdisc] www.techpathways.com/desktopdefault.aspx?tabindex=8&tabid=14 [raw2vmdk] raw2vmdk.sourceforge.net [rdpill] www.ouah.org/Red_%20Pill.html [scoopyng] www.trapkit.de/research/vmm/scoopyng/ [vmdetect] www.codeproject.com/Articles/9823/Detect-if-your-program-is-running-inside-a-Virtual [vmwcnv] www.vmware.com/products/converter [vbxwin] www.virtualbox.org/wiki/Migrate_Windows [veeambkp] www.veeam.com/it/vmware-esx-backup.html [osqnx] www.qnx.com/company/customer_stories 30Monday, May 6, 13

Recommended

festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2016
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux
Galliate Linux User Group
Guida al Computer - Lezione 106 - Pannello di Controllo Crittografia Unit ...
Guida al Computer - Lezione 106 - Pannello di Controllo Crittografia Unit ...Guida al Computer - Lezione 106 - Pannello di Controllo Crittografia Unit ...
Guida al Computer - Lezione 106 - Pannello di Controllo Crittografia Unit ...
caioturtle
Unattended
UnattendedUnattended
Unattended
Francesco Taurino
Sistemi Operativi: Struttura avanzata - Lezione 05
Sistemi Operativi: Struttura avanzata - Lezione 05Sistemi Operativi: Struttura avanzata - Lezione 05
Sistemi Operativi: Struttura avanzata - Lezione 05
Majong DevJfu
Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)
Marcello Missiroli
VDJ 7 Per iniziare
VDJ 7 Per iniziareVDJ 7 Per iniziare
VDJ 7 Per iniziare
Virtualdeejay.net
Giochiamo ai COW-boy : zfs & btrfs
Giochiamo ai COW-boy : zfs & btrfsGiochiamo ai COW-boy : zfs & btrfs
Giochiamo ai COW-boy : zfs & btrfs
alberto fiaschi
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadowUna macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
luigi Ranzato
Vagrant e Docker a confronto;scegliere ed iniziare
Vagrant e Docker a confronto;scegliere ed iniziareVagrant e Docker a confronto;scegliere ed iniziare
Vagrant e Docker a confronto;scegliere ed iniziare
Daniele Mondello
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean
Emanuele Florindi
VMUGIT UC 2013 - 09b VMUGIT SMB
VMUGIT UC 2013 - 09b VMUGIT SMB VMUGIT UC 2013 - 09b VMUGIT SMB
VMUGIT UC 2013 - 09b VMUGIT SMB
VMUG IT
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
Gianluca Vaglio
Informatica
InformaticaInformatica
Informatica
Jacopo Grimoldi
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMwareSistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Claudio Cardinali
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
Alessandro Selli
Virtualizzazione - FLOSS
Virtualizzazione - FLOSSVirtualizzazione - FLOSS
Virtualizzazione - FLOSS
Stefano Morandi
Pc piu sicuro
Pc piu sicuroPc piu sicuro
Pc piu sicuro
Gianluca Vaglio
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora
Clonare mac os x
Clonare mac os xClonare mac os x
Clonare mac os x
Ce.Se.N.A. Security
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deft Association
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Sandro Rossetti
Windows 10 IoT
Windows 10 IoTWindows 10 IoT
Windows 10 IoT
Nicol嘆 Carandini
VMUG.IT @ ITway Campus 2014
VMUG.IT @ ITway Campus 2014VMUG.IT @ ITway Campus 2014
VMUG.IT @ ITway Campus 2014
Andrea Mauro
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una scelta
denis frati
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
Stefano Dall'Agata
Proxmox VE
Proxmox VEProxmox VE
Proxmox VE
Dario Tion
Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)
Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)
Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)
Gabriele Guizzardi
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Sandro Rossetti
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Sandro Rossetti

More Related Content

Similar to Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics: l'analisi di una "scatola nera" (20)

Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadowUna macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
luigi Ranzato
Vagrant e Docker a confronto;scegliere ed iniziare
Vagrant e Docker a confronto;scegliere ed iniziareVagrant e Docker a confronto;scegliere ed iniziare
Vagrant e Docker a confronto;scegliere ed iniziare
Daniele Mondello
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean
Emanuele Florindi
VMUGIT UC 2013 - 09b VMUGIT SMB
VMUGIT UC 2013 - 09b VMUGIT SMB VMUGIT UC 2013 - 09b VMUGIT SMB
VMUGIT UC 2013 - 09b VMUGIT SMB
VMUG IT
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
Gianluca Vaglio
Informatica
InformaticaInformatica
Informatica
Jacopo Grimoldi
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMwareSistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Claudio Cardinali
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
Alessandro Selli
Virtualizzazione - FLOSS
Virtualizzazione - FLOSSVirtualizzazione - FLOSS
Virtualizzazione - FLOSS
Stefano Morandi
Pc piu sicuro
Pc piu sicuroPc piu sicuro
Pc piu sicuro
Gianluca Vaglio
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora
Clonare mac os x
Clonare mac os xClonare mac os x
Clonare mac os x
Ce.Se.N.A. Security
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deft Association
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Sandro Rossetti
Windows 10 IoT
Windows 10 IoTWindows 10 IoT
Windows 10 IoT
Nicol嘆 Carandini
VMUG.IT @ ITway Campus 2014
VMUG.IT @ ITway Campus 2014VMUG.IT @ ITway Campus 2014
VMUG.IT @ ITway Campus 2014
Andrea Mauro
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una scelta
denis frati
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
Stefano Dall'Agata
Proxmox VE
Proxmox VEProxmox VE
Proxmox VE
Dario Tion
Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)
Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)
Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)
Gabriele Guizzardi
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadowUna macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
luigi Ranzato
Vagrant e Docker a confronto;scegliere ed iniziare
Vagrant e Docker a confronto;scegliere ed iniziareVagrant e Docker a confronto;scegliere ed iniziare
Vagrant e Docker a confronto;scegliere ed iniziare
Daniele Mondello
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean
Emanuele Florindi
VMUGIT UC 2013 - 09b VMUGIT SMB
VMUGIT UC 2013 - 09b VMUGIT SMB VMUGIT UC 2013 - 09b VMUGIT SMB
VMUGIT UC 2013 - 09b VMUGIT SMB
VMUG IT
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
Gianluca Vaglio
Informatica
InformaticaInformatica
Informatica
Jacopo Grimoldi
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMwareSistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Claudio Cardinali
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
Alessandro Selli
Virtualizzazione - FLOSS
Virtualizzazione - FLOSSVirtualizzazione - FLOSS
Virtualizzazione - FLOSS
Stefano Morandi
Pc piu sicuro
Pc piu sicuroPc piu sicuro
Pc piu sicuro
Gianluca Vaglio
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora
Clonare mac os x
Clonare mac os xClonare mac os x
Clonare mac os x
Ce.Se.N.A. Security
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deft Association
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Sandro Rossetti
Windows 10 IoT
Windows 10 IoTWindows 10 IoT
Windows 10 IoT
Nicol嘆 Carandini
VMUG.IT @ ITway Campus 2014
VMUG.IT @ ITway Campus 2014VMUG.IT @ ITway Campus 2014
VMUG.IT @ ITway Campus 2014
Andrea Mauro
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una scelta
denis frati
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
Stefano Dall'Agata
Proxmox VE
Proxmox VEProxmox VE
Proxmox VE
Dario Tion
Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)
Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)
Raspberry pi per tutti (workshop presso Warehouse Coworking Pesaro)
Gabriele Guizzardi

More from Sandro Rossetti (19)

Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Sandro Rossetti
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Sandro Rossetti
DEFTCON 2012 - Stefano Fratepietro - Presentazione dellevento e delle novit...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dellevento e delle novit...DEFTCON 2012 - Stefano Fratepietro - Presentazione dellevento e delle novit...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dellevento e delle novit...
Sandro Rossetti
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
Sandro Rossetti
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsDEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
Sandro Rossetti
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
Sandro Rossetti
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineDeftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Sandro Rossetti
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Sandro Rossetti
Deftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4mostDeftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4most
Sandro Rossetti
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Sandro Rossetti
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attivit di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attivit di Cybe...Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attivit di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attivit di Cybe...
Sandro Rossetti
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicDeftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Sandro Rossetti
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Sandro Rossetti
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Sandro Rossetti
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Sandro Rossetti
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Sandro Rossetti
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Sandro Rossetti
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Sandro Rossetti
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Sandro Rossetti
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Sandro Rossetti
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Sandro Rossetti
DEFTCON 2012 - Stefano Fratepietro - Presentazione dellevento e delle novit...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dellevento e delle novit...DEFTCON 2012 - Stefano Fratepietro - Presentazione dellevento e delle novit...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dellevento e delle novit...
Sandro Rossetti
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
Sandro Rossetti
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsDEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
Sandro Rossetti
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
Sandro Rossetti
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e SupertimelineDeftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline
Sandro Rossetti
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Sandro Rossetti
Deftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4mostDeftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4most
Sandro Rossetti
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Sandro Rossetti
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attivit di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attivit di Cybe...Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attivit di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attivit di Cybe...
Sandro Rossetti
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicDeftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Sandro Rossetti
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Sandro Rossetti
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Sandro Rossetti
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Sandro Rossetti
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Sandro Rossetti
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Sandro Rossetti
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Sandro Rossetti
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Sandro Rossetti

Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics: l'analisi di una "scatola nera"

  • 1. Creative Commons Attribuzione-Non opere derivate 2.5 La virtualizzazione nella Computer Forensics: lanalisi di una scatola nera Paolo Dal Checco DEFTCON 2013 - Bologna 1Monday, May 6, 13
  • 2. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Chi sono Consulente di Informatica Forense Ph.D. Sicurezza Informatica @dipinfo TO Fondatore DEFT Association Digital Forensics Bureau (DiFoB) di Torino Digit Law S.r.l. di Milano Security Brokers S.c.p.A. 2Monday, May 6, 13
  • 3. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 De鍖nizione di Virtualizzazione Implementazione software di un computer che esegue come se fosse una macchina 鍖sica "Duplicato ef鍖ciente e isolato di una macchina reale" (Popek e Goldberg, 1974) 3Monday, May 6, 13
  • 4. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Host e Guest Host: macchina 鍖sica (esterna) Guest: macchina virtuale (interna) VMM:Virtual Machine Monitor (hypervisor) Collegamenti di rete: bridge, NAT, host o custom Hardware Host (Sistema Operativo) App App Guest 1 (Sistema Operativo) Virtual Machine Monitor (VMM) App App Guest 2 (Sistema Operativo) ... App App Guest n (Sistema Operativo) 4Monday, May 6, 13
  • 5. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 MacchineVirtuali e Computer Forensics Diversi punti di vista e di contatto: test software in ambiente isolato virtualizzazione di immagini forensi acquisizione di macchine virtuali acquisizione di macchine 鍖siche formati proprietari, software proprietario gestionali, database, script, macro utilizzo di live distro su workstation Win (DEFT viene fornito anche come macchina virtuale) questioni legate sicurezza o crittogra鍖a oggi 5Monday, May 6, 13
  • 6. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Eseguire inVM unimmagine forense Tre alternative: 1. Conversione del disco da immagine forense a disco virtuale Richiede tempo e spazio, 竪 necessario partire da DD/RAW Portabile al 100% 2. Creazione di un disco virtuale che referenzia limmagine forense Non occupa spazio aggiuntivo, pochi 鍖le E portabile se si parte da un DD/RAW 3. Mount dellIMG come disco virtuale Immediato e non occupa spazio Non 竪 portabile 6Monday, May 6, 13
  • 7. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Eseguire inVM unimmagine forense disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete disabilitare scheda di rete 7Monday, May 6, 13
  • 8. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 1: Conversione del disco da RAW IMG a disco virtuale La conversione produce un 鍖le grande quanto limmagine, sostanzialmente aggiunge header/footer Ok se limmagine forense 竪 in DD, altrimenti si converte in DD richiedendo quindi un passaggio ulteriore.Tool pi湛 usati: Virtual Box (Windows, Linux, Mac OS) VBoxManage convertfromraw image鍖le.dd vmdkname.vmdk --formatVMDK qemu (Linux) qemu-img convert image鍖le.dd -O vmdk vmdkname.vmdk Una volta creato il disco, si crea una nuova macchina virtuale che utilizza il disco appena creato 8Monday, May 6, 13
  • 9. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 2: creazione disco virtuale che referenzia IMG Si crea un disco virtuale (VMDK, etc...) che referenzia, al suo interno, limmagine forense Si pu嘆 fare a mano [dd2vm] impostando nel 鍖le di con鍖gurazione del disco virtuale la geometria del disco contenuto nellimmagine forense Se non si dispone di unimmagine RAW, usare FTK Imager per montare una raw device (per LiveView) o eventualmente xmount per emulare un RAW Esistono tool gratuiti e a pagamento per creare il disco virtuale: Live View (per Win) [livevw] dd2vmdk (in C per Win, Linux, Mac) [dd2vmdk] raw2vmdk (in Java per Win, Linux, Mac) [raw2vmdk] ProDiscover Basic Edition [pdisc] EnCase Physical Disk Emulator (PDE) [ecpdm] Virtual Forensic Computing (VFC) [gdvfc] 9Monday, May 6, 13
  • 10. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 LiveView Sviluppato da Carnegie Mellon University Basato su Java, non pi湛 aggiornato Pu嘆 virtualizzare: immagini raw di dischi immagini raw di partizioni dischi 鍖sici (connessi via USB o 鍖rewire) immagini in formati proprietari (tramite software di terze parti come FTK Imager) Ottimo per Windows, in parte anche Linux, tool molto usato In parte risolve anche i con鍖itti hardware legati alla virtualizzazione 10Monday, May 6, 13
  • 11. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 LiveView Necessita di: VMware Server 1.x Full Install oVMware Workstation 5.5+ Java Runtime Environment VMware Disk Mount Utility 11Monday, May 6, 13
  • 12. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 3: Mount di immagine forense come virtual disk In tempo reale, tramite FUSE, limmagine forense viene vista dal sistema operativo come un 鍖le di un 鍖lesystem virtuale (VMDK,VHD oVDI) permettendo anche la scrittura su un 鍖le di cache Si pu嘆 utilizzare xmount (Linux/Mac), gratuito e Open Source [pinguinhq] xmount --in ewf --out vmdk --cache mycache.bin img.e?? /mnt/vmdk fusermount -u /mnt/vmdk Una volta che abbiamo il disco virtuale, possiamo creare e lanciare la macchina virtuale che lo utilizza. Cosa otteniamo? 12Monday, May 6, 13
  • 13. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 BSOD 13Monday, May 6, 13
  • 14. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 BSOD Con Windows, ma anche con Mac OS, lavvio di unaVM nata da una PM non va sempre liscio, cos狸 come quando si cambia lhardware di una macchina lasciando il disco Sia suVMware sia suVirtualBox possono veri鍖carsi problemi con i driver IDE, HAL, estensioni kernel, etc... che impediscono il boot. Si possono risolvere a mano [vbxwin] o utilizzare gli script OpenGates e OpenJobs [pinguinhq] di Gillen Dan Sono ISO che vanno avviate (OpenGates va prima creata) come LiveCD allinterno della virtual machine (guest) in modo che possano patchare il disco virtualeVMDK/VHD 14Monday, May 6, 13
  • 15. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 OpenGates Patch del registro per abilitare i legacy IDE drivers Azzera le password degli utenti (chntpw) Rimuove i driver che possono andare in con鍖itto con lhw Determina gli HAL utilizzati (importante quando si migra su VirtualBox) Risolve i problemi di licenza/convalida che emergono quando Windows si sveglia su un altro hardware Stampa informazioni utili per con鍖gurare laVM 15Monday, May 6, 13
  • 16. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 OpenJobs Installa un bootloader per rendere il disco avviabile (v10.5 e v10.6). Installa le estensioni per il kernel Hackintosh Rimuove estensioni del kernel che possono andare in con鍖itto con il nuovo hardware (v10.7 e 10.8). Azzera le password degli utenti Stampa informazioni utili per con鍖gurare laVM 16Monday, May 6, 13
  • 17. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Lo sapevate? 17Monday, May 6, 13
  • 18. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Lo sapevate? Sembrer ovvio, ma un guest a 64 bit non gira su hw a 32bit... Un software 竪 in grado di capire se 竪 dentro unaVM o fuori (ScoopyNG [scoopyng],VMDetect [vmdetect], Red Pill [rdpill]) Per forzare un delay sul BIOS e avere tempo di lanciare OpenGates, aggiungere nel 鍖le di con鍖gurazione .vmx la riga bios.bootDelay = "xxxx" (xxxx in millisecondi) Per forzare lentrata nel BIOS al boot aggiungere bios.forceSetupOnce = "TRUE" Se Windows richiede lattivazione: La modalit provvisoria funziona sempre (XP) tool di dubbia provenienza o legalit... (XP) rundll32.exe syssetup | SetupOobeBnk (7) sysprep /generalize | slmgr.vbs rearm | rundll32 slc.dll,SLReArmWindows | slmgr /rearm 18Monday, May 6, 13
  • 19. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera 19Monday, May 6, 13
  • 20. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Le scatole nere spesso non sono che dei computer con Sistema Operativo proprietario o anche standard I dati sono memorizzati su supporti di archiviazione, se possibile SSD (protetti e isolati) e con 鍖lesystem proprietari Es. QNX, OS/FS application critical e real time utilizzato in centrali nucleari, auto, navi, etc.. [osqnx]) o anche semplicemente FAT 16/32... 20Monday, May 6, 13
  • 21. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Sistema Operativo real-time Unix-like POSIX- compliant commerciale Esistono driver per Linux 21Monday, May 6, 13
  • 22. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera 22Monday, May 6, 13
  • 23. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Caso reale nel quale ci si pu嘆 imbattere 竪 quello di una scatola nera con hardware obsoleto, software e formato proprietari Cosa fare se non si hanno alternative? Virtualizzare... 23Monday, May 6, 13
  • 24. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Copia forense del disco con Guymager (DEFT) 24Monday, May 6, 13
  • 25. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Veri鍖che integrit e coerenza dati con ausilio di (super)timeline e log2timeline,TSK o Autopsy (DEFT) 25Monday, May 6, 13
  • 26. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Virtualizzazione disco tramite LiveView oppure dd2vmdk o raw2vmdk (DEFT8) o con gli altri metodi descritti 26Monday, May 6, 13
  • 27. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Avvio in ambiente virtuale tramiteVMware o Virtualbox (installabile in DEFT) 27Monday, May 6, 13
  • 28. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Elaborazione dei tracciati storici precedenti lincidente 28Monday, May 6, 13
  • 29. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Analisi di una scatola nera Esportazione delle informazioni rilevanti (se non 竪 disponibile funzione di esportazione, si pu嘆 operare con screenshot) 29Monday, May 6, 13
  • 30. Paolo Dal Checco - paolo@dalchecco.it LaVirtualizzazione nella Computer Forensics - DEFTCON 2013 Bibliogra鍖a (bit.ly) [dd2vm] www.schatzforensic.com.au/2006/p2v [dd2vmdk] dd2vmdk.sourceforge.net [ecpdm] www.guidancesoftware.com/computer-forensics-software-disk-emulator.htm [gdvfc] www.virtualforensiccomputing.com/vfc-faq.php [livevw] liveview.sourceforge.net [pinguinhq] www.pinguin.lu [pdisc] www.techpathways.com/desktopdefault.aspx?tabindex=8&tabid=14 [raw2vmdk] raw2vmdk.sourceforge.net [rdpill] www.ouah.org/Red_%20Pill.html [scoopyng] www.trapkit.de/research/vmm/scoopyng/ [vmdetect] www.codeproject.com/Articles/9823/Detect-if-your-program-is-running-inside-a-Virtual [vmwcnv] www.vmware.com/products/converter [vbxwin] www.virtualbox.org/wiki/Migrate_Windows [veeambkp] www.veeam.com/it/vmware-esx-backup.html [osqnx] www.qnx.com/company/customer_stories 30Monday, May 6, 13
AboutCopyright
息 2025 際際滷