�ݺ�ߣ

SFDumper
Prologo
Un consulente, operante con tools open source,
necessità di recuperare specifici tipi di files
dall'immagine di due hard disk, 500 Gb circa.
Alternative:
- affidarsi a tools commerciali;
- usare Autopsy Forensic Browser;
- creare righe di comando e script specifici.

Denis Frati http://www.cfitaly.net 1

Tools commerciali
No, Thank's!
Il consulente preferisce
affidarsi all'open source, non
per motivi economici, ma per
fiducia verso il codice
aperto, analizzabile e
migliorabile.


Autopsy Forensic Browser
Assenza di filtri per tipologia di file od estensione,
obbliga ad estrarre i files singolarmente


Autopsy – All deleted files
Su volumi ed immagini di grandi dimensioni il
browser va in stallo


Autopsy – File name search
Può essere ingannato dai files rinominati e permane
il vincolo dell'estrazione dei files singolarmente


Autopsy – File type
La visualizzazione dei files ordinati per tipologia non
è ancora implementata


Autopsy – File type II
L'output dell'ordinamento per tipo non ci da
indicazioni sullo stato del file (attivo/cancellato)

Obbligando al recovery del singolo file navigando

tra le directory o affidandosi allo sleut kit
# icat -f fat16 -o 0 pendrive.img 582

Riga di comando e script
La riga di comando è estremamente potente,
tuttavia:
- opzioni differenti per ogni tool;
nemo@nexus:~$ icat
Missing image name and/or address
usage: icat [-hHsvV] [-f fstype] [-i imgtype] [-o imgoffset] image [images] inum[-typ[-id]]
-h: Do not display holes in sparse files
-r: Recover deleted file
-R: Recover deleted file and suppress recovery errors
-s: Display slack space at end of file
-i imgtype: The format of the image file (use '-i list' for supported types)
-f fstype: File system type (use '-f list' for supported types)
-o imgoffset: The offset of the file system in the image (in sectors)
-v: verbose to stderr
-V: Print version


Riga di comando e script II
- esigenza di conoscere elementi distintivi del
dispositivo/immagine (settore inizio, file system,
inode del file), da recuperarsi di volta in volta per
ogni caso

Perché
non ottimizzare
i tempi?


SFDumper – La genesi


SFDumper – Cosa fa?
 estrae i file referenziati dal file system
 attivi
 cancellati
 recupera i file non più referenziati
 elimina i doppioni
 consente di ricercare stringhe nei file recuperati

Riconoscendo autonomamente la tipologia di file
system ed il settore di inizio dello stesso


SFDumper – Gli strumenti
Non con la magia!

Solo lo Sleuth Kit
e


SFDumper – Il metodo
mmls e fsstat permettono di determire le
caratteristiche dell'immagine/device

$file_system; $set_iniz; ecc..

fls -F -r -f $file_system -o $set_iniz ecc....

raccolte inode >>file da recuperare

icat -f tipo-fs -o set-iniziale immagine/device inode


SFDumper – il metodo II
Successivamente al
recupero dei file
referenziati, e come
unico passo quando non
viene riconosciuto alcun
tipo di file system
supportato dalla Sleuth
Kit, viene affettuato il
data carving (unallocated
space only)


SFDumper – Il risultato


SFDumper - Vantaggi
Ricerca e recupero dei soli file di interesse;
Non subire l'inganno del rename;
Conservazion dei nomi file;
Recupero dei file non referenziati dal file system;
Eliminazione dei doppioni;
Possibile ampliamento del data-base di headers &
footer per foremost;
Codice aperto ispezionabile e migliorabile


SFDumper - Gui
realizzata con Zenity, tool per visualizzare i box di
dialogo di Gtk+, utilizzati per l'inserimento testo,
scelta di opzioni e navigazione del file system.


SFDumper
Bug & Cooming Soon
Il tool risente dei bug dei tool implementati e di tool
simili:
Mancata individuazione file orfani (as Autopsy)
facilmente risolvibile (ifinder.sh/ifind[STK]), ma
incrementa i tempi di elaborazione;

Prossimamente:
Supporto alle immagini splittate;
Miglioramento ricerca per estensioni.


SFDumper – Stato attuale
Sourceforge page: http://sfdumper.sourceforge.net/
Collaborazioni esterne di revisione codice;
Ad oggi 592 download;
Utilizzato da consulenti e appartenenti alle FFPP.


I cugini di SFDumper
 Reverse calculator (Gianni Amato);
 Yahoo Messenger Chat Revelator;
 E-Mail Dumper & Inspector;
 Digital Forenser Expert;

Nati ed inspirati da discussioni e confronti
avvenuti in CFI Mailing List, o tra i suoi
appartenenti

Reverse
calculator
Sviluppato da Gianni
Amato, come estensione
per Mozilla Firefox, trae
ispirazione dal “CFI game
summer 2008” che
prevedeva il data hiding
descritto da Didier Stevens
http://blog.didierstevens.com/2008/03/31/hiding-inside-
wikipedia/ ”


Yahoo Messenger Chat
Revelator
Il tool realizzato da Gianni Amato trae spunto dallo
script per Encase realizzato da Lance Mueller
(http://www.forensickb.com/2008/01/searching-for-encrypted-keywords-in.html)
realizzato
visual basic
portabile su
Wine
dovrebbe
lavorare su
diversi
“messenger”

E-mail
Dumper & Inspector
Nasce dalla necessità di:
analizzare ed indicizzare grandi volumi di mail;
rendere fruibili a chiunque i dati estratti.


E-Mail D&S – il Dumper
Si compone di due moduli:
il Dumper, un bash script che estrae le
informazioni dai campi della mail e le propone in
 formato idoneo ad essere importato su fogli di
calcolo;
 file di creazione e riempimento data-base
MySql;
 le estrapola dal file mbox;
 estrae gli allegati calcolandone MD5 e SHA1


E-Mail D&S – Dumper Output


E-Mail D&I – l'Inspector
 L'Inspector è un modulo costituito da pagine php
che si interfacciano al db MySql consentendone
la consultazione:
 attraverso ricerche per mittente, destinatari,
codestinatari, indirizzi IP, oggetto, parole
chiave.
 in html (attenzione ai link pericolosi!)
 la visualizzazione con il client di posta
(idem come sopra!)
 l'apertura dei soli allegati


Search page


details pages


Html View


Digital Forenser Expert

Progetto di •tipologia di
Bernardo Cipolla sistemi, FS
Mira a: e software
•creare un profilo usati
dell'indagato in •tentativi di
base a: data hiding
•rinvenuto in rilevati
sequestro


Digital Forenser Expert II
Assegna un punteggio alle diverse caratteristiche
rilevate, cercando con ciò di determinare la
tipologia di utente, le sue capacità/pericolosità


Digital Forenser Expert III
La bozza di progetto è interessante potrebbe
consentire:
la creazione di un profilo evolvendolo in base ai
rilievi in divenire;
la creazione di un archivio dei soggetti,
seguendone l'evoluzione;
suggerire all'operatore direzioni di analisi in base
alla similitudine di modus operandi/profilo

Servirebbe il supporto di operatori con esperienza
per discriminare sulla modalità di valutazione.


Domande


Fine
si ringrazia
Il Magnifico Rettore della LUSPIO Prof. Giuseppe Parlato ed il Dott.
Alessandro Mecarelli
Dott. Benedetto Colangelo
tutti i partecipanti

ricordando :-)

realizzata con
contatti:
denis.frati@cybercrimes.it
www.denisfrati.it


�ݺ�ߣ

Sfdumper e cugini

More Related Content

Sfdumper e cugini