CORSO DI SICUREZZA. Distribuzioni linux per analisi forense di tipo post-mortem

Transcript

1 CORSO DI SICUREZZA Laurea Magistrale in Informatica Facoltà di Scienze Matematiche Fisiche e Naturali Università degli Studi di Salerno Via Ponte Don Melillo Fisciano (SA) - Italy Distribuzioni linux per analisi forense di tipo post-mortem Giugno 2011 Claudio Gargiulo Gargiulo.claudio@gmail.com Umberto Annunziata umberto287@libero.it Prof. del corso: Alfredo De Santis

2 SOMMARIO 0. Perché svolgere o non svolgere computer forensic con Linux 1. Distribuzioni linux per l'analisi forense 2. I Tool 2.1 I tool di acquisizione 2.2 I tool di analisi I tool di analisi di basso livello I tool di analisi di alto livello I tool integrati 3. Il caso di studio 3.1 Acquisizione della partizione 3.2 Analisi di basso livello con Autopsy 3.3 Analisi di basso livello con PTK 3.4 Installazione di PTK 3.5 Utilizzo di PTK 3.6 Confronto tra Autopsy e Ptk 4. Web Browser Forensic 4.1 Struttura dell index.dat analisi di alto livello 4.2 Esempio di lettura dell index.dat tramite editor esadecimale 4.3 Struttura dell index.dat analisi di basso livello Le File Map Entries 4.4 Funzionamento del caching 4.5. Analisi di Internet Explorer attraverso 3 tool Pasco Web Historian NetAnalysis v Riferimenti

3 Computer forensics scienza che mira al recupero e all'analisi dei dati informatici che è possibile recuperare da un computer, al fine di utilizzare i risultati in un processo giuridico o in un'indagine

4 Premessa: perché svolgere computer forensic con linux? Ambiente molto flessibile Gran parte dei tool sono gratuiti Gran parte dei tool sono open source sappiamo cosa succede under the hood Se usati in modo corretto, l evidenza viene accettata dalla corte

5 Premessa: perché NON svolgere computer forensic con linux? Ambiente flessibile esistono più modi per eseguire la stessa operazione......e nessuna di esse è universalmente accettata Gran parte dei tool sono gratuiti non si ha supporto tecnico difficile che lo sviluppatore sia disposto a entrare in aula Gran parte dei tool sono open source la controparte può analizzare il codice del tool per trovarne un bug e contestare il lavoro

6 Inoltre i tool gratuiti spesso sono più complicati di quelli a pagamento......molti di essi richiedono l utilizzo della linea di comando... si possono distruggere potenziali prove con un piccolo errore di battitura!

7 Post-mortem forensic Come citato nel testo Handbook of digital forensics and investigation Eoghan casey Academic Prs essa mira al «recupero e analisi dei dati su una macchina spenta, ossia di tutti i dati leggibili dalle memorie di massa (tralasciando quindi i dati presenti in RAM e in transito sulla rete, interesse della live forensic, branca complementare alla postmortem nella computer forensic)»

9 Distribuzioni linux Helix americana Basata su Ubuntu Kernel linux Deft 6.1(Digital Evidence Forensics Toolkit) italiana Basata su Ubuntu Kernel linux Caine 2.0(Computer Aided Investigative Environment) italiana Basata su Ubuntu Kernel linux Backtrack 5 internazionale Live dvd Basata su Ubuntu Kernel linux

10 Obiettivi di progetto Mettere alla prova le varie distribuzioni Confrontare i risultati ottenuti Ottenere delle linee guida da seguire durante tutto il processo di investigazione

12 I tool Divisi in quattro grandi gruppi: tool di acquisizione tool di analisi di basso livello tool di analisi di alto livello Fra essi si individuano, inoltre: tool di cracking tool integrati

13 Alcuni tool di acquisizione dd: non necessita di presentazioni... dcfldd: dd con l aggiunta di hashing on the fly, output multipli, output divisi e procedure di verifica delle immagini. guymager: tool di acquisizione user-friendly ftk imager (wine): tool commerciale di acquisizione che supporta file Encase e cd-rom scalpel: permette di recuperare files cancellati

14 Riguardo la ricerca dei file cancellati... spesso i file cancellati vengono recuperati solo in parte a causa di frammentazione dovuta a sovrascritture. Tool diversi analizzano lo spazio libero in modo differente quindi per ottenere un analisi esaustiva è necessario utilizzare più di un tool.

15 ...e i file crittografati distribuzioni come la deft mettono a disposizione molti tool di password cracking spesso però essi non riescono a decifrare la password......tuttavia la sola segnalazione della presenza di tali file può essere d aiuto agli investigatori

17 Tool di analisi di basso livello catfish: tool di ricerca file LTFViewer: visualizza file di testo molto grandi ghex: editor esadecimale DFF: GUI per accedere a tool a linea di comando scriptabile per automatizzare il lavoro WinAudit: rilevare la configurazione del PC

18 Tool di analisi di basso livello RegScanner: effettua uno scan del registry PhotoRec: file data recovery tool WhatInStartup: mostra le applicazioni lanciate al boot

19 Tool di analisi di alto livello analizzatori di: cache del browser cookies del browser cronologia del browser posta elettronica chat log vulnerabilità (virus, rootkit ecc.)

20 Cache analysis Chrome Cache View IE Cache View Mozilla Cache View MUI Cache View Opera Cache View Video Cache View N.B. tutti i tool sopra elencati vengono utilizzati in ambiente Linux attraverso Wine

21 Esempio: Chrome Cache View

22 Cookies analysis Esempio: IE Cookie View

23 Browser history analysis Esempio: IE History View

24 Analizzatori di e chat Bulk Extractor: esegue l estrazione di URL ed LibPST: permette di accedere alle cartelle mailbox di Outlook Live Contacts View Skype Log View Skype Chat Conversation Viewer

25 Analisi delle vulnerabilità ClamAV antivirus Rootkit Revealer Sophos anti-rootkit rkhunter (rootkit, backdoor, sniffer e exploit)

26 Password recovery/cracking IEPassView OperaPassView ChromePass MailPassView MessenPass VNCPassView john the ripper pdfcrack fcrackzip Dialupass PST Password Hydra Ophcrack

27 Tool integrati Autopsy - oltre alle attività di investigazione, aiuta in fase di report grazie ai suoi tool di case management. PTK Framework - come Autopsy ma: dotato di una gui più veloce tramite ajax; è modulare: permette l aggiunta di nuovi tools; dotato di un motore di indicizzazione più potente; permette di aggiungere bookmark da condividere con gli altri investigatori.

28 Timeline in Autopsy

29 Timeline in PTK posso marcare subito i file che mi interessano

31 Descrizione del caso di studio Simuliamo l analisi di un sistema operativo Windows 7 x86 con singolo utente Partizione di 19.4GB su hard disk esterno Interfaccia utilizzata: FireWire 800 (parallela) (throughput teorico di 800 Mbit/s 100 MB/s) Utilizzato da macchina virtuale

32 Obiettivi del caso di studio ottenere una conoscenza esaustiva dei tool di acquisizione e di analisi disponibili e acquisire le best practices da seguire nell'utilizzo degli stessi. simulare la ricostruzione delle pagine web visualizzate dall'utente nel passato, a partire dai dati temporanei mantenuti dal browser web sul computer.

33 Considerazioni sull utilizzo virtuale L utilizzo del s.o. tramite macchina virtuale non crea particolari problemi: + Le r/w avvengono in modo persistente sulla partizione reale + Possibilità di ibernare la macchina virtuale - l hardware reale viene virtualizzato e ciò (generalmente) porta ad un decadimento delle prestazioni.

34 Il caso di studio creato Navigazione con internet explorer Navigazione su un social network Configurazione e accesso a Live Messenger Download di due foto Una delle quali nascosta e modificata da.jpg a.txt Chat e chiamata tramite Skype Tutto riportato nel dettaglio in un log

35 Ore avviata la macchina virtuale Ore avviato internet explorer: connessione alla homepage Ore ricerca su bing: facebook Ore Ore login su facebook (memorizza password, ricorda login) Ore navigazione profilo di Umberto Annunziata Ore inizio conversazione fb con Umberto Annunziata Ore fine conversazione Ore visualizzazione gruppo Quelli di SOII Ore rimossa discussione da fb con Umberto Annunziata Ore lasciato post su fb nel gruppo Quelli di SOII Ore ricevuto un "mi piace" da Giovanni Mastroianni e Umberto Annunziata Ore ricevuto commento in risposta al post da Umberto Annunziata Ore lettura delle ultime due notifiche Ore passaggio dalla pagina del gruppo alla home di facebook Ore logout da facebook e chiusura di Internet Explorer Ore apertura di Live Messenger, configurazione account e accesso Ore eseguito login su messenger, accesso area MSN Ore caricata area MSN con notizia in evidenza "Corona punta tutto su Belen" Ore inizio conversazione con Umberto Annunziata Ore invio messaggio con allegato tramite web a umberto287@libero.it Ore apertura internet explorer Ore ricerca su bing "deviantart" Ore navigazione sul sito web Ore navigazione sulla foto

36 Ore download dell'immagine JPG sul desktop: foto.jpg Ore ritorno nella home di deviantart cliccando sul logo in alto a sx Ore navigazione nella categoria "digital art" Ore ritorno sulla home di deviantart Ore navigazione sulla foto Ore salvataggio su disco della foto sul desktop: testo.jpg Ore chiusura di internet explorer Ore rinominato il file testo.jpg in testo.txt Ore impostato il file testo.txt come nascosto (attraverso l opzione apposita di Windows 7) Ore disconnessione e uscita da live messenger Ore apertura di skype Ore chiusura inaspettata di skype Ore arresto di windows Ore accensione macchina virtuale Ore login su skype Ore telefonata su skype con umberto Ore disinstallazione di skype Ore installazione di skype Ore navigazione su poi su youtube.com Ore installazione del flash player Ore visualizzazione video su youtube v=4bujapd4wuc Ore fine visualizzazione video Ore chiusura di Internet Explorer Ore arresto del sistema

38 Acquisizione: dcfldd vs. dc3dd Abbiamo eseguito l acquisizione della partizione dalle varie distribuzioni utilizzando dcfldd e dc3dd. Dcfldd è un progetto nato da un fork del comando dd + dispone di molti algoritmi di hashing + supporta il wiping con pattern randomizzati + utilizzabile in ambiente cygwin - gli aggiornamenti a dd non sono immediatamente disponibili Dc3dd è una patch all originale dd: + aggiornamenti a dd sono immediatamente disponibili - NON utilizzabile in ambiente cygwin

39 Acquisizione: dcfldd vs. dc3dd Dcfldd sintassi: dcfldd if=/dev/sda1 conv=sync,noerror Hashwindow=0 hashlog=/mnt/morgue/case1.img.md5 of=/mnt/morgue/case1.img dc3dd if=/dev/sdb of=/media/sdc1/disco.dd conv=noerror,sync bs=32k iflag=direct Dc3dd sintassi:

40 Precisazioni su dcfldd In una slide precedente abbiamo riportato la sintassi tipica di dcfldd: dcfldd if=/dev/sda1 conv=sync,noerror Hashwindow=0 hashlog=/mnt/morgue/case1.img.md5 of=/mnt/morgue/case1.img Il parametro hashwindow consente di stabilire ogni quanti byte calcolare il valore di hash.

41 Hashwindow Se impostato a 0: Forza dcfldd a calcolare l hash contestualmente all acquisizione su tutta l evidenza. Output unico. Se diverso da 0 (es.: hashwindow=4m): Calcola, oltre all hash globale dell evidenza, anche l hash di ogni blocco di 4MB. Output multipli. Utile per verificare quali blocchi di un file risultano danneggiati dopo la copia dell immagine ottenuta.

42 Il dd eseguito da live CD Abbiamo eseguito il dd-test utilizzando i live CD delle distribuzioni forensic-oriented Backtrack 5, Caine 2.0, Deft 6.0 Riepilogo configurazione: Macchina utilizzata: MacBook Pro 3,1 Hard disk: HD da 200GB a 7200rpm, 16MB di cache Interfaccia: FireWire 800 Partizione da acquisire da 19.4GB

43 secondi live CD vs. Ubuntu nativo Ubuntu Caine 2.0 bytes

44 secondi live CD vs. Ubuntu nativo Ubuntu Caine 2.0 Deft 6.0 bytes

45 live CD vs. Ubuntu nativo Block Size Ubuntu Caine 2.0 Deft Il dd da live CD, soprattutto con BS medio/alto, non segna un forte decremento delle prestazioni rispetto all esecuzione da hard disk. Ciò che varia, ovviamente, sono i tempi di avvio della distro da live CD. Nota: il live DVD della Backtrack 5 non riconosce l interfaccia Firewire e per questo motivo non è stato possibile effettuare il test.

46 Live CD vs. Live CD virtualizzato Deft 6 virtualized Deft 6 Live CD

47 Live CD vs. Live CD virtualizzato Caine Live CD Caine virtualized

48 Considerazioni sull utilizzo di Live CD L utilizzo di distribuzioni forensic-oriented da live CD è sconsigliato perché chi le utilizza spesso dimentica di configurare lo swap del s.o. su un hard disk. La saturazione della memoria ram non è un evento raro in analisi forense ed un errata configurazione può causare il blocco della macchina.

49 Profiling del tool dd Abbiamo eseguito vari test per stabilire quale distribuzione acquisisce più velocemente la partizione target. Distribuzioni utilizzate: Ubuntu Backtrack 5 Deft 6 Caine Hard disk utilizzato: Seagate Momentus II da 200GB a 7200rpm con 8MB di cache

50 Acquisizione con Ubuntu Inizialmente, con qualsiasi block size, abbiamo ottenuto sempre lo stesso risultato 8m40s 37.3 MB/s Utilizzando iflag=direct (nessun uso di buffer cache) abbiamo ottenuto i seguenti risultati: Bs= m25.352s 12.3 MB/s Bs= m10.649s 20.0 MB/s Bs= m9.104s 31.2 MB/s Conclusione: il rapporto block size / tempo non ha andamento lineare

51 Secondi Acquisizione con Ubuntu Block Size

52 Le altre distribuzioni Sono state virtualizzate con Parallels Desktop su Mac Os X (MacBook Pro 3,1) In accesso direct (senza buffer cache) si ha un forte decremento delle prestazioni in lettura Utilizzando la buffer cache invece le prestazioni superano Ubuntu nativo 37.4 MB/s vs 40.2 MB/s Il comando dd di Os X (BSD-like) non ha flags e ha un throughput di 16 MB/s

53 Confronto tempi di acquisizione Deft 6 Caine Backtrack

54 Risultati del test su dd Block Size Deft Caine Backtrack ,8 7357, , , , , ,6 502,8 797,81 Non è stato possibile testare la Helix a causa del decadimento della licenza di prova. Conclusioni: Per effettuare copie forensi (block size piccolo) la distribuzione più adatta è la backtrack, mentre con block size elevato conviene utilizzare la Deft; Sia la backtrack che la deft all avvio hanno circa 2300 processi avviati, mentre la caine circa 5000; Nessuna delle distribuzioni utilizzate riconosce la Firewire 800, infatti i test mostrano un top di 40 MB/s anche in nativo rispetto ai 100 MB/s disponibili

55 Considerazioni sulle tecniche di acquisizione Golden rule: non esiste la distro perfetta Guadagnare pochi secondi nell acquisizione di un disco ha senso solo se la mole di dischi da acquisire è elevata (o se il disco è molto grande)

57 Analisi di basso livello con Autopsy Distribuzione utilizzata: Deft 6 live CD Premessa: è opportuno avviare la distro su una macchina dotata di più hard disk Per ottenere maggiore velocità! Per avviare autopsy eseguiamo: autopsy d </ /path-to-root-location> La root DEVE essere creata su un HD capiente e writable. Autopsy non avvisa l utente in caso di spazio esaurito

58

59

60

61 Comandi principali File Activity Timeline: crea una timeline sulla base delle modifiche apportate ai file. Image integrity: verifica l integrità di un evidenza. Hash databases: aggiunge le firme di file noti per evitarli durante l analisi. View notes: visualizza le note riguardanti l host aperto. Event sequencer: permette di aggiungere note legate ad uno (o più) timestamp.

62

63

64 ERRATO: probabilmente causato dall uso del virtualizzatore ERRATO: è Windows 7!

65 Analyze: permette di analizzare l immagine selezionata Add Image File: permette di aggiungere l immagine di un altro hard disk all host

66 La file analysis non mette in evidenza lo stato di un file (nascosto, estensione modifcata, ecc.). Nel nostro esempio, testo.txt può sembrare un file di testo irrilevante. Tuttavia

67 Dimensione anomala Il file testo.txt è in realtà un.jpg (nascosto) Per trovare anomalie l investigatore deve porre attenzione alle informazioni.

68 Keyword Search

69 Salva in un archivio web i nomi dei file categorizzati per tipo e, se selezionata l opzione appropriata, salva una copia dei file stessi. Questa opzione effettua l extension ed il file type validation.

70 6126 extension mismatches Ma non è proprio così: un solo file è stato volutamente modificato!

71 Elenco degli ext. mismatches Questo è il nostro file con estensione modificata.

72 Timeline in Autopsy

73

74

75

76

78 Analisi di basso livello con PTK Backtrack 5 Miglioramento di Autopsy Ajax technology Indexing Engine Analisi di casi complessi Generazione automatica di report

79 Requisiti software Linux System Apache server with PHP5 MySQL Server Requisiti hardware P Ghz 512 MB di RAM 10 GB of disk (a seconda del numero di casi gestiti)

80 Installazione di PTK forensic free Guidata da Backtrack Scelta delle credenziali Licenza free Copia della licenza nella cartella /var/www/ptk/config

81 Avvio di PTK

82 Login

83 Case management

84 Creazione di un caso

85 Azioni per un caso

86 Gestione investigatori

87 Informazioni sul caso

88 Import di una immagine (1)

94 Azioni per l immagine importata

95 Image indexing (1)

96 Image indexing (2)

97 File analysis (1)

100 Timeline (1)

101 Timeline (2)

102 Keyword (1)

103 Keyword (2)

104 Gallery (1)

105 Gallery (2)

106 Image details

107 Data unit

108 Bookmark

109 Reports (1)

110 Reports (2)

111 Reports (3)

112 Reports (4)

113 Reports (5)

114 Image integrity check

115 Image info

116 Confronto Autopsy e PTK GUI migliore in PTK Indexing engine in PTK Funzionalità aggiuntive in PTK Qualche funzionalità presente in Autopsy ma non in PTK Salvataggio dei file in un archivio categorizzandoli per tipo (visualizza le extension mismatches)

118 Web Browser Forensic Obiettivo: ricostruire visualmente le pagine web visitate dall utilizzatore della macchina analizzata in un determinato istante. Il browser analizzato è Internet Explorer, su macchina Windows 7 Per effettuare tale ricostruzione occorre recuperare i dati presenti in cache

119 Internet Explorer Forensic Internet Explorer mantiene traccia: degli URL visitati; dei cookies creati da essi; dei file temporanei scaricati dai siti stessi. I file risultanti da questo tracciamento sono posizionati in locazioni differenti sul filesystem. Indipendentemente dalla posizione, il tracciamento è scritto su file chiamato index.dat

120 Internet Explorer: le locazioni sul FS Cache: C:\Users\<user name>\appdata\local\microsoft\windows\temporary Internet Files Cookies: C:\Users\<user name>\appdata\roaming\microsoft\windows\cookies History: C:\Users\<user name>\appdata\local\microsoft\windows\history Indirizzi digitati nella URL bar: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedUrls Dati dei form (autocomplete forms): HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage1 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

121 Struttura della cache folder Temporary Internet Files contiene le pagine e le immagini visualizzate dall utente. Tali contenuti sono divisi in sottocartelle aventi nomi casuali. Il cuore del meccanismo di caching di IE è il file archivio index.dat Index.dat è un file avente un header di 0x4000bytes seguito da record di 0x80bytes. In base alla cartella in cui esso è contenuto (history o cache), alcuni suoi campi assumono significati differenti (illustrati in seguito).

122 Struttura logica del file index.dat Header Allocation Map Versione del Browser in ordine sparso, contiene quattro tipi di record: Dimensione del file index.dat HASH records URL records Puntatore al primo record REDR records LEAK records Informazioni sulle sotto directory

123 I vari tipi di record HASH records REDR records LEAK records Sono i più grandi e meno frequenti. Non contengono alcuna informazione dell utente, ma solo indici hash del contenuto del file. Simili a record URL, Indicano un redirect. URL records Rappresenta un record non più valido. Nell index.dat della cache: Last modified date Last accessed date Directory in cui si trova il file URL da cui proviene il file Nell index.dat dell history: Last modified date Last accessed date Directory in cui si trova il file Nome utente + URL visitato

124 Esempio: l header di index.dat Stringa fissa Client UrlCache MMF + Versione di Internet Explorer Dimensione del file (little endian) Puntatore all inizio del primo record Sotto directory utilizzate per il caching dei file (in questo caso, quattro).

125 Esempio: header comune a tutti i record Inizio record Tipo di record: HASH, URL, REDR, LEAK Lunghezza espressa in numero di blocchi da 128 bytes; Dati effettivi del record, di lunghezza variabile; Null terminator. Indica la fine del blocco di dati del record; Contenuto junk utilizzato per riempire lo spazio vuoto del record.

126 Esempio: i dati del record Verrà mostrata nella prossima slide la struttura del record URL sia nel caso in cui si tratti di un file in cache sia nel caso in cui si tratti di un elemento dell history I record REDR e LEAK, essendo sostanzialmente uguali al record URL, non vengono riportati. I record HASH vengono utilizzati per la ricerca, e verranno illustrati più avanti.

127 Esempio: il record URL cache file Tipo di record Lunghezza Last modified date Last access date Indice della cartella in cui è presente il file URL di origine del file nome dato al file in cache HTTP headers Nome dell utente che ha eseguito la richiesta al termine degli header HTTP

128 Esempio: il record URL history entry Tipo di record Lunghezza Last modified date Last access date URL visitato Nome dell utente che ha eseguito la richiesta dell URL

130 Index.dat - dettagli di basso livello Nelle prossime slide vengono mostrati i dettagli di basso livello della struttura del file index.dat utili per avere una conoscenza approfondita della teoria alla base dei tool che verranno illustrati ma che, alla luce dell introduzione effettuata, possono essere utilizzati anche solo come documentazione.

131 Dall offset 0x250 a 0x4000 è contenuta l allocation map. Il blocco all offset 0x28, contenente il numero di blocchi allocati, ha dimensione 0x0001ED80 bytes File Size Index.dat 15.4 MB Per superare tale limite all offset 0x48 e 0x4C vengono definite fino ad un massimo di 32 cartelle che, al loro interno, contengono altri file index.dat Nel dettaglio, ogni record a 0x4C contiene: A 0x00 il numero di file contenuti nella sub-folder A 0x04 il nome random della sub-folder, senza null terminator.

132 L header del file Index.dat

133 File Map Entries Ogni entry ha 8 byte iniziali contenenti: La firma può essere una delle seguenti:

134 Funzionamento del caching Il recupero/salvataggio dei file associati ad un URL viene effettuato calcolando un hash di 32bit sull URL. Tale hash consente di recuperare dall index.dat una hash table contenente entry del tipo:

135 Hash Item Flags Un URL è locked se il suo contenuto è in fase di lettura (il read count sulle risorse dipendenti è ricorsivo e mantenuto a 0x58). Il flag 0x04 indica, utilizzando uno slash, il redirect avvenuto sull url. Se il flag a 0x01 è settato allora i seguenti bit assumono il significato:

136 Ricerca di URL nella hash table Viene calcolato l hash sull url e recuperata la hash table con tale valore. Se durante lo scorrimento della hash table viene trovato il flag 0x03 allora l URL non è presente nella tabella. Se sono stati trovati hash item free (flag 0x01) allora il primo di essi conterrà il nuovo URL. Altrimenti verrà utilizzata la hash item non utilizzata (quella, appunto, con il flag 0x03).

137 Ok ma per ricostruire la pagina? L index.dat contiene le URL entries, che mappano le URL visitate. Tali entries hanno un header di dimensione fissa seguito da un numero variabile di stringhe.

138

139 Utilizzati per differenziare Internet Explorer fra le varie versioni Indicati nella slide successiva

140 Cache entry bit flags Inutilizzate e non documentate nelle nuove versioni di Internet Explorer

142 Tool per la ricostruzione delle pagine Dalla teoria appena vista sappiamo che ricostruire una pagina web è possibile, navigando opportunamente l index.dat (attraverso un hex editor) tecnica utile solo per fare r&d! Abbiamo cercato alcuni tool capaci di automatizzare la scansione del file e la ricostruzione delle pagine.

143 Analisi della cache Tool Pasco (freeware, Unix) Web Historian (freeware, Windows) Analisi della cache e rebuild NetAnalysis v1.52 (evaluation, Windows)

144 Pasco(download &install)

145 Pasco(esecuzione)

146 Pasco(index.csv creato)

147 Pasco(contenuto index.csv)

149 Web Historian(download)

150 Web Historian(avvio)

151 Web Historian(scansione)

152 Web Historian(selezione index.dat)

153 Web Historian(scansione in corso)

154 Web Historian(risultato)

155 Web Historian(risultato)

156 Web Historian(export res)

157 Web Historian(export res)

158 Web Historian(output res)

160 NetAnalysis(download)

161 NetAnalysis(avvio)

162 NetAnalysis

163 NetAnalysis

164 NetAnalysis

165 NetAnalysis

166 NetAnalysis(cache)

171 NetAnalysis(export/rebuild)

174 NetAnalysis(export folder)

177 NetAnalysis (1)

178 NetAnalysis (1)

179 NetAnalysis (1)

180 NetAnalysis (2)

181 NetAnalysis (2)

182 NetAnalysis (2)

183 NetAnalysis (3)

184 NetAnalysis (3)

185 NetAnalysis (3)

186 NetAnalysis (4)

187 NetAnalysis (4)

188 NetAnalysis (4)

190 Riferimenti [1] (E. Casey) Handbook of digital forensics and investigation - Academic Prs *2+ CatFish e fcrackzip, *3+ Large Text File Viewer, *4+ GHex, *5+ Digital Framework Forensics, *6+ WinAudit, RegScanner, PhotoRec e WhatInstartup *7+ ChromeCacheView, IECacheView, OperaCacheView, VideoCacheView, IEHistoryView, ChromePass, Mail PassView, VNCPassView, Dialupass e PstPassword, *8+ Portale sulla sicurezza informatica, *9+ Recensioni di tool open source, *10+ BulkExtractor, *11+ LibPST, *12+ Seminario Hacker Highschool, *13+ Portale di download software, *14+ SkypeHistoryViewer, *15+ ClamAv, *16+ Analisi su tecniche di anonimato, sicurezza, e difesa della privacy, *17+ Soluzioni antivirus e antispam per le aziende, *18+ Blog informatico, *19+ OphCrack, *20+ John the ripper, *21+ PDFCrack, *22+ Hydra, *23+ Autopsy, *24+ PTK, *25+ Web historian, *26+ NetAnalysis, *27+ Mailing list Computer Forensics Italy,

191 GRAZIE PER L ATTENZIONE!