L ultima versione rilasciata è a pagamento. Il caricamento del CD su un sistema Windows consente di avere a disposizione un ampio campionario di

Transcript

1

2 Ordine degli Ingegneri della Provincia di Roma Helix Helix3 è un LiveCD basato su Linux per l Incident Response, l aquisizione dei dischi e dei dati volatili, la ricerca della cronologia di internet e dei documenti. L ultima versione rilasciata è a pagamento. Il caricamento del CD su un sistema Windows consente di avere a disposizione un ampio campionario di strumenti utili all analisi forense, anche live (recupero password, istanti di accensione/spegnimento del PC, recupero di file cancellati. Se si effettua invece il boot da CD, si avvia un sistema linux basato su knoppix che non usa mai un sistema di swapping e non monta in automatico alcun disco. Quando lo fa, di default è in sola lettura. Tra I tool presenti ci sono: tool di acquisizione immagini (anche formato encase), Autopsy, RegViewer, Wireshark, due antivirus, etc.

3 Ordine degli Ingegneri della Provincia di Roma Autopsy Forensic browser Autopsy Forensic Browser è un interfaccia grafica a un set di utilità forensi utilizzabili da linea di comando (The Sleuth Kit o TSK) e ai comandi UNIX standard. E open source. Consente di effettuare l analisi di volumi e di file system di sistemi sia UNIX che Windows. Consente di analizzare e navigare la struttura dei file all interno delle immagini, i metadati e indirizzare direttamente i blocchi. Consente di fare ricerche per keyword, verificare i dettagli e l integrità delle immagini. Consente di creare una file activity timeline basata sui timestamp del file system. E in grado anche di effettuare l ordinamento dei file per tipologia e produrre i report delle analisi effettuate.

4 Ordine degli Ingegneri della Provincia di Roma Computer Aided INvestigation Env. Analogamente a Helix, CAINE offre, su un LIVECD basato su Ubuntu, un ambiente completo per l analisi forense organizzato per integrare strumenti software esistenti all interno di un interfaccia grafica di facile utilizzo. Collection Tools: AIR, Guymager Analysis Tools: Autopsy, Ophcrack, Foremost, Stegdetect Other tools: Hex editor, Word processor, MD5, VLC, wipe Wintaylor: interfaccia di accesso a numerosi tool di indagine forense su sistemi Windows

5 Ordine degli Ingegneri della Provincia di Roma EnCase EnCase è un applicativo per la computer forensic prodotto da Guidance Software e utilizzato per analizzare I supporti digitali nelle investigazioni civili/penali, etc E considerato uno strumento standard de facto, in quanto diffusamente adottato da polizia e agenzie. E un prodotto closed-source, e include strumenti per l acquisizione, il recupero dei file, la ricerca di stringhe e il parsing dei file.

6 Ordine degli Ingegneri della Provincia di Roma AccessData FTK Imager FTK Imager è unostrumentoper l acquisizione e la visualizzazione di immagini forensi. FTK Imager può creare copie esatte dei dati dei computer senza alcunaalterazionedell originale. Inoltreè possibile: visualizzare file e cartelle all interno delle immagini creare immagini forensi dei dischi fissi locali, floppy, ZIP, CD, DVD, cartelleo file individuali esportare file e cartelle contenuti nell immagine forense convertirele immaginiforensidaun formato all altro generarereport sull hashper singolifile e intere immagini disco (*) (*) fonte:

7 Ordine degli Ingegneri della Provincia di Roma NetAnalysis NetAnalysis è il software leader in ambito forense per l estrazione e l analisi delle tracce lasciate dall internet browser. HstEx è lo strumento di estrazione della cronologia, anche cancellata, associato a NetAnalysis, e può recuperare gli artefatti direttamente da un file immagine EnCase o ISO. E un prodotto commerciale closed-source (*) (*) fonte:

8 Ordine degli Ingegneri della Provincia di Roma Virtualizzazione Live View è unostrumentoper l analisiforensebasatosujava checreauna macchinavirtualevmware partendodaun file immagineiso o daun disco fisico. (*) Questo permette all esaminatore di eseguire un boot dell immagine o del disco guadagnando interattività con la macchina, una prospettiva a livello utente dell ambiente, tutto senza modificare l immagine stessa o il disco. Poiché tutte le modifiche effettuate al disco vengono scritte su un file separato, l esaminatore può invertire gli eventuali cambiamenti apportati e tornare allo stato originale. Il risultato finale è che non è necessario creare delle ulteriori copie a perdere del disco o dell immagine per eseguire l analisi. Live View consente di effettuare l avvio di: * Immagini dell intero disco * immagini della partizione di avvio * Dischifisici(via USB o Firewire) * Immagini in formato differente tramite l uso di strumenti di mounting di altre parti Che contengono I seguenti sistemi operativi: * Windows 2008, Vista, 2003, XP, 2000, NT, Me, 98 * Linux (limited support) (*) fonte: