Sleuth kit & Autopsy. Un alternativa open source per l analisi dei filesystem



Documenti analoghi
Analisi di sistemi compromessi (ricerca di rootkit, backdoor,...)

DEFT Linux. Soluzioni al servizio dell operatore informatico forense

TIMESHARK: Uno strumento per la visualizzazione e l analisi delle supertimelines. Relatore: Federico Grattirio

Sistemi Operativi IMPLEMENTAZIONE DEL FILE SYSTEM. D. Talia - UNICAL. Sistemi Operativi 9.1

Sistemi Operativi IMPLEMENTAZIONE DEL FILE SYSTEM. Implementazione del File System. Struttura del File System. Implementazione

Capitolo Silberschatz

IBM SPSS Statistics - Essentials for Python- Istruzioni di installazione per Mac OS

L ultima versione rilasciata è a pagamento. Il caricamento del CD su un sistema Windows consente di avere a disposizione un ampio campionario di

IBM SPSS Statistics - Essentials for Python- Istruzioni di installazione per Mac OS

MagiCum S.r.l. Progetto Inno-School

IBM SPSS Statistics - Essentials for Python- Istruzioni di installazione per Windows

Corso sul pacchetto R

Corso di Informatica

IBM SPSS Statistics - Essentials for Python- Istruzioni di installazione per Windows

Analisi forense di un sistema informatico

Sistemi Operativi (modulo di Informatica II)

Sistemi Operativi Il Sistema Operativo Windows (parte 3)

Moodle 2. comandi avanzati. manuale per il docente. Albano Squizzato Paolo Macchi

Sistemi Operativi. Implementazione del File System

Il SOFTWARE DI BASE (o SOFTWARE DI SISTEMA)

DFA Open Day DEFT come strumento di Incident Response. Paolo Dal Checco. 5 giugno 2014, Università degli Studi di Milano

XML e PHP. Gestire XML con PHP. Appendice

12. Implementazione di un File System Struttura a livelli Allocazione contigua

Sistemi Operativi (modulo di Informatica II)

ArubaKey. Installazione

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche

File system II. Sistemi Operativi Lez. 20

Corso Eclipse. Prerequisiti. 1 Introduzione

Microsoft Office XP. dott. ing. Angelo Carpenzano. La suite Microsoft Office XP

Definizione Parte del software che gestisce I programmi applicativi L interfaccia tra il calcolatore e i programmi applicativi Le funzionalità di base

IBM SPSS Statistics - Essentials for R- Istruzioni di installazione per Windows

Modulo 4: Gestore del File System (Memoria secondaria) Componenti

IBM SPSS Statistics - Essentials for R- Istruzioni di installazione per Mac OS

DEFT Linux. Sviluppare una distribuzione libera per le investigazioni digitali

Guida ripristino TokenUSB

SERVIZIO TELEMATICO ENTRATEL. Applicazione Autentica-Apri Multifile

Software di base e software applicativo. Titolo: dic (1 di 9)

Sistemi Operativi. Lez. 16 File System: aspetti implementativi

Informa(ca Appun% dal laboratorio 2

Progetto Forensics per Mac

IBM SPSS Statistics - Essentials for R - Istruzioni diinstallazione per Mac OS

IBM SPSS Statistics per Linux - Istruzioni di installazione (Licenza per sito)

Sistema di Gestione dei Contenuti Multimediali

Introduzione. Dicom in Oracle 11g: gestione e vantaggi

Sistemi Operativi. Organizzazione logica ed implementazione di un File System

Virtualizzazione VirtualBox su Host Windows

ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE

Guida alla connessione ai servizi WMS con Quantum GIS

THE CORONER S TOOLKIT

Ingegneria del Software 1: Eclipse

IRSplit. Istruzioni d uso 07/10-01 PC

Il Software. Il software del PC. Il BIOS

Token USB. Installazione Versione 1.1

istraffic Sistema di monitoraggio Traffico

Come costruire una presentazione. PowerPoint 1. ! PowerPoint permette la realizzazione di presentazioni video ipertestuali, animate e multimediali

Identificare le diverse parti di una finestra: barra del titolo, barra dei menu, barra degli strumenti, barra di stato, barra di scorrimento.

ISTVAS Ancona Introduzione ai sistemi operativi Tecnologie Informatiche

Link e permessi. Corso di Laurea Triennale in Ingegneria delle TLC e dell Automazione. Corso di Sistemi Operativi A. A

GUIDA OPERATIVA AL SOFTWARE QGIS E NUOVE FUNZIONALITÀ

Ubuntu e la sua Installazione

Stato dell'arte della Computer Forensic internazionale made in Linux

IBM SPSS Statistics - Essentials for Python- Istruzioni di installazione per Linux

GERARCHIE RICORSIVE - SQL SERVER 2008

Office 2007 Lezione 08

ISIS C.Facchinetti Sede: via Azimonti, Castellanza Modulo Gestione Qualità UNI EN ISO 9001 : 2008

Guida Rapida Installazione dei Language Pack

Ontrack EasyRecovery Download versione di prova e installazione

GUIDA RAPIDA ALL UTILIZZO DEL SERVER GDC

INTEGRAZIONE DI DOCUSOFT CON UN ALTRO SOFTWARE GESTIONALE CON IL MODULO ACQUIRE&VIEW

Corso di Informatica. Immissione di dati. Visualizzazione come foglio dati 1. Visualizzazione come foglio dati 2 11/01/2008

Installazione dell'adattatore di IBM SPSS Modeler Server

Istruzioni per creare un file PDF/A tramite software PDFCreator

Parte V. Sistemi Operativi & Reti. Sistemi Operativi. Sistemi Operativi

Introduzione. Installare EMAS Logo Generator

7.4 Estrazione di materiale dal web

SCARICO DATI ONETOUCH Verio per EuroTouch Home GUIDA ALL USO

GUIDA DELLA FIRMA DIGITALE

Corso Joomla per ATAB

NOZIONI BASE PER ESERCITAZIONI

FAQ RISPOSTE A DOMANDE FREQUENTI

DevC++ vers Manuale d uso

Riccardo Dutto, Paolo Garza Politecnico di Torino. Riccardo Dutto, Paolo Garza Politecnico di Torino

Organizzare i file. 1. Le cartelle e i file

Informatica (Sistemi di elaborazione delle informazioni)

Selective File Dumper Un utile strumento Open Source di computer forensics e data recovery.

Benchmarking. Modulo del Corso di Architettura degli Elaboratori. Nicola Paoletti. Università di Camerino Scuola di Scienze e Tecnologie

Installazione MS SQL Express e utilizzo con progetti PHMI

Modulo. Programmiamo in Pascal. Unità didattiche COSA IMPAREREMO...

Web Storage, Sharing e Backup. Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011

Meetecho s.r.l. Web Conferencing and Collaboration tools. Guida all installazione e all uso di Meetecho beta

Il Sistema Operativo. Introduzione di programmi di utilità. Elementi di Informatica Docente: Giorgio Fumera

1. REQUISITI 2. ACQUISTO E CREAZIONE ACCOUNT. Selezionare il veicolo sul sito

11 Realizzazione del File System Struttura a livelli (fig. 11.1) 11.4 Allocazione dei file

Corso di Informatica (Programmazione) Lezione 6 (31 ottobre 2008)

PRIMA INSTALLAZIONE DI pyarchinit - pyarchinit.altervista.org

LINUX DAY NAPOLI 2010

Installazione Alfresco Avanzata

Il salvataggio sui pc locali è consentito solo per il tempo strettamente necessario al loro utilizzo.

Transcript:

Sleuth kit & Autopsy Un alternativa open source per l analisi dei filesystem

Sleuth Kit e Autopsy Sleuthkit deriva da TCT (The coroner s toolkit 2000) Set di tool da linea di comando per l analisi di raw images e memorie contenenti file systems E strutturato a livelli (file system, metadati, filename ) Autopsy - Interfaccia Grafica (WEB) per i tool TSK Autopsy 3.X Front end Windows Creato da Brian Carrier (www.sleuthkit.org) IBM Public Licence, Common Public License

SleuthKit e Autopsy Adatto per immagini raw.dd,.e01 e AFF contenenti file systems Testato su: Linux Mac OS X Windows CYGWIN Open & FreeBSD Solaris Supporta i seguenti file systems: NTFS FAT UFS 1, UFS 2 EXT2FS, EXT3FS, Ext4 HFS ISO 9660 YAFFS2

Sleuth Kit e Autopsy www.sleuthkit.org/sleuthkit/man

SleuthKit e Autopsy - Comandi File system layer tools fsstat ResAtuisce informazioni sul volume - parazione File name layer tools ffind ResAtuisce il path del file indicato in un inode fls ResAtuisce l elenco dei file allocaa o cancellaa, e non solo hip://www.forensicswiki.org/

SleuthKit e Autopsy IV - Comandi Meta data tools icat Estrae un file a parare dal suo inode ifind ResAtuisce l inode passandogli l offset di un cluster ils ResAtuisce l elenco degli inode separaa da una pipe istat ResAtuisce i metadaa relaavi a un certo inode Volume system tools mmls ResAtuisce informazioni sul parazionamento mmstat ResAtuisce informazioni sul volume mmcat Estrae il contenuto di un volume specificato hip://www.forensicswiki.org/

SleuthKit e Autopsy V - Comandi Data unit layer tools o o o o blkcat Estrae contenua da uno specifico volume blkls Estrae lo spazio non allocato da uno specifico volume blkstat Mostra i deiagli relaavi a uno specifico volume blkcalc Calcola dove si trova un determinato cluster in uno spazio non allocato File System Journal Tools o o jcat ResAtuisce il contenuto di uno specifico journal block. jls Mostra la lista delle entries del file system journal. hip://www.forensicswiki.org/

SleuthKit e Autopsy VI - Comandi Automated tools o o o o tsk_comparedir Comparatore di directory tsk_gettimes Estrae metadati temporali per la creazione di timeline tsk_loaddb Carica i metadati di una raw image in un DB SQLite tsk_recover Estrae contenuti allocati o non, da un raw disk in una directory locale hip://www.forensicswiki.org/

SleuthKit test di u9lizzo mmls

SleuthKit test di u9lizzo fsstat #fsstat i ewf o 206848 06.E01

SleuthKit test di u9lizzo fls #fls r p -o 206848 -u i ewf 06.E01 > allocatedfile.txt #fls r p -o 206848 -d -i ewf 06.E01 > deletedfile.txt

SleuthKit test di u9lizzo FLS e le TimeLine #fls r -o 206848 -z gmt-s 0 -m C: -f ntfs 06.E01 > timeline.bodyfile 0 C:/($FILE_NAME) 273-48- 2 d/d- wx- wx- wx 0 0 104 1413217603 1413217603 1413217603 1413217603 0 C:/($FILE_NAME) 273-144- 6 d/d- wx- wx- wx 0 0 192 1415220618 1415220618 1415220618 1247541608 0 C:/($FILE_NAME) 312-48- 2 d/drwxrwxrwx 0 0 106 1413217603 1413217603 1413217603 1413217603 0 C:/($FILE_NAME) 312-144- 1 d/drwxrwxrwx 0 0 256 1247549558 1247549558 1413218447 1247549558 0 C:/($FILE_NAME) 313-48- 2 d/drwxrwxrwx 0 0 84 1413217603 1413217603 1413217603 1413217603 #mactime b timeline.bodyfile -z gmt -d > timeline.csv Wed Nov 05 2014 21:50:59,22528,..cb,r/rrwxrwxrwx,0,0,1458-128- 1,"C:/Users/misterx/Desktop/Altri file/12345678910.doc Wed Nov 05 2014 21:50:59,96,macb,r/rrwxrwxrwx,0,0,1458-48- 2,"C:/Users/misterx/Desktop/Altri file/12345678910.doc ($FILE_NAME) Wed Nov 05 2014 21:55:29,1,.acb,r/rrwxrwxrwx,0,0,1223-128- 1,"C:/Users/misterx/Desktop/Altri file/known good or bad.txt Wed Nov 05 2014 21:55:29,108,macb,r/rrwxrwxrwx,0,0,1223-48- 2,"C:/Users/misterx/Desktop/Altri file/known good or bad.txt ($FILE_NAME) Wed Nov 05 2014 21:57:38,82,macb,r/rrwxrwxrwx,0,0,1579-48- 2,"C:/Users/misterx/Desktop/Altri file/help.pdf ($FILE_NAME) Wed Nov 05 2014 22:02:41,22528,.ac.,r/rrwxrwxrwx,0,0,15775-128- 1,"C:/Users/misterx/Desktop/Altri file/catch me.doc Wed Nov 05 2014 22:02:41,90,macb,r/rrwxrwxrwx,0,0,15775-48- 2,"C:/Users/misterx/Desktop/Altri file/catch me.doc ($FILE_NAME)"

SleuthKit test di utilizzo Estrazione indici $i30 Nome di File che non esiste nella directory, ma rimasto nell indice # istat o 2048 pendrive.e01 43 # icat o 2048 pendrive.e01 43-160-5 xxd less hips://github.com/williballenthin/indxparse

SleuthKit test di utilizzo Individuazione NTFS Change Journal (USN) # fls o 206848 06.E01 11

SleuthKit test di u9lizzo Estrazione USN Journal - $J # istat o 206848 06.E01 57607 # icat o 206848 06.E01 57607-128-3 > exported-usn-journal.jrnl Parser USN Journal in Python hip://www.propheciesintothepast.name/2014/03/10/usnjrnlj/ hips://code.google.com/p/parser- usnjrnl/downloads/list

SleuthKit e Autopsy - I Autopsy Interfaccia WEB

SleuthKit e Autopsy - I Autopsy Interfaccia WEB File analysis

SleuthKit e Autopsy Autopsy Interfaccia WEB Key word Search

SleuthKit e Autopsy Autopsy Interfaccia WEB Sorted file by type

SleuthKit e Autopsy Autopsy 3.x per Windows Lo sviluppo inizia nel 2010 e a seiembre 2012 viene rilasciata la versione 3.0.0 Sovvenzionato in parte da US Army ImplementaA automaasmi che si possono trovare in applicazioni commerciali di onmo livello E un applicazione versaale ed estensibile con apposia plugin Interfaccia utente estremamente semplice da ualizzare ed intuiava I risultaa post elaborazione vengono istantaneamente messi a disposizione dell ualizzatore / analista Completamente gratuito

SleuthKit e Autopsy Autopsy 3.x per Windows

SleuthKit e Autopsy Autopsy 3.x per Windows Ricerche veloci per keyword all interno del caso Raggruppamento delle informazioni estraie per Apologia Barra di avanzamento per la verifica delle operazioni in corso

SleuthKit e Autopsy Autopsy 3.x per Windows A?vità eseguite automabcamente al caricamento della evidence Calcolo Hash Verifica hash rispeio a un database Known Good or Bad Estrazione exif dalle immagini Creazione di un indice di testo per la ricerca di keyword Estrazione di archivi compressi Analisi delle navigazioni internet Analisi del registro di windows (by regripper!) Analisi del contenuto di MBOX Thunderbird Possibilità di aggiungere moduli ad hoc per analisi personalizzate

SleuthKit e Autopsy Output Autopsy 3.1.1 per Windows

SleuthKit e Autopsy Autopsy 3.x per Windows Previsione per prossime future a?vità di analisi automabche P2P e altri formaa aggiunavi AnAvirus, Malware Volume Shadow copy e Journal di sistema DetecAon di criiografia e steganografia Picture analysis (skin tone e object idenaficaaon) La modularità dello strumento non pone limia alla sua espandibilità

SleuthKit e Autopsy Autopsy 3.1.1 per Windows - Modulo per le Time Line

SleuthKit e Autopsy Autopsy 3.x per Windows moduli già disponibili per il download hip://wiki.sleuthkit.org/index.php?atle=autopsy_3rd_party_modules sdhash (Autopsy AHBM) Fuzzy HASH SmutDetect Module Windows Registry Ingest Module (di Willi Ballenthin) Child ExploitaAon Hashset Modules (database ProjectVic e C4All) Video Triage Windows Registry Content Viewer MulA Content Viewer (visualizzatore per numerosissimi formaa)

Sleuth kit & Autopsy Grazie

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back