Dal checco Dezzani, Digital Evidence Digital Forensics

47

Click here to load reader

description

 

Transcript of Dal checco Dezzani, Digital Evidence Digital Forensics

Page 1: Dal checco Dezzani, Digital Evidence Digital Forensics

Digital  Evidence,  Digital  Forensics,  Mobile  Forensics

17  aprile  2013,  MilanoCorso  di  perfezionamento  in  “Computer  forensics  e  inves<gazioni  digitali”

Do@.  Giuseppe  DezzaniConsulente di Informatica Forense

Do@.  Paolo  Dal  CheccoConsulente di Informatica Forense

martedì 16 aprile 13

Page 2: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

2

Legge 48/2008n L’importanza della Legge 48/2008 per le

modifiche introdotte nel Codice di Procedura Penale

martedì 16 aprile 13

Page 3: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Le modifiche al codice di procedura penale

n 1. All'articolo 244, comma 2, secondo periodo, del codice di procedura penale sono aggiunte, in fine, le seguenti parole:

n «,anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione».

3

martedì 16 aprile 13

Page 4: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Le modifiche al codice di procedura penale

n 2. All'articolo 247 del codice di procedura penale, dopo il comma 1 è inserito il seguente:

n «1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione».

4

martedì 16 aprile 13

Page 5: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Le modifiche al codice di procedura penale

n 7. All'articolo 259, comma 2, del codice di procedura penale, dopo il primo periodo è inserito il seguente:

n «Quando la custodia riguarda dati, informazioni o programmi informatici, il custode è altresì avvertito dell'obbligo di impedirne l'alterazione o l'accesso da parte di terzi, salva, in quest'ultimo caso, diversa disposizione dell'autorità giudiziaria».

5

martedì 16 aprile 13

Page 6: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Le modifiche al codice di procedura penale

n All'articolo 260 del codice di procedura penale sono apportate le seguenti modificazioni:

n a) al comma 1, dopo le parole: «con altro mezzo» sono inserite le seguenti: «, anche di carattere elettronico o informatico,»;

n b) al comma 2 è aggiunto, in fine, il seguente periodo: «Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all'originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria»

6

martedì 16 aprile 13

Page 7: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Le procedure di Acquisizione

n RFC3227

n Capture as accurate a picture of the system as possible

7

martedì 16 aprile 13

Page 8: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Le procedure di Acquisizione

n RFC3227

n Note the difference between the system clock and UTC.

8

martedì 16 aprile 13

Page 9: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Le procedure di Acquisizione

n RFC3227

n Minimise changes to the data as you are collecting it

9

martedì 16 aprile 13

Page 10: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Le procedure di Acquisizione

n RFC3227

n Remove external avenues for change

10

martedì 16 aprile 13

Page 11: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Le procedure di Acquisizione

n RFC3227

n When confronted with a choice between collection and analysis you should do collection first and analysis later

11

martedì 16 aprile 13

Page 12: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Le procedure di Acquisizione

n RFC3227

n Proceed from the volatile to the less volatile

12

martedì 16 aprile 13

Page 13: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Acquisizione memoria RAM (Windows)

13

martedì 16 aprile 13

Page 14: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Acquisizione memoria RAM (Windows)

14

martedì 16 aprile 13

Page 15: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Acquisizione memoria RAM (Linux)

n Linea di Comando !

n dd if=/dev/fmem of=“memdump” bs=…

n Potete/dovete installare una patch :u \http://hysteria.sk/~niekt0/foriana/

n

15

martedì 16 aprile 13

Page 16: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Acquisizione memoria RAM (Mac OS)

n Mac Memory Reader

n http://cybermarshal.com/index.php/cyber-marshal-utilities/mac-memory-reader

n Linea di comando :n Si esegue : mac-memory-reader indicando dove

salvare il file di risultato

16

martedì 16 aprile 13

Page 17: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Acquisizione memoria RAM (Mac OS)

17

martedì 16 aprile 13

Page 18: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Acquisizione memoria RAM (tutti)

n Questi tool non calcolano l’hash del file risultato dell’acquisizione, ricordate di calcolarlo manualmente per la catena di conservazione.

18

martedì 16 aprile 13

Page 19: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

19

Mobile Forensics

n Ramo della Digital Forensics, di cui fa parte la Computer Forensicsn All’inizio era il cellulare...n ... ormai si tende a identificare come “mobile” tutto ciò che ha capacità di

è portatile, talvolta ha capacità di comunicazione, memoria interna/esterna

n Esempi: cellulari, smartphone, tablet, PNA (navigatori), MP3 player ma anche fotocamere/videocamere, registratori digitali, etc...

n Ci concentreremo prevalentemente sui cellulari/smartphone/tablet perché sul resto si può spesso operare con strumenti utilizzati per la computer/disk forensics

martedì 16 aprile 13

Page 20: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Componenti di un mobile device

n Dispositivo (marca, modello, s/n)n Scheda SIMn Memoria aggiuntiva

n Cloud (Dropbox, iCloud, GDrive, etc...)

20

martedì 16 aprile 13

Page 21: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Dispositivo

n In genere scritto sul retro del dispositivo, dietro la batteria

n Si può ricavare dall’IMEI (che si legge sul retro oppure si ottiene “chiamando” il “*#06#”)u Valore univoco attribuito al cellulare sulla reteu www.numberingplans.com, www.trackimei.com

n Utilizzare in mancanza di altro le caratteristiche fisiche (dimensione, forma, etc...)

21

martedì 16 aprile 13

Page 22: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

SIM

n Subscriber Identity Module (SIM)n Permette il collegamento del dispositivo con la

rete GSM/3G n Due codici: ICCID (Integrated Circuit Card

IDentification) e IMSI (International Mobile Subscriber Identity)

n Sempre meno utilizzata nei dispositivi mobili per memorizzare dati rilevanti, va comunque analizzata e conosciuta

22

martedì 16 aprile 13

Page 23: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

SIM (ICCID)n ICCID (Integrated Circuit Card IDentification)n Codice univico stampato sul dorso della schedan Formattazione precisa:

23

n XX (prime due cifre): codice standard per l'identificazione di un sistema con scopi di telecomunicazione (89 per l’Italia)

n XX (terza e quarta cifra): 39 solo per l'Italia, corrisponde al prefisso internazionale assegnato al paese in cui opera dato gestore e varia a seconda delle nazioni

n XX(X) (due o tre cifre): codice identificativo del gestore, così suddiviso: 01 TIM, 10 Vodafone, 88 Wind, 99 H3G, 007 Noverca e 008 Fastweb

n XXXXXXX (tutte le cifre restanti fino alla fine del codice ICCID): iidentificativo del singolo chip

martedì 16 aprile 13

Page 24: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

SIM (IMSI)n International Mobile Subscriber Identityn codice che identifica una coppia SIM-operatore

telefonico, ossia la SIM in una rete GSMn lungo 15 cifre e così strutturato:

24

n XXX - MCC (Mobile Country Code), 222 per l'Italia.n XX - MNC (Mobile Network Code), l'identificativo

della compagnia telefonica in rete. Coincidono con quelli presenti sull'ICCID (01 TIM, 10 Vodafone, 88 Wind, 99 H3G, 007 Noverca e 008 Fastweb);

n XXXXXXXXXX - MSIN (Mobile Subscriber Identification Number), un numero univoco che identifica ciascuna utenza.

martedì 16 aprile 13

Page 25: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Memoria aggiuntiva

n Può contenere diversi dati essenziali: fotografie, filmati, SMS (in alcuni Nokia si può scegliere...), backup, Whatsapp, etc...

n Se in fase di sequestro... sequestrare pure quella (ci sono casi in cui ciò non è stato fatto!)

n L’esame si può fare in parallelo con gli strumenti per la mobile forensics o separatamente, con gli strumenti tradizionali per digital forensics

25

martedì 16 aprile 13

Page 26: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Cloud

n Il dispositivo può non contenere tutti i dati ma i riferimenti per potervi accedere... è legale farlo?

n Discorso molto ampio, ci vorrebbe un seminario solo per quello

n Valutare la presenza di client per Cloud come Dropbox, iCloud, Google Drive, SkyDrive, etc...

n Può rappresentare un problema perché in taluni casi (es. iCloud) permette all’utilizzatore di operare da remoto sul cellulare

26

martedì 16 aprile 13

Page 27: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Repertazione

n Se spentou lasciare spentou sequestrare anche eventuali schede di memoria e

la batteria (per risparmiarsi problemi in seguito se disponibili prendere anche cavetti, caricabatteria, confezione SIM, software, etc...)

u documentare stato del telefonou non lasciare la batteria all’interno o isolarla per

evitare che si accenda inavvertitamente o suoni la sveglia

27

martedì 16 aprile 13

Page 28: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Repertazione

n Se accesou Documentare data/ora ed eventuali info su displayu Spegnerlo togliendo la batteria o se si ritiene

importante, mantenerlo acceso ma isolato da tutto (jammer, gabbia di faraday, airplane mode)

28

martedì 16 aprile 13

Page 29: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Acquisizione

n Acquisire il più possibile impattando il meno possibilen Nel momento in cui lo si accende, NON lasciare la

SIM originaria e NON farlo connettere al WiFi, Bluetooth, evitare che riceva il GPS

n Se è richiesta SIM e se deve essere quella fornita con il telefono: SIM cloning (IMSI,ICCID)

n tre tipi di acquisizione: SIM, memoria interna, memoria esterna

n un quarto tipo riguarda i dati presso l’operatore, ma non si parla più di mobile forensics...

29

martedì 16 aprile 13

Page 30: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Acquisizione SIM

n Sempre meno fruttuosa, permette comunque in taluni casi di ottenere:u ICCID (Integrated Circuit Card Identification)u IMSI (International Mobile Subscriber Identity)u Rubrica (Abbreviated Dialing Numbers – ADN) u Registro chiamate (Last Dialed Number – LDN) u Short Message Service (SMS)u Location information (LOCI)

30

martedì 16 aprile 13

Page 31: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Acquisizione memoria esterna

n Paragonabile all’analisi di un disco o una SDn In genere vi sono memorizzati dati multimediali e

documentin Può contenere anche SMS, backup, Whatsapp,

etc...n Acquisire con copia forense (write blocker + dd)n Elaborare con sw di analisi, carving, etc...

31

martedì 16 aprile 13

Page 32: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Acquisizione memoria interna

n Si esegue tramite strumenti (hardware o software) dedicati, OSS o commerciali

n Tre modalità:u Logica: copia delle informazioni che il sistema

operativo mette a disposizione (sincronizzazione) u File System: copia (completa o parziale) dei file

presenti all’interno della memoria (backup) u Fisica: acquisizione bit a bit dell’intero contenuto

della memoria NAND presente nel dispositivo

32

martedì 16 aprile 13

Page 33: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

33

Panoramica dei software

Il desolante panorama freeware ed OSS:

n Bitpimn iPBAn Sql lite database browsern Bulk extractorn Stringsn Foremost

martedì 16 aprile 13

Page 34: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

34

Panoramica dei softwareIl panorama dei software commerciali:

n Cellebrite UFED (approfondimento nelle slide successive)n Micro Systemation XRYn Oxygen Forensicsn Paraben Device Seizuren Mobile Editn ViaForensicsn Elcomsoftn FTS iXAMn Katana Fornsics Lanternn Tarantula

martedì 16 aprile 13

Page 35: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

35

Cellebrite UFEDDescrizione

n Uno degli strumenti di acquisizione forense più utilizzatin Sviluppato da Cellebrite (1999), società con centinaia di dipendenti di

cui 1/2 R&Dn Opera su mercato privato e governativo/militaren UFED P.A. vincitore dei Forensic 4cast Awards 2012 e non solon Non è una panacea, lo citiamo perché rappresenta più o meno lo

standard dei tool di analisi forense per cellularin es. ad oggi esegue Physical Extraction di iPhone fino al 4, iPad fino all’1

come tutti gli altri software

martedì 16 aprile 13

Page 36: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

36

Cellebrite UFED

martedì 16 aprile 13

Page 37: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

37

Cellebrite UFEDPrincipi di Base: Reverse Engineering

n Hardware (interfacce nascoste, JTAG, cavi di manutenzione)

n Firmware (master password, metodi di scrittura/lettura/cancellazione, accesso, cifratura, backdoors)

n PC Suite (simulazione dei protocolli di comunicazione proprietari)

n Si sfruttano anche vulnerabilità n Esempio Blackberry per estrazione fisica:

capire comandi supportati, organizzazione dei protocolli, come iniettare il bootloader sul dispositivo, come autenticare la firma

martedì 16 aprile 13

Page 38: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

38

Cellebrite UFEDPrincipi di Base: Vulnerabilità

n In genere dovute a “sviste” degli sviluppatorin Non prevedibili, di diverse tipologie (stack/

heap overflow, directory traversal, etc..)n Errori nella gestione degli stati (es. rifiuto di

esecuzione codice dopo verifica fallita della signature incorretta MA esecuzione permessa se prima non viene fatta la verifica...)

n Esempio di sfruttamento di vulnerabilità, hardware hacking sul cable, reversing firmware, signature exploit, : Motorola Android Physical Extraction

martedì 16 aprile 13

Page 39: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

39

Cellebrite UFEDModalità d’uso: Estrazione Logica

n Si utilizzano le API del telefono

n Vantaggi:n velocen nessun bisogno di decodifican interfaccia stabilitan bassa complessità

n Svantaggi:n disponibilità di dati limitata

martedì 16 aprile 13

Page 40: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

40

Cellebrite UFEDModalità d’uso: Estrazione File System

n Copia dell’intero filesystem del dispositivo

n Vantaggi:n velocen più dati disponibilin media complessità

n Svantaggi:n richiede decodifica

martedì 16 aprile 13

Page 41: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

41

Cellebrite UFEDModalità d’uso: Estrazione Fisica

n Copia “forense” dell’intera flash del dispositivo

n Vantaggi:n maggiore disponibilità di dettagli (carving)n più dati disponibili

n Svantaggi:n richiede decodifican alta complessitàn richiede tempo (anche la “filesystem”...)

martedì 16 aprile 13

Page 42: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

42

Cellebrite UFEDCenni sull’utilizzo del bootloader

n Modalità utilizzata per Physical Extraction

n Paragonabile a un Live CD/USB, lancia il processo di avvio del sistema tramite un programma di controllo che ha accesso alla maggior parte delle operazioni sul dispositivo

n Vantaggi:n Nessun Sistema Operativo, meno sicurezza da bypassaren Spesso generico o customizzato sulla famiglia di dispositivin Sicuro e progettato per read-onlyn Accurato, può potenzialmente accedere a tutte le aree

martedì 16 aprile 13

Page 43: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

43

Cellebrite UFEDCenni sulla encryption

n Problematica sempre più rilevante

n Soluzioni:

n Reverse Engineeringn Exploitsn Brute force

n Esempio di encryption “bucata”: Tom Tom e i triplog

martedì 16 aprile 13

Page 44: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

44

Cellebrite UFEDWork Flow di un’analisi di cellulare

n Estrazione

n Decodifica

n Analisi

n Report

martedì 16 aprile 13

Page 45: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

45

Cellebrite UFEDPhysical Analyzer: funzionalità di base

n Supporto per immagini fisiche, logiche e filesystemn Report personalizzatin Shell PYTHONn Supporto per plugin, piattaforma estendibile e flessibilen Timeline e Analisi globale del progetton Carving delle immaginin Visualizzazione diretta in HEXn Watch List su keyword per soglie di attenzionen SQLite Browsern Decifratura del triplog TomTomn Malware Scanningn Recupero BBM cancellati e di gruppo

martedì 16 aprile 13

Page 46: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

46

Cellebrite UFEDfunzionalità di avanzate

n Pattern/Code unlockn Link analysis (diversi dispositivi)n Data enhancement (gruppi, dati aggiuntivi sugli utenti, etc...)n Phone Detective (riconoscimento marca e modello telefono e

identificazione capabilities)

martedì 16 aprile 13

Page 47: Dal checco Dezzani, Digital Evidence Digital Forensics

© 2013 Giuseppe Dezzani, Paolo Dal Checco per il webinar su Digital Evidence e Digital Forensics, Università di Milano Bicocca

Do5.  Paolo  Dal  [email protected]

Do5.  Giuseppe  [email protected]

Domande?

47

martedì 16 aprile 13