50 Manuale DEFT 7

6.4 Calcolo dell’hash

Dhash è l’unico strumento in DEFT Linux dedicato al calcolo di hash in modalità grafica.

Avviato il programma, fate clic su

Open file per selezionare un file

Indicate la tipologia di hash da calcolare (md5, sha1 od entrambi) e

Una volta terminata l’operazione

clic su save log.

6.5 Acquisizione di memorie di massa

Come già indicato, in DEFT Linux è possibile acquisire memorie di massa anche tramite

interfaccia grafica utilizzando Dhash o Guymager. Il primo è adatto per le acquisizioni in

formato dd, mentre il secondo è

in formato ewf.

in DEFT Linux dedicato al calcolo di hash in modalità grafica.

dhash: Calcolo dell’hash di un device

il programma, fate clic su open device per scegliere una memoria di massa o su

ionare un file.

hash da calcolare (md5, sha1 od entrambi) e fate clic su

Una volta terminata l’operazione è possibile salvare un report html dei risultati

e di memorie di massa

Come già indicato, in DEFT Linux è possibile acquisire memorie di massa anche tramite

interfaccia grafica utilizzando Dhash o Guymager. Il primo è adatto per le acquisizioni in

formato dd, mentre il secondo è caldamente consigliato per le acquisizioni in parallelo e

in DEFT Linux dedicato al calcolo di hash in modalità grafica.

una memoria di massa o su

clic su Starts.

i risultati facendo

Come già indicato, in DEFT Linux è possibile acquisire memorie di massa anche tramite

interfaccia grafica utilizzando Dhash o Guymager. Il primo è adatto per le acquisizioni in

r le acquisizioni in parallelo ed

51 Manuale DEFT 7

6.5.1 Dhash

In Dhash, la procedura per l’acquisizione è simile a quella per il calcolo dell’hash.

Selezionate il device da acquisire facendo clic su

Potete inoltre decidere di acqu

Compress e/o scegliere se eseguire

Acquisizione con calcolo

Premendo il pulsante Starts

Al termine delle attività, è possibile salvare un report in formato html facendo clic sul

pulsante Save log.

, la procedura per l’acquisizione è simile a quella per il calcolo dell’hash.

Selezionate il device da acquisire facendo clic su open device e poi su Acquire

di acquisire e comprimere in formato gz spuntando la casella

eseguire il calcolo del o degli hash.

Acquisizione con calcolo simultaneo degli hash md5 e sha1

Starts è avviata l’acquisizione.

le attività, è possibile salvare un report in formato html facendo clic sul

, la procedura per l’acquisizione è simile a quella per il calcolo dell’hash.

Acquire.

isire e comprimere in formato gz spuntando la casella

le attività, è possibile salvare un report in formato html facendo clic sul

52 Manuale DEFT 7

6.5.2 Guymager

Guymager permette una gestione più avanzata delle acquisizioni

Guymage:

Guymager permette, oltre all’acquisizione simultanea di più memorie di massa, anche

l’inserimento di informazioni

• Codice caso;

• Catalogazione dell’evidence

• Nome dell’operatore che sta compiendo le operazioni

• Descrizione dell’oggetto che si sta acquise

Il programma supporta tutti i principali formati di acquisizione (dd, aff ed encase) e

permette di eseguire il controllo

dell’immagine creata sia del device originale (anche su immagini

Per avviare il processo di acquisizione i

Guymager permette una gestione più avanzata delle acquisizioni rispetto a Dhash

Guymage: Gestione caso per la fase di acquisizione

mager permette, oltre all’acquisizione simultanea di più memorie di massa, anche

di informazioni quali:

Catalogazione dell’evidence;

Nome dell’operatore che sta compiendo le operazioni;

Descrizione dell’oggetto che si sta acquisendo.

supporta tutti i principali formati di acquisizione (dd, aff ed encase) e

permette di eseguire il controllo d’integrità, tramite verifica dell’hash md5 o sha256, sia

dell’immagine creata sia del device originale (anche su immagini “splittate”).

Per avviare il processo di acquisizione in Guymager fate clic con il tasto destro del mouse

rispetto a Dhash.

mager permette, oltre all’acquisizione simultanea di più memorie di massa, anche

supporta tutti i principali formati di acquisizione (dd, aff ed encase) e

md5 o sha256, sia

).

fate clic con il tasto destro del mouse

53 Manuale DEFT 7

sulla memoria di massa da clonare e selezionare la funzione

Nella finestra Acquire Image

della gestione del caso.

6.6 Ricerca di file e cartelle

6.6.1 Catfish

Catfish permette di compiere

comando tramite i comandi

Nell’esempio riportato nell’immagine,

la ricerca, è stata lanciata

campo di ricerca *.jpg. Una volta terminata la ricerca è possibile

con un semplice doppio clic.

Nella finestra sono riportate anche

dell’ultima modifica, il percorso del file e la sua dimensione sul disco.

sulla memoria di massa da clonare e selezionare la funzione Acquire image.

Acquire Image è possibile indicare numerosi parametri dell’acquisizione

Ricerca di file e cartelle

permette di compiere le stesse operazioni che si possono eseguire

comando tramite i comandi find e locate.

ato nell’immagine, selezionata la memoria o la cartella dove compiere

lanciata una ricerca di tutti i file aventi estensione JPG

. Una volta terminata la ricerca è possibile aprire i vari file

con un semplice doppio clic.

Catfish: Ricerca di file

riportate anche ulteriori informazioni dei file riguardanti la data

dell’ultima modifica, il percorso del file e la sua dimensione sul disco.

.

ll’acquisizione o

eseguire a riga di

selezionata la memoria o la cartella dove compiere

JPG scrivendo nel

aprire i vari file elencati

i file riguardanti la data

54 Manuale DEFT 7

6.7 Findwild

Findwild è un programma

Specificando la directory d’interesse e le parole chiave, è possibile ottenere un

file contenenti le chiavi di ricerca.

un programma che permettere di ricercare parole all’interno di file.

interesse e le parole chiave, è possibile ottenere un

le chiavi di ricerca.

Findwild: Ricerca di contenuti

che permettere di ricercare parole all’interno di file.

interesse e le parole chiave, è possibile ottenere un elenco dei

55 Manuale DEFT 7

6.8 Carving di file da GUI

Hunchbacked 4most (H4m), disponibile in italiano

gestione delle principali funzioni di

Tramite H4m, una volta scelto il

eseguire il carving con alcuni semplici clic.

Hunchbacked 4most

H4m, una volta indicati il file o il device in cui

memorizzare i file recuperati,

dall’operatore.

di file da GUI

, disponibile in italiano e inglese, è un’interfaccia grafica per la

gestione delle principali funzioni di foremost e scalpel.

, una volta scelto il programma da impiegare come file carver, è possibile

eseguire il carving con alcuni semplici clic.

Hunchbacked 4most: Carving di file con Foremost

, una volta indicati il file o il device in cui eseguire la ricerca e la cartella dove

i file recuperati, ricerca e salva tutti i file con header e footer

inglese, è un’interfaccia grafica per la

come file carver, è possibile

e la cartella dove

der e footer specificati

56 Manuale DEFT 7

Hunchbacked 4most

Oltre ai tradizionali formati di file supportati da Foremost e Scalpel, è possibile

personalizzare la ricerca indicando

ed i footer d’interesse.

Hunchbacked 4most: Carving di file con Scalpel

Oltre ai tradizionali formati di file supportati da Foremost e Scalpel, è possibile

personalizzare la ricerca indicando un nuovo file di configurazione contenente

Oltre ai tradizionali formati di file supportati da Foremost e Scalpel, è possibile

file di configurazione contenente gli header

57 Manuale DEFT 7

6.9 Gestione di un caso con Autopsy

Autopsy forensic browser è un’interfaccia grafica per la gestione delle funzionalità di The

Sleuth Kit71.

È utilizzata principalmente per la gestione dei casi in cui è richiesta l’analisi di memorie di

massa.

Autopsy permette di:

• utilizzare direttamente il device o le acquisizioni in formato dd, aff ed encase;

• visualizzare informazioni sul tipo di file system;

• analizzare e identificare il contenuto di file e directory e i loro riferimenti

temporali;

• recuperare file cancellati;

• gestire un database degli hash di file del caso posto ad analisi;

• creare ed analizzare timeline;

• eseguire ricerche di file per parola chiave;

• analizzare meta dati;

• creazione di report delle evidenze riscontrate;

• creazione di un caso.

Avviato Autopsy dalla sezione Disk Forensic, è richiesto all’operatore se intende creare un

nuovo caso o aprirne uno esistente.

In questo esempio faremo clic su new per la creazione del caso di prova ed inseriremo i

dati in nostro possesso per la catalogazione, come nome, descrizione e nominativi degli

investigatori:

71

http://www.sleuthkit.org/

58 Manuale DEFT 7

Una volta confermati i dati

contenente tutti i dati del caso

All’interno di un caso possono essere aggiunti

appartenenti o i sistemi informatici) facendo clic su

inserendo i dati richiesti:

Creazione nuovo caso

Una volta confermati i dati, in /root/evidence/nome caso sarà creata una dire

contenente tutti i dati del caso.

All’interno di un caso possono essere aggiunti uno o più oggetti (raffiguranti o i soggetti

appartenenti o i sistemi informatici) facendo clic su add host all’interno del cas

creata una directory

o più oggetti (raffiguranti o i soggetti

all’interno del caso ed

59 Manuale DEFT 7

Aggiunta di oggetti che compongono il caso

Ad ogni oggetto possono essere aggiunt

clic su add image file, inserire nel campo

memoria di massa (es: /dev/sdx

/media/forensic/disco001.dd

partizione o l’intera memoria di massa; per quanto riguarda

comodità d’uso è caldamente consigliato lasciare il valore predefinito

Aggiunta di oggetti che compongono il caso

essere aggiunte una o più memorie di massa: è sufficiente fare

inserire nel campo location o il collegamento diretto ad una

/dev/sdx) o il path contenente il file dell’acquisizione (

/media/forensic/disco001.dd) e specificare se la memoria che stiamo aggiungendo è una

partizione o l’intera memoria di massa; per quanto riguarda l’import method

’uso è caldamente consigliato lasciare il valore predefinito symlink

una o più memorie di massa: è sufficiente fare

o il collegamento diretto ad una

) o il path contenente il file dell’acquisizione (es:

) e specificare se la memoria che stiamo aggiungendo è una

import method, per

symlink.

60 Manuale DEFT 7

Aggiunta di memoria di massa all’interno dell’oggetto

Una volta aggiunta la memoria

calcolato, il valore dell’hash md5

suo file system.

72

Autopsy supporta solo l’algoritmo di hash md5.

Aggiunta di memoria di massa all’interno dell’oggetto

Una volta aggiunta la memoria sarà chiesto se calcolare, o inserire manualmente se già

calcolato, il valore dell’hash md572 e di specificare il nome simbolico della partizione e

Autopsy supporta solo l’algoritmo di hash md5.

chiesto se calcolare, o inserire manualmente se già

specificare il nome simbolico della partizione ed il

61 Manuale DEFT 7

Gestione valore dell’hash e tipo di file system della/e partizioni

La creazione dell’oggetto Disco001

possibile continuare ad aggiungere altre memorie all’oggetto o iniziare la nostra analisi

facendo clic su Analyze.

Gestione valore dell’hash e tipo di file system della/e partizioni

Disco001 sarà completa al termine delle operazioni

possibile continuare ad aggiungere altre memorie all’oggetto o iniziare la nostra analisi

operazioni precedenti. È

possibile continuare ad aggiungere altre memorie all’oggetto o iniziare la nostra analisi

62 Manuale DEFT 7

Gestione dell’oggetto Disco001 appartenente al caso

L’interfaccia del modulo di analisi permette

directory della partizione sottoposta ad analisi e, una volta selezionato un file,

visualizzarne un’anteprima del contenuto.

L’accesso al file è in sola lettura in modo da non alterarne n

metadati.

Nella schermata di analisi è visualizzato:

• Il nome file/directory e

• I valori temporali come data creazione, ultimo accesso ed ultima modifica

• Il tipo di dato;

• Se il dato è stato cancellato o

eliminazione del dato).

Gestione dell’oggetto Disco001 appartenente al caso

L’interfaccia del modulo di analisi permette all’operatore di visualizzare l’albero delle

directory della partizione sottoposta ad analisi e, una volta selezionato un file,

un’anteprima del contenuto.

L’accesso al file è in sola lettura in modo da non alterarne né i riferimenti temporali n

Nella schermata di analisi è visualizzato:

Il nome file/directory ed il suo percorso;

I valori temporali come data creazione, ultimo accesso ed ultima modifica

e il dato è stato cancellato o meno (in rosso se vi è stata richiesta l’azione di

del dato).

all’operatore di visualizzare l’albero delle

directory della partizione sottoposta ad analisi e, una volta selezionato un file, di

i riferimenti temporali né i

I valori temporali come data creazione, ultimo accesso ed ultima modifica;

in rosso se vi è stata richiesta l’azione di

63 Manuale DEFT 7

Un’altra funzione interessante è la ricerca per parola chiave. Tale funzione permette la

ricerca mediante il comando

lo spazio non allocato.

Tale funzione può essere molto lenta nel caso in cui si lanci la ricerca su memorie

contenenti molti file o memorie di grandi dimensioni.

In questi casi raccomandiamo

di sistema ed eseguire il grep a riga di comando.

La stessa raccomandazione è valida per la creazione di time line.

Autopsy: File analysis

Un’altra funzione interessante è la ricerca per parola chiave. Tale funzione permette la

ricerca mediante il comando grep e si estende su tutto l’albero del file system, compreso

Tale funzione può essere molto lenta nel caso in cui si lanci la ricerca su memorie

contenenti molti file o memorie di grandi dimensioni.

raccomandiamo di avviare la ricerca per parola chiave utilizzando una shell

di sistema ed eseguire il grep a riga di comando.

La stessa raccomandazione è valida per la creazione di time line.

Un’altra funzione interessante è la ricerca per parola chiave. Tale funzione permette la

le system, compreso

Tale funzione può essere molto lenta nel caso in cui si lanci la ricerca su memorie

chiave utilizzando una shell

64 Manuale DEFT 7

Ricerca di file per argomento