Archives for gennaio, 2008
Virtualizzare
sabato, gennaio 26th, 2008
Insieme a Nanni Bassetti ho fatto alcune prove per virtualizzare immagini raw (dd) di sistemi (presunti) sospetti.
Quanto prima scriverò due righe, per ora uno snapshot di un Windows Xp Sp2, o meglio la sua immagine dd, virtualizzata con Liveview…..sfortunatamente non con il Pinguino
_uacct = “UA-1918854-1″; urchinTracker();
Anti-forensic rootkit: il limite delle acquisizioni live
sabato, gennaio 26th, 2008
Parecchie settimane fa, girovagando per la rete, avevo trovato le slide che vi propongo di seguito, inerenti la possibilità di ingannare l’investigatore intento ad effettuare un’acquisizione live, impedendogli di appropriarsi dei dati importanti.
L’autore, Darren Bilby, spiega come, utilizzando un rootkit, sia possibile intercettare le chiamate del tool di acquisizione, impegnato a leggere il disco rigido, [...]
Analisi forense con Photoshop
sabato, gennaio 26th, 2008
Proprio in questi giorni Apogeo ha pubblicato “Analisi forense con Photoshop“, di George Reis.
L’autore, forte dell’esperienza maturata in seno al dipartimento di polizia di Newport Beach (California), spiega nel testo come individuare e rilevare nelle immagini digitali, informazioni utilizzabili quali prove in indagini e dibattimenti.
Il testo non copre solo il lato tecnico, ma anche quello [...]
Caso Meredith, cloneranno gli Hard Disk
lunedì, gennaio 21st, 2008
Come recita il servizio del TG4 disponibile qui sotto, gli hard disk dei tre indagati nel caso Meredith verranno clonati ed analizzati.
Forensic reale!
Peccato che qu anto dicono i media sia sempre da prendere con le pinze.
Computer e network forensics, esercizio
sabato, gennaio 19th, 2008
Lance Mueller, curatore di Computer Forensics, Malware Analysis & Digital Investigations, propone una prova pratica. Scenario:
Wipe Vs “dd if=/dev/zero”
mercoledì, gennaio 16th, 2008
La fase preparatorio di un’acquisizione prevede la sterilizzazione del drive su cui si andrà a depositare l’immagine del drive acquisito.
Se la sterilizzazione è d’obbligo quando si procede a clonare un drive (es. # dd if=/dev/hdb of=/dev/hda ….), per evitare che l’analisi dei dati possa essere inquinata da dati preesistenti sul drive di destinazione, pareri discordanti
FCCU v.12.0 a caldo
lunedì, gennaio 14th, 2008
Oggi ho trovato il tempo di masterizzare la nuova versione di FCCU per provarla.
Avevo fatto un tentativo con Qemu ieri sera, ma non c’era verso di farla partire.
A dir la verità ero piuttosto ansioso, la versione 11 mi piace molto. Anche se manca Autopsy la trovo decisamente friendly e con diversi tool interessanti, sebbene a [...]
Rilasciata FCCU v.12.0
sabato, gennaio 12th, 2008
E’ stato finalmente rilasciata la nuova versione di FCCU!!
Caratteristiche:
- basata su Debian Live Project;
- Xfce v.4 interfaccia di default;
- nuovo tool, GutMager, per le acquisizioni con supporto per le immagini di EnCase
Risorse 20080106
domenica, gennaio 6th, 2008
Segnalo alcuni link interessanti:
Gianni Amato ha pubblicato un articolo sulla steganografia ed i file DWG di Autodesk.
A seguito dell’articolo ha ricevuto la segnalazione della tesi di laurea di Serena
Acquisizione via rete
domenica, gennaio 6th, 2008
In questi giorni mi sono dedicato a fare alcuni test per le acquisizioni di immagini di dischi via rete.
Qualcuno si domanderà perchè doversi prendere la briga di effettuare l’acquisizione di un disco attraverso una connessione di rete.
Tale modalità di acquisizione, come scrive anche B.Carrier, può essere utile in tutti quei casi in cui non sia [...]
