SFDumper v.2.0 beta

giugno 8th, 2009

Nei giorni scorsi, coordinandomi con Nanni Bassetti, ho messo mano al codice della versione 1.7 Sfdumper.
Le modifiche apportate sono tali da giustificare il passaggio alla versione 2.0.
Le novità sono di rilievo e spaziano dall’utilizzabilità alla tipologia di file immagine supportati.
Per rispondere all’esigenza di un più semplice passaggio del percorso dell’immagine in input, sfruttando le funzioni di auto completamente tipiche della shell, è stata introdotta la possibilità di avviare lo script con l’assegnazione di tutte le variabili da riga di comando.
Rimane comunque la modalità interattiva, caratteristica di Sfdumper sin dalla sua prima versione, che resta in tal modo allineato ad altri tools forensi, quali ad esempio ewfacquire, che non traggono vantaggio dell’auto completamento dei percorsi.
In risposta a quanti avevano segnalato l’impossibilità di operare su file in formato EWF, si è implementata la possibilità di lavorare con essi, ma non solo!
Infatti, previa corretta installazione delle libewf e afflib, è ora possibile operare su file raw, ewf, aff, anche splittati! Il che ci pare francamente non da poco.
Il codice di Sfdumper v.2.0 implementa, inoltre, la possibilità di operare al meglio su immagini di device con file system hfs/hfs+, utilizzando le feature messe a disposizione dagli Snapshots di SleuthKit.

_____________________________________________________________

**********************************************************
****            Selective File Dumper                 ****
****                 Ver. 2.0                        ****
****                     by                           ****
****      Nanni Bassetti & Denis Frati                ****
****    nannib@libero.it   denis.frati@cybercrimes.it ****
**********************************************************

Operations started in dom giu 7 22:49:41 CEST 2009
By de
On the image file/device /home/nemo/Prove/usbhfs+/usb512_mac.dd

----------------------------------------------------------
IMAGE TYPE ANALYSIS

The system is composed by the following active Partitions:
03:  01      0000000064   0000983791   0000983728   Apple_HFS
04:  02      0000983792   0000983807   0000000016   Apple_Free

 by the following partition tables areas
02:  Meta    0000000001   0000000003   0000000003   Table

 and by the following unallocated areas
00:  -----   0000000000   0000000000   0000000001   Unallocated

----------------------------------------------------------
FILE SEARCH

Search done into the partition/area 03
File system hfs
Starting sector 64
Dimension 983728
File type searched  jpg

Search for active referenced and deleted files started dom giu 7 22:50:22 CEST 2009
**** 11 Active files recovered
Active files are in /home/nemo/Scrivania/prova_07/partition03__jpg/active_files_recovered
Active files list is in /home/nemo/Scrivania/prova_07/report/03_jpgactive.txt
**** No deleted file to recover
Search for active referenced and deleted files ended dom giu 7 22:50:23 CEST 2009
carving jpg started dom giu 7 22:50:26 CEST 2009
file in  /home/nemo/Scrivania/prova_07/partition03__jpg/carvingjpg
Foremost recover 8
carving ended dom giu 7 22:50:41 CEST 2009
**** 8 duplicated files retrieved from the file system has been deleted

----------------------------------------------------------

Process ended in dom giu 7 22:50:48 CEST 2009

_____________________________________________________________

Alcuni utenti avevano segnalato che durante il recupero dei file referenziati, attivi e cancellati, si sentiva l’assenza di una qualche indicazione che l’attività era in svolgimento. Abbiamo quindi inserito istruzioni affinché sia possibile verificare la proggressione nel recupero dei file referenziati.
Anche in questa versione si è cercato di assegnare ai file recuperati il nome che possiedono all’interno del file system presente nell’immagine esaminata, in quanto lo consideriamo utile ed indicativo in fase di indagine.
In passato il tentativo di assegnare come nome l’intero percorso che il file aveva nel file system, pur epurato da caratteri particolari, ha creato diversi problemi.
In questa versione si è mantenuto il solo nome del file che, abbinato all’inode, consente di individuare senza dubbio alcuno il file in questione, individuandone il percorso completo all’interno del file system originale attraverso la consultazione dei file contenenti le liste di file recuperati.

Ora però vorremmo avviare una fase di test, m aper condurla abbiamo bisogno di tester!
Chi fosse interessato può scrivere una mail al seguente indirizzo tester[DOT]sfdumper[AT]denisfrati[DOT]it.
Con lo stesso mezzo riceverà lo script e la documentazione.
L’invito a partecipare è aperto a chiunque apprezzi l’open source e la condivisione di conoscenze e risorse, avremmo tuttavia piacere di poter fruire di una collaborazione realmente attiva con l’effettivo invio di feed-back e report.

Forensics, Tools | Comments | Trackback

Leave a Reply

  1.  
  2.  
  3.  
  4. XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
You can keep track of new comments to this post with the comments feed.

Cerca

 

settembre: 2010
L M M G V S D
« ago    
 12345
6789101112
13141516171819
20212223242526
27282930  

Categorie

Blogroll

Feed

Subscribe to my feed