Pen-drive multistrato: i risultati della sfida del Prof. Mario Pascucci
gennaio 2nd, 2009
Dopo un mese dalla pubblicazione del forensics game, il Prof. Mario Pascucci ha finalmente restituito i compiti 
Soluzioni:
- Mario Pascucci, autore della sfida;
- la mia;
- Nanni Bassetti;
- Daniele Murrau – leggetevela perchè l’approccio per individuare le partizioni nascoste con un brute force del mount attraverso uno shell script (potenza della shell!) è davvero interessante.
Update del 6 gennaio 2009:
Nanni mi ha fatto notare un errore nel mio report, errore che mi ha fatto mancare una bandierina del game.
Parlando del file system con label nascosto2 ho scritto:
da cui determiniamo la presenza del file system con label "nascosto2),\\ la sua tipologia FAT16 e dimensione bytes 32-35 = 0035 0c00 >> \\ 000c3500 = 3032400 settori, ossia 1552588800 bytes.
in realtà usando questa pagina per le conversioni di base, ho erroneamente copiato il valore della base ottale, infatti l’esadecimale C3500 in ottale è 3032400, ma in decimale corrisponde a 800000. ho quindi sbagliato a determinare la dimensione di file system nascosto2.
Ma allora come mai il calcolo dell’esadecimale del file system da me estratto corrisponde a quello calcolato sul loop device? (segue un estratto del report)
procediamo quindi ad estrarre il file system e a calcolarne l'hash MD5 nemo@nexus:~$ dd if=Scrivania/pen-drive.dd of=Scrivania/fat3 \\ skip=1000000 count=3032400 bs=512 2948544+0 registrazioni dentro 2948544+0 registrazioni fuori 1509654528 byte (1,5 GB) copiati, 87,9014 s, 17,2 MB/s nemo@nexus:~$ md5sum Scrivania/fat3 59db3b0f38ef7c5317e24d6ede94c703 Scrivania/fat3 conoscendo l'offset possiamo montare il file system nemo@nexus:~$ sudo mount -t vfat -o ro,noatime,loop,offset=512000000\\ Scrivania/pen-drive.dd /tmp/fat-3 senza che il file system dia alcun errore. Calcoliamo quindi l'hash MD5 del device nemo@nexus:~$ sudo md5sum /dev/loop3 59db3b0f38ef7c5317e24d6ede94c703 /dev/loop3 rilevando la coincidenza con quello del file system estratto con dd.
Semplicemente quando ho fatto il dd per estrarre il file system nascosto2 il tool ha copiato fino all’ultimo bit dell’immagine. Infatti il count nel dd indica di copiare 3032400 blocchi da 512 bytes, in realtà dd ne copia solo 2948544, ossia 1509654528 byte.
Il loop device, come indicato anche da Pascucci, prende sino al termine del device principale e Mario per limitare problemi di sovrascrittura aveva dovuto limitare la dimensione del file system con mkdosfs.
Quando montiamo il file system il loop device prende sino all’ultimo byte del device originale, così come il file system che ho estrapolato con dd, ecco il perchè dei due md5 coincidenti.
In questo specifico caso credo non sia possibile verificare la coincidenza del file system estratto con alcunchè, non essendo possibile (almeno io non ne sono a conoscenza) montare in loop un file system dandogli oltre all’offset anche una dimensione massima.
Quanto prima inserisco questa spiegazione nel report.
Per qualunque domanda scrivete all’indirizo indicato sotto.
One Response to “Pen-drive multistrato: i risultati della sfida del Prof. Mario Pascucci”
1 Un pen drive “multistrato”: la soluzione — Il non-blog di Mario Pascucci
gennaio 2nd, 2009 @ 12:32
[...] Denis Frati, veloce, accurato e preciso (e su di lui non avevo alcun dubbio, bravo Denis!) [...]
Leave a Reply