***************************************************************************** inserisciti tra i movimenti contro la base, porta all'organizzazione di manifestazioni a ridosso della base, realizzando atti tali da produrre una reazione violenta nel sistema difensivo con vittime tra i civili, al fine di portare ad un incremento del dissenso nei confronti degli USA. se ciò non è possibile decapita i vertici della base se ciò non è possibile attacca corpo di guarda della base se ciò non è possibile colpisci il personale della base nei luoghi di ritrovo all'esterno della stessa. ***this is a computer forensics game by www.cfitaly.net*** **************************************************************************** abdella abubaka +39 354-1234567 mohammed aamar +39 372-0987654 ouakkass bendaoud +39 372-56789012 ***this is a computer forensics game by www.cfitaly.net*** ***************************************************************************** RELAZIONE non sono stati usati programmi particolari per l'analisi del contenuto della pendrive. l'immagine oggetto di analisi ha checksum: mike@mdk:~/Desktop/forensic$ md5sum usb_key_barbuto 67a386d766b28f4e92434c7feb447888 usb_key_barbuto all'analisi di fdisk -l è evidenziata una partizione bootable Disk usb_key_barbuto: 0 MB, 0 bytes 16 heads, 32 sectors/track, 0 cylinders Units = cilindri of 512 * 512 = 262144 bytes Dispositivo Boot Start End Blocks Id System usb_key_barbuto1 * 1 3932 1006576 6 FAT16 La partizione 1 ha diversi elementi finali fisici/logici: phys=(859, 15, 32) logico=(3931, 15, 32 si è quindi provveduto al trasferimento dell'immagine su una vera pendrive per verificare la possbilità di usarla per avviare un sistema: dd if=usb_key_barbuto of=/dev/sda verifica dei dati: #md5dum /dev/sda 67a386d766b28f4e92434c7feb447888 /dev/sda1 la prova di avvio ha però dato esito negativo. quindi, all'analisi dei dati contenuti nella pendrive, saltano all'occhio il programma magazzino.exe e il file 4u.txt il primo, dopo l'apertura del database delle password non ha evidenziato alcun dato (il programma tra l'altro appariva come mai aperto in quanto mancante il corrispondente file .ini) il secondo indica invece due link di wikipedia e due coppie data - ora http://en.wikipedia.org/wiki/M16_rifle http://en.wikipedia.org/wiki/MRUD 13 April 2008 14:47 13 April 2008 14:51 analizzate le relative pagine wikipedia sono evidenti le corrispondenze tra gruppi data-ora e modifiche ad opera dello stesso autore i changelog relativi alle modifiche evidenziano come uniche differenze alcune linee di caratteri, che appaiono come parti di file uuencodati sono quindi state salvate le linee di testo in due file e sono stati aggiunti agli stessi file i necessari campi begin e fine riga : begin-base64 644 1.txt begin-base64 644 2.txt i file risultanti sono stati processati con uudecode mike@mdk:~/Desktop/forensic$ uudecode 13apr1 mike@mdk:~/Desktop/forensic$ uudecode 13apr2 ottenendo come risultato i file 1.txt e 2.txt il cui contenuto è incollato in testa alla mail. Michele Asciutti 18/04/2008 ore 00:10