XALL Nanni Bassetti - Sezioni Territoriali AICA

XALL – A GUI BASH SCRIPT
BY
NANNI BASSETTI
Nanni Bassetti
www.nannibassetti.com
1
Chi sono
2005/2006
2008
2007
primi vagiti online
sulla computer forensics
Creazione di
CFI e
pubblicazione di
SFDumper
Tanti articoli
dal 2007 ad oggi
2015
2013
2009 - 2014
2009
2009
Segretario e
membro
fondatore ONIF
Alcuni miei
scripts per la
forensics
Classificato
nella DC3
Challenge
Nanni Bassetti
Sviluppo CAINE
Gnu/Linux
Nel comitato di
redazione di
S&G
www.nannibassetti.com
2
casi mediatic
i
CASI “MEDIATICI”
E TANTA FORMAZIONE
Nanni Bassetti
www.nannibassetti.com
3
CAINE 7.0 “DeepSpace”
Nanni Bassetti
www.nannibassetti.com
4
http://scripts4cf.sourceforge.net/
http://scripts4cf.sourceforge.net/
Nanni Bassetti
www.nannibassetti.com
5
Questo è un disco, che va duplicato in modo forense...
Nanni Bassetti
www.nannibassetti.com
6
Finito lo strazio della duplicazione, avremo
un'immagine forense con verifica di hash, nei seguenti
formati:
RAW – (dd)
EWF – (Expert Witness Format)
Ci chiedono di estrarre tutti i dati, per poi fare le
ricerche...
Nanni Bassetti
www.nannibassetti.com
7
Dobbiamo definire i domini di lavoro, insomma dove stanno i dati?
• Spazio Allocato;
• Spazio non allocato;
• Slackspace;
Dobbiamo ricordare che abbiamo due tipi di spazi non allocati, il primo è tutti i file
cancellati e il secondo è di tutti i file quelli non sono tra i cancellati, ma sono ancora
nel dispositivo di memoria.
Per l'estrazione di questi file che abbiamo bisogno di usare la tecnica del data
carving, che consiste nella ricerca per i tipi di file da loro "numeri magici" (header e
footer), questa tecnica è filesystem less.
Lo slackspace può essere estratto con TSK (The SleuthKit) e salvarlo in un grande
file di testo, ricordiamo che lo slackspace èfatto da tutti i frammenti di file presentare
nello spazio inutilizzato del cluster.
Nanni Bassetti
www.nannibassetti.com
8
SINTETIZZIAMO
Spazio ALLOCATO
ciò che vediamo
Spazio NON ALLOCATO
file cancellati slackspace file non presenti tra i cancellati
Nanni Bassetti
www.nannibassetti.com
9
SLACKSPACE
Nanni Bassetti
www.nannibassetti.com
10
Xall - Creazione spazio allocato
mount -t auto -o ro,loop,noauto,noexec,nodev,noatime,offset=$off,umask=222 $imm
$BASE_IMG >/dev/null 2>&1 && {
echo "Image file mounted in '$BASE_IMG'"
}
cn=$(($cl))
cp -R $BASE_IMG/* $allocated | yad --progress --pulsate --auto-close --text="Copying allocated
files..." --width=250 --title="" --undecorated
umount $BASE_IMG >/dev/null 2>&1
echo "unmounted image file in '$BASE_IMG'"
Nanni Bassetti
www.nannibassetti.com
11
Xall - Creazione spazio file cancellati
tsk_recover -o $so $imm $DIR_DELETED
Nanni Bassetti
www.nannibassetti.com
12
Xall - Data carving su spazio non allocato e rimozione
duplicati dei file cancellati
photorec /d $DIR_FREESPACE/ /cmd $imm
fileopt,everything,enable,freespace,search
echo "taking off duplicates from carving directory..."
[[ $(ls $DIR_DELETED) ]] && md5deep -r $DIR_DELETED/* >
$HASHES_FILE
[[ $(ls $DIR_FREESPACE) ]] && md5deep -r
$DIR_FREESPACE/* >> $HASHES_FILE
awk 'x[$1]++ { FS = " " ; print $2 }' $HASHES_FILE | xargs rm -rf
[[ -f $HASHES_FILE ]] && rm $HASHES_FILE
Nanni Bassetti
www.nannibassetti.com
13
Xall - Estrazione dello SLACKSPACE
blkls -s -o $so $imm > $DIR_SLACK/slackspace
Nanni Bassetti
www.nannibassetti.com
14
Nanni Bassetti
www.nannibassetti.com
15
Nanni Bassetti
www.nannibassetti.com
16
Nanni Bassetti
www.nannibassetti.com
17
Nanni Bassetti
www.nannibassetti.com
18
Nanni Bassetti
www.nannibassetti.com
19
Nanni Bassetti
www.nannibassetti.com
20
Nanni Bassetti
www.nannibassetti.com
21
Nanni Bassetti
www.nannibassetti.com
22
Nanni Bassetti
www.nannibassetti.com
23
RECOLL INDEXER
Nanni Bassetti
www.nannibassetti.com
24
RECOLL INDEXER
Nanni Bassetti
www.lesbonscomptes.com/recoll/
www.nannibassetti.com
25
Portabilità del database di RECOLL
#!/bin/bash
# RECOLL configuration to have a single recoll.conf and xapiandb for each case examined.
echo "RECOLL is indexing..."
rcldir=$outputdir/recoll
recollconf=/$rcldir/recoll.conf
mkdir -p $rcldir/xapiandb
cat > $recollconf << EOF
topdirs = $outputdir
dbdir = $rcldir/xapiandb
processbeaglequeue = 1
skippedPaths = $rcldir $rcldir/xapiandb
indexallfilenames = 1
textfilemaxmbs = -1 # for indexing txt files greater than 10Mb thanks to Alessandro Farina
usesystemfilecommand = 1
indexstemminglanguages = italian english spanish
EOF
recollindex -c $rcldir -z >/dev/null 2>&1
case $(tty) in
/dev/tty*) echo -e "\nStart on terminal from graphic interface the following command:"
echo -e "recoll -c $rcldir\n"
exit 1
;;
*) recoll -c $rcldir >/dev/null 2>&1 &
exit 0
;;
esac
Nanni Bassetti
www.nannibassetti.com
26
DTSearch - www.dtsearch.com
Nanni Bassetti
www.nannibassetti.com
27
Nanni Bassetti
www.nannibassetti.com
28
Database di DTSearch
Nanni Bassetti
www.nannibassetti.com
29
Conclusioni
Arrivederci e buona navigazione! 
Queste slides sono rilasciate con licenza Creative
Commons
“Attribuzione-Non commerciale-Condividi allo stesso modo 3.0”
il cui testo e’ disponibile sul sito
http://creativecommons.org
Nanni Bassetti
www.nannibassetti.com
30
CONTATTI
NBS di Nanni Bassetti
Digital Forensics Specialist
http://www.nannibassetti.com/
E-Mail: [email protected]
Cell. +39-3476587097
Nanni Bassetti
www.nannibassetti.com
31