Analisi Forense - D`Amato Angelo

Transcript

Corso di Sicurezza su reti II
Anno accademico 2007-2008
Prof. A. De Santis
Dott. L. Catuogno
ANALISI FORENSE:
Versione 0.1
Capitolo: Parte prima: INFORMAZIONI GENERALI
Gruppo CA
1
SOMMARIO
Parte prima: INFORMAZIONI GENERALI ............................................................................................................................ 3
Parte seconda: SCHEDA TECNICA ...................................................................................................................................... 4
Introduzione .............................................................................................................................................................. 4
Gestione delle prove ................................................................................................................................................. 5
Software open source per l'acquisizione forense .................................................................................................... 6
Tool di helix utilizzati................................................................................................................................................. 7
Autopsy ................................................................................................................................................................. 7
ANALISI FORENSE........................................................................................................................................................... 8
1.
ACQUISIZIONE................................................................................................................................................... 8
2.
RECUPERO DELLE PASSWORD DI SISTEMA ...................................................................................................... 8
3.
RECUPERO DELLE PASSWORD INSTANT MESSENGER, MAIL E INFO TROVATE .............................................. 9
Messenger ........................................................................................................................................................... 10
Mail...................................................................................................................................................................... 16
mIRC .................................................................................................................................................................... 17
Thunderbird ........................................................................................................................................................ 19
NOTE .................................................................................................................................................................... 20
SUMMARY REPORT RECUPERO DELLE PASSWORD INSTANT MESSENGER, MAIL E INFO SCOPERTE ................... 22
4.
INFO DI NAVIGAZIONE ................................................................................................................................... 23
5.
CRONOLOGIA DI NAVIGAZIONE .................................................................................................................... 35
6.
INFORMAZIONE SULLE ATTIVITA’ SVOLTE SUL SISTEMA CON ADEPTO ........................................................ 37
VISIONE DELLA CARTELLA PROGRAMMI CON TIMELINE ................................................................................... 40
REPORT SUMMARY - INFORMAZIONE SULLE ATTIVITA’ SVOLTE SUL SISTEMA CON ADEPTO ............................. 43
7.
DATI RECENTI DELL’UTENTE ........................................................................................................................... 44
FONTI BIBLIOGRAFICHE ................................................................................................................................................ 47
VISIONE DELLA CARTELLA DELL’UTENTE CON TIMELINE ................................................................................... 42
2
PARTE PRIMA: INFORMAZIONI GENERALI
NOME DEL GRUPPO
CaMail
DENOMINAZIONE
CA
COMPONENTI
CAROTENUTO FRANCESCO
0521000582
D’AMATO ANGELO
0521000698
ELETTO ANTONIO
0521000742
SCARPA DARIO
0521000692
MISSIONE
Svolgere attività di analisi forense su una data macchina e effettuare su di essa le
seguenti fasi : individuazione, conservazione, protezione, estrazione,
documentazione, e ogni altra forma di trattamento e interpretazione del dato
memorizzato su supporto informatico, al fine di essere valutato come prova nei
processi giudiziari. Nel dettaglio produrre documentazione ai fini probatori ai
processi, e usare le tecniche e gli strumenti per l’esame metodologico dei sistemi
informatici, nonché l’analisi forense di ogni sistema informatico e telematico,
l’esibizione della prova elettronica, l’esibizione del dato digitale, il recupero di dati
e la loro esibizione, l’analisi ed esame del sistema informatico e telematico.
PROGETTO
L’intenzione del gruppo è di realizzare la missione utilizzando tutti gli strumenti
Open Source che risultino affidabili e facilmente reperibili e che naturalmente non
comportano acquisto e rinnovo delle licenze.
INFORMAZIONI GENERALI
3
PARTE SECONDA: SCHEDA TECNICA
DESCRIZIONE ANALISI FORENSE
INTRODUZIONE
La data di nascita della Computer forensics è il 1984, quando il laboratorio scientifico dell’FBI e
altre agenzie investigative americane iniziarono a sviluppare programmi da utilizzare nell’esame
dei dati presenti nei computer. Nello stesso anno, per rispondere alla crescente richiesta di
investigazioni in ambito informatico, fu creato, all’interno dell’FBI, il Computer Analysis and
Response Team (CART) con il compito fondamentale di procedere nei casi in cui si rende
necessaria l’analisi di un computer.
Significativi passi iniziali sono rappresentati dalla creazione, nel 1996, del Nucleo Operativo di
Polizia delle Telecomunicazioni, e dalla istituzione, nel 1998, del Servizio di Polizia Postale e delle
Telecomunicazioni, all’interno del quale sono confluite le risorse del citato Nucleo e della Divisione
della Polizia Postale.
Gli scopi dell’informatica forense sono di conservare, identificare, acquisire, documentare e
interpretare i dati presenti su un computer. A livello generale si tratta di individuare le modalità
migliori per :
-
acquisire le prove senza alterare o modificare il sistema informatico su cui si trovano,
garantire che le prove acquisite su altro supporto siano identiche a quelle originarie,
analizzare i dati senza alterarli.
In sintesi, di “dare voce alle prove”.
Importanti aspetti della disciplina riguardano, a un livello di maggior dettaglio, il ruolo della
progettazione e mantenimento di una catena di custodia e gli argomenti principali da prendere in
esame quando si presentano prove in sede processuale.
Il sistema informatico oggetto dell’indagine può essere un personal computer o un server isolato,
nel qual caso si parla di computer forensics, ovvero può trattarsi di almeno due elaboratori
connessi tra loro; in tal caso si parla di network forensics.
Capitolo: Parte seconda: SCHEDA TECNICA
L’informatica forense comprende le attività di verifica dei supporti di memorizzazione dei dati e
delle componenti informatiche, delle immagini, audio e video generate da computer, dei contenuti
di archivi e basi dati e delle azioni svolte nelle reti telematiche.
4
GESTIONE DELLE PROVE
Se si analizza in dettaglio un qualsiasi personal computer si possono conoscere attività, gusti,
pensiero di chi l’utilizza; l’analisi dei sistemi è dunque utile per condurre indagini e per acquisire
prove inerenti a eventi legati alla vita del suo utilizzatore.
Per l’acquisizione delle prove da un sistema informatico il modo migliore è quello di poter
accedere al sistema con il ruolo di amministratore di sistema, senza togliere la corrente elettrica,
in modo da poter consultare anche la memoria Ram che viene “cancellata” in caso di
spegnimento.
Non meno importante risulta la gestione degli elementi di prova acquisiti, il loro trasporto e
archiviazione per evitare che le stesse vengano alterate o comunque possa essere in discussione la
loro integrità. A tale scopo risulta utile l’utilizzo di strumenti di firma digitale o la predisposizione
di verbali che documenti dall’inizio del procedimento la vita e la custodia delle prove acquisite. La
catena di custodia permette di garantire che non si sono prodotte alterazioni ai dati dal momento
del loro sequestro al momento del dibattimento e per tutte le fasi dell’iter processuale.
Per quanto riguarda l’autenticazione delle prove va dimostrato che essa è stata eseguita senza
modificare o in qualche modo turbare il sistema e le prove stesse vanno autenticate e verificate
temporalmente con opportuni programmi di utilità in modo da poter facilmente dimostrare in
sede di giudizio che le operazione di riproduzione delle prove è stata eseguita nei modi e nei tempi
indicati.
Per l’analisi delle prove occorre rispettare due principi: i dati oggetto dell’analisi non devono
venire alterati e, senza entrare qui in dettagli di geometria dei dischi e dei supporti magnetici,
un’analisi dettagliata non dovrà essere eseguita solo all’interno dei file ma anche nei settori del
supporto magnetico lasciati liberi (slack space, aree non allocate e aree di swap del sistema
operativo) che contengono comunque dati registrati e cancellati in precedenza ovvero dati che
qualcuno desidera “nascondere”.
1
va accuratamente verificato lo stato di ogni supporto magnetico,
vanno ispezionati quaderni, fondi di tastiera e monitor per individuare eventuali password,
va ricostruita (tracing) l’attività di un accesso abusivo dalla rete,
vanno individuati virus e altro software malevolo,
va ricostruita la successione dei compiti e delle azioni,
vanno confrontati tra loro gli indizi,
va individuato il ruolo che assume il sistema oggetto della indagine,
In Italia dottrina e giurisprudenza relative a temi di informatica forense sono presenti per: riciclaggio di denaro e
reati tributari, omicidio intenzionale, frodi alle assicurazioni, uso per scopo personale delle attrezzature informatiche
del datore di lavoro, decifrazione di dati, violazione del diritto d’autore, abusi sessuali, distruzione di dati o accesso
abusivo e conseguente estrazione non autorizzata di dati, alterazione di dati od uso improprio di programmi,
detenzione e distribuzione di materiale pornografico, uso improprio della posta elettronica, diffamazione, contratti a
oggetto informatico.
Il principio di fondo è quello di non dare nulla per scontato e quindi, adattando alla situazione
italiana alcune linee guida autorevoli ( 1 ):
5
-
va considerato il ruolo delle persone che utilizzano il sistema per individuare eventuali
individui indiziati, informati dei fatti o in grado di rivelare la password,
va effettuato un accurato inventario delle attrezzature ispezionate,
è opportuno ripetere due volte le analisi per avere certezza della meticolosità delle operazioni
eseguite.
SOFTWARE OPEN SOURCE PER L 'ACQUISIZIONE FORENSE
La nostra scelta è ricaduta su Helix, una distribuzione linux LIVE-CD specializzata per l’analisi
forense che offre un ambiente grafico a finestre che ci mette a disposizione vari strumenti di
acquisizione ed analisi, come il celeberrimo Autopsy, l'Adepto, il foremost e PyFlag, visualizzatori
di immagini, suoni e video, un'intera suite di Open Office e così via.
Helix è un laboratorio su Live Cd, che si contraddistingue per una caratteristica importante, non
può in alcun modo scrivere nell’hard disk ne sui supporti di memorizzazione di massa del Pc sul
quale è in esecuzione. Tuttavia permette di masterizzare dei CD o DVD per l’esportazione dei dati.
Se volete clonare l’hard disk incriminato su un altro HD ethernet potete scegliere l’opzione
all’avvio. I principali strumenti che avrete a disposizione installando Helix sono i seguenti :
Adepto: Esegue una copia del disco selezionato ed esegue l’hash del file-immagine
Retriever: Esegue una ricerca sui dispositivi di immagini, audio e video
RegViewer: Visualizzatore del Registro di Windows
HexEditor: Editor Esadecimale
Ethereal: Strumento per l’analisi delle reti
Clam AV e F-Prot: Software antivirus
Galleta: Cookie analyzer per Internet Explorer
Autopsy: Web front-end a sleuthkit.








6
TOOL DI HELIX UTILIZZATI
A UTOPSY
Autopsy costituisce un ottimo framework open source per l'analisi di immagini e device con
supporto ad alcuni (manca purtroppo il supporto per i file system hfs e hfs+) dei più diffusi file
system come:

FAT 12, 16 e 32

NTFS

EXT 2 e 3

UFS

ISO 9660

File System per sistemi Solaris

File System per sistemi Bsd e Free Bsd

Raw

Swap.
Autopsy è una interfaccia grafica ai tool presenti in Sleuth Kit2, che ci permettono di condurre
agevolmente una investigazione in maniera più semplice possibile. Diversamente dalla maggior
parte delle piattaforme di computer forensics, la struttura è completamente modulare questo
perché SleuthKit non è un programma ma un insieme di tool a linea di comando, ognuno dei quali
esegue operazioni specifiche; Autopsy invece fornisce l'interfaccia grafica e l'ambiente di
collegamento dei vari programmi. La caratteristica che lo rende un software per la computer
forensics è la garanzia di inalterabilità dei dati analizzati questo perché l'accesso ad essi viene
effettuato in sola lettura con controlli che impongono agli applicativi, che compongono lo
sleuthkit, una inalterabilità dei file posti ad analisi. Le principali funzioni di Autopsy sono:
 analisi di device
 recupero ed esportazione di file cancellati
 ricerche con parole chiave su file, settori allocati e non allocati
 analizzare ogni singolo inode del device acquisito
 creazione di timeline
 aggiungere note di contorno al caso
 creazione di report automatici riassuntivi del caso
2
Sleuth Kit è una collezione di tool a linea di comando per condurre analisi forense.
 calcolo di hash md5
7
ANALISI FORENSE
1. ACQUISIZIONE
Non c’è stato bisogno di acquisire l’immagine della macchina dell’indagato per il fatto che
avevamo già l’immagine del file vmware e abbiamo utilizzato direttamente quella per procedere
all’analisi. E abbiamo fatto una firma HASH MD5 della immagine per dimostrare che la copia non è
stata compromessa durante l’acquisizione e l’analisi.
2. RECUPERO DELLE PASSWORD DI SISTEMA
Il tool utilizzato per questa fase è Ophcrack . Ophcrack è un programma che estrae le password di
sistema di windows. Si basa su un algoritmo che mette in relazione memoria e tempo usando le
tabelle rainbow. Si tratta di una variante dell’algoritmo di Hellman ma più efficiente. Recupera
infatti, fino al 99% delle password nel giro di pochi secondi, localizza gli utenti nel sistema
Windows ed inizia ad effettuare il cracking delle loro password. Il processo è completamente
automatico, non è richiesta nessuna competenza o operazione aggiuntiva. Alla fine dell’operazione
come in figura la password è mostrata a schermo.
8
3. RECUPERO DELLE PASSWORD INSTANT MESSENGER, MAIL E INFO TROVATE
Dopo aver recuperato la password dell’account amministratore di windows XP, il sistema
operativo utilizzato dall’indagato, abbiamo avviato il sistema usando VMWARE.
Con questo procedimento abbiamo scoperto la password dell’account [email protected] che è
risultata essere nol4vezzinop4rty , e che inoltre sono anche le stesse credenziali usate per AOL
instant messenger.
Per questo task abbiamo utilizzato degli strumenti offerti dalla versione eseguibile di Helix. Per
analizzare gli account instant messenger utilizzati dall’indagato abbiamo utilizzato il tool
MessenPass.
9
M ESSENGER
Successivamente ci siamo connessi al servizio di instant messaging MSN utilizzando il tool di
accesso amsn inserendo le credenziali dell’indagato.
10
Conversazioni msn trovate
[email protected]
[Conversation started on 05/26/08 17:20:21]
[05/26/08 17:20:21 ] Ezechiele : heila ke combini?^__^
[05/26/08 17:20:38 ] Lady Xana : ezekiele \°°/
…….
[email protected]
[Conversation started on 05/26/08 16:55:50]
[05/26/08 16:55:50 ] Ezechiele : ok andata
[05/26/08 16:55:55 ] [b][c=38];) ...K!r@/CuB@l!br&... (d) (8)
ValeEeEe...tvtb! MUA!
[/b][/c=39] {AppenaEntriTrillaKeNùTeVedo} : seraaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
…
11
Successivamente siamo entrati nella mail dell’account [email protected]
Non sono risultate e-mail interessanti dal punto di vista di profiling dell’utente.
Abbiamo scoperto che il 19/05/2008 è stato creato un nuovo account gmail per questo utente.
12
Per recuperare informazioni sugli account mail memorizzati nei client di posta elettronica abbiamo
usato il tool Mail PassView.
Ne è risultato che l’utente ha due account mail : uno su gmail e l’altro su yahoo, ma le
informazioni sulle password non sono state memorizzate nella cache del client di posta utilizzato.
La password memorizzata nel browser è mostrata con gli asterischi pertanto abbiamo utilizzato un
script javascript che ci permette di recuperare in maniera leggibile le informazioni sulla password.
Non richiede alcun software per rivelare le password nascoste sotto gli asterischi e non si deve
perdere il tempo in cracking master password.
Abbiamo verificato inoltre, la possibilità che le credenziali di accesso siano invece state
memorizzare tra le password del browser. Quindi abbiamo acceduto alle due pagine principali di
yahoo e gmail, da questo ne è risultato che l’utente ha memorizzato la password solo per
l’account di gmail.
13
Codice identato per scoprire la password memorizzata nel browser.
javascript:(
function(){
var s,F,j,f,i; s = "";
F = document.forms;
for(j=0; j<F.length; ++j) {
f = F[j]; for (i=0; i<f.length; ++i)
{
if (f[i].type.toLowerCase() == "password") s += f[i].value + "\n";
}
}
if (s)
alert("Passwords in forms on this page:\n\n" + s);
else alert("There are no passwords in forms on this page.");
}
)();
14
Lo script precedente deve essere digitato o incollato nella barra degli indirizzi dove è presente il
form di login non le credenziali dell’utente.
Da questo procedimento ne è risultato che la password di [email protected] è
nol4vezzinop4rty.
15
M AIL
Poi abbiamo effettuato l’accesso all’account di gmail per recuperare altre eventuali informazioni
utili.
Dalla mail ricevuta non ne risultano informazioni utili tranne il fatto che l’utente si è iscritto :
 il 5/05/2008 alla newsletter di corriere.it

il 23/06/2008 a www.PoiGPS.com (che è l’acronimo di Punti di interesse per Navigatori
Satellitari)
 Il 12/06/2008 si è iscritto a www.domeus.it (una community per la creazione di newsletter
e mailing list )
Schermata mail ricevuta
16
M IRC
schermata con i dati di accesso dell’utente
17
Poi abbiamo visto i log di mirc con tutte le informazioni che non riportiamo nella suddetta
documentazione perché sono tanti file . Abbiamo salvato la schermata dei file di log che aveva
incluse tutte le conversazioni e le informazioni di status.
18
T HUNDERBIRD
Per scoprire ulteriori informazioni abbiamo utilizzato il client di posta usato dall’indagato e
abbiamo scoperto ulteriori attività dell’utente sul web oltre alle mail ricevuto sull’account di yahoo
di cui non avevamo ancora notizia .
Dall’analisi delle mail abbiamo constatato che :
 Il 05/06/2008 14:16 iscrizione a www.Yahoo.it
 Il 12/06/2008 15:20 Iscrizione a www.it-schools.com
 Il 12/06/2008 16:08 Iscrizione al gruppo moderatori-it di yahoo.it
 Il 12/06/2008 16:08 Ha creato un gruppo pamaran51 su yahoo.it
 Il 12/06/2008 16:16 Si è iscritto al gruppo Kickoffworld su yahoo.it
 Il 12/06/2008 16:17 Si è iscritto al gruppo Interfaccecognitive su yahoo.it
 Il 12/06/2008 16:19 Si è iscritto al gruppo Iritalyforum su yahoo.it
 Il 12/06/2008 16:21 Si è iscritto al gruppo solonapoli, cnl-settimanale su yahoo.it
 Il 5/06/2008 15:38 Registrazione alla newsletter di www.lastampaweb.it
19
NOTE
Abbiamo constatato che l’utente aveva installato Blowfish Advanced CS, e aprendo questo tool
abbiamo scoperto che c’era un file cifrato di nome accpwd.txt.bfa.
Aprendo questo file il programma ci chiedeva di inserire una password per decifrare il suddetto
file. La cosa più semplice che abbiamo pensato è quella che l’utente abbia usato come chiave la
stessa password che usava per accedere al sistema cioè paraman. Abbiamo così scoperto che in
questo file c’erano tutte le credenziali di accesso già trovate .
Schermata di richiesta password, noi inseriremo paraman.
20
Ecco il file cifrato con le password del sistema, messenger, google, yahoo.
21
SUMMARY REPORT RECUPERO DELLE PASSWORD INSTANT MESSENGER, MAIL E INFO
SCOPERTE
Data
Operazione
19/05/2008 17:13
si è connesso con mIRC sul canale Napoli
19/05/2008 17:19
Si è iscritto a gmail con l’account [email protected]
21/05/08 15:38:51
DOWNLOAD DA MIRC del file
Speed.Racer.2008.iTALiAN.MD.CAM.XviD-MvN
23/05/2008 12:16
Iscrizione al sito www.PoiGPS.com (che è l’acronimo di Punti
di interesse)
26/05/08 16:55:50
Conversazione MSN con [email protected]
26/05/08 17:20:21
Conversazione MSN con [email protected]
Mail di benvenuto di www.Yahoo.it
05/06/2008 14:16
Si è iscritto alla newsletter di www.corriere.it
5/06/2008 14:31
Registrazione alla newsletter di www.lastampaweb.it
12/06/2008 15:20
Iscrizione a www.it-schools.com
12/06/2008
si è iscritto a www.domeus.it (una community per la creazione
di newsletter e mailing list )
12/06/2008 16:08
Iscrizione
al
gruppo
moderatori-it,
Kickoffworld,
Interfaccecognitive, Iritalyforum, solonapoli, cnl-settimanale su
yahoo.it
Accesso a mIRC al canale azzurra fallito
17/06/2008
5/06/2008 15:38
22
4. INFO DI NAVIGAZIONE
Abbiamo il tool Mozilla CokiesView per avere una panoramica sui siti visitati dall’utente.
Report generato da questo tool :
Path
Name
Expiration Date
Secure
.tribalfusion.com
/
TfAdCountMap
11/08/2076 22.30.24
No
.tribalfusion.com
/
TfAdCountDate
11/08/2076 22.30.24
No
.tribalfusion.com
/
TfCtxtAdServer
11/08/2076 22.30.24
No
.overture.com
/
CMUserData
03/10/2056 6.36.37
No
.revsci.net
/
NETID01
11/05/2040 17.04.20
No
feeds.feedburner.com
/~s/
fbsite
05/06/2038 14.44.54
No
Domain
23
/
A
19/05/2038 17.34.18
No
.bidvertiser.com
/
bdv_cpk
18/01/2038 2.00.04
No
.bidvertiser.com
/
__qca
18/01/2038 2.00.00
No
.cj399o2i-a.gmodules.com
/ig/
__utma
18/01/2038 2.00.00
No
.wordpress.com
/
__qca
18/01/2038 2.00.00
No
.counttonine.com
/
__qca
18/01/2038 2.00.00
No
.26.gmodules.com
/ig/
__utma
18/01/2038 2.00.00
No
.21.gmodules.com
/ig/
__utma
18/01/2038 2.00.00
No
.4chan.org
/
__qca
18/01/2038 2.00.00
No
.mozilla-europe.org
/
__utma
18/01/2038 2.00.00
No
.mozilla.com
/
__utma
18/01/2038 2.00.00
No
.serving-sys.com
/
U
01/01/2038 0.00.14
No
.serving-sys.com
/
A2
01/01/2038 0.00.01
No
.serving-sys.com
/
B2
01/01/2038 0.00.01
No
.serving-sys.com
/
C3
01/01/2038 0.00.01
No
.serving-sys.com
/
D3
01/01/2038 0.00.01
No
.bs.serving-sys.com
/
eyeblaster
01/01/2038 0.00.01
No
.serving-sys.com
/
E2
01/01/2038 0.00.00
No
.login.live.com
/
MSPPre
30/12/2037 18.00.11
No
.live.com
/
MH
30/12/2037 18.00.05
No
.microsoft.com
24
/
wlidperf
30/12/2037 18.00.00
No
.hotmail.msn.com
/
HMP1
30/12/2037 2.00.15
No
.yahoo.com
/
Y
02/06/2037 22.00.51
No
.egroups.com
/
BX
02/06/2037 22.00.51
No
.yahoo.com
/
T
02/06/2037 22.00.18
No
.yahoo.com
/
B
02/06/2037 22.00.18
No
.yahoo.com
/
F
02/06/2037 22.00.18
No
.yahoo.com
/
YLS
15/04/2037 22.00.00
No
.ad.uk.tangozebra.com
/a
TZID
01/01/2035 2.00.51
No
www.dynamick.it
/
fbbb_
08/12/2030 14.49.33
No
.tradedoubler.com
/
TD_UNIQUE_IMP
14/06/2028 14.01.23
No
.tradedoubler.com
/
TD_EH_0
31/05/2028 14.22.27
No
.quantserve.com
/
mc
16/05/2028 16.10.00
No
.quantserve.com
/
uid
16/05/2028 16.10.00
No
.tradedoubler.com
/
TradeDoublerGUID
16/05/2028 15.33.01
No
.download.com
/
DOWNLOADsearchab
14/05/2028 16.30.29
No
.msn.com
/
MC1
04/10/2021 12.00.00
No
.repubblica.it
/
RMFW
01/01/2021 2.01.31
No
.repubblica.it
/
RMFD
01/01/2021 2.01.31
No
.kataweb.it
/
RMID
01/01/2021 2.00.34
No
.live.com
25
/
RMID
01/01/2021 2.00.22
No
.rcsadv.it
/
RMFS
01/01/2021 2.00.16
No
.rcsadv.it
/
RMFD
01/01/2021 2.00.16
No
.live.com
/
MUID
01/01/2021 2.00.14
No
.ilsole24ore.it
/
RMID
01/01/2021 2.00.13
No
.msn.it
/
MUID
01/01/2021 2.00.13
No
.rcsadv.it
/
RMID
01/01/2021 2.00.12
No
.msn.com
/
MUID
01/01/2021 2.00.04
No
em.pc-on-internet.com
/
hd_uid
16/03/2020 3.01.38
No
em.gad-network.com
/
hd_uid
16/03/2020 3.00.41
No
em.gad-network.com
/
eas_pc
16/03/2020 3.00.40
No
www.euro2008.uefa.com
/
CP
01/01/2020 2.00.00
No
statse.webtrendslive.com
/
ACOOKIE
22/07/2018 22.01.48
No
.corriere.it
/
WT_FPC
22/07/2018 21.01.47
No
.google.it
/
SID
22/07/2018 19.38.12
No
.google.com
/
SID
22/07/2018 19.38.11
No
www.google.com
/accounts
GAUSR
22/07/2018 19.38.11
Yes
www.google.com
/accounts
LSID
22/07/2018 19.38.11
Yes
.libero.it
/
WMAIL
22/07/2018 19.15.31
No
.google.com
/
rememberme
17/06/2018 14.55.38
No
.repubblica.it
26
/
cP
15/06/2018 15.52.49
No
.repubblica.it
/
cP
15/06/2018 15.45.43
No
.gazzetta.it
/
WT_FPC
15/06/2018 12.55.54
No
.yahoo.com
/
s_vsn_yahoogroupsygprod_1
12/06/2018 15.14.15
No
.snap.com
/
user
10/06/2018 15.37.50
No
www.lastampa.it
/
WEBTRENDS_ID
03/06/2018 14.38.28
No
.youtube.com
/
LOCALE_PREFERENCE
03/06/2018 14.07.50
No
.youtube.com
/
VISITOR_INFO1_LIVE
03/06/2018 14.07.50
No
www.youtomb.com
/
clid
23/05/2018 12.05.15
No
.microsoft.com
/
MC1
19/05/2018 17.14.36
No
.download.com
/
XCLGFbrowser
19/05/2018 16.30.33
No
.com.com
/
XCLGFbrowser
19/05/2018 16.30.32
No
m.webtrends.com
/
ACOOKIE
17/05/2018 17.34.20
No
.microsoft.com
/
WT_NVR_RU
17/05/2018 17.34.18
No
.technet.microsoft.com
/
WT_NVR
17/05/2018 17.34.18
No
.imrworldwide.com
/cgi-bin
V5
17/05/2018 16.18.28
No
.microsoft.com
/
WT_FPC
17/05/2018 7.34.18
No
.update.microsoft.com
/
WT_FPC
17/05/2018 6.16.26
No
.it.msn.com
/
hpwea
01/01/2017 1.00.00
No
.it.msn.com
/
hpsvr
01/01/2017 1.00.00
No
.neodatagroup.com
27
/
hpcli
01/01/2017 1.00.00
No
.uefa.com
/
uid
12/12/2016 2.00.05
No
.clearspring.com
/
uid
12/12/2016 2.00.05
No
.advertising.com
/
ACID
11/06/2013 15.56.29
No
.gui.muc.domeus.com
/
OASISID
11/06/2013 15.43.02
No
www.bidplaza.it
/
cookies_bidster_affiliate
11/06/2013 13.43.56
No
www.bidplaza.it
/
country
11/06/2013 13.43.56
No
www.bidplaza.it
/
set_country
11/06/2013 13.43.56
No
.adobe.com
/
s_vi
22/05/2013 12.26.30
No
.msnaccountservices.112.2o7.net
/
s_vi
18/05/2013 16.34.39
No
.mozilla.com
/
s_vi
18/05/2013 16.08.29
No
media.adrevolver.com
/
BIGipServerar-slave
14/03/2013 19.08.18
No
.multiplayer.it
/
GUID
01/03/2012 2.16.28
No
.dada.it
/
GUID
01/03/2012 2.00.21
No
.flickr.com
/
cookie_l10n
17/06/2011 13.43.02
No
.live.com
/
s_lastvisit
19/05/2011 16.34.37
No
.mediaplex.com
/
svid
19/05/2011 6.05.22
No
.libero.it
/
Libero
23/09/2010 14.39.15
No
ad.yieldmanager.com
/
ih
24/07/2010 22.04.50
No
.ircnapoli.com
/
__utma
24/07/2010 20.26.15
No
.it.msn.com
28
/
__utma
24/07/2010 20.08.51
No
.google.com
/mail/help/
__utma
24/07/2010 19.38.02
No
.google.com
/mail/help/
__utmx
24/07/2010 19.38.02
No
.it.yahoo.com
/
WSCOUNT
24/07/2010 19.20.55
No
.google.com
/accounts/
__utma
24/07/2010 19.09.03
No
.www.google.it
/ig
IGTP
24/07/2010 18.55.05
No
.official-emule.com
/
__utmx
17/06/2010 13.51.06
No
.official-emule.com
/
__utmxx
17/06/2010 13.51.06
No
.official-emule.com
/
__utma
17/06/2010 13.51.06
No
.bidplaza.it
/
__utma
17/06/2010 13.43.39
No
.bbc.co.uk
/
BBCNewsAudcWght
17/06/2010 13.42.23
No
.bbc.co.uk
/
BBCNewsAudience
17/06/2010 13.42.23
No
.adtech.de
/
JEB2
12/06/2010 16.08.55
No
.domeus.de
/
__utma
12/06/2010 15.43.02
No
.youtube.com
/
__utma
12/06/2010 15.39.31
No
.wordpress.com
/
__utma
12/06/2010 15.37.50
No
.it-schools.com
/
__utma
12/06/2010 15.36.19
No
.cultura-italiana.it-schools.com
/
__utma
12/06/2010 15.16.28
No
.dynamick.it
/
__utma
12/06/2010 14.44.59
No
.counttonine.com
/
__utma
05/06/2010 14.01.01
No
.domeus.it
29
/
__utma
05/06/2010 14.00.52
No
.panorama.it
/
__utma
30/05/2010 16.29.40
No
.fiat.touchclarity.com
/
TCID
30/05/2010 15.17.27
No
.poigps.com
/
__utma
26/05/2010 16.23.53
No
.4chan.org
/
__utma
26/05/2010 16.23.08
No
.picasa.google.com
/
__utma
23/05/2010 12.34.48
No
.google.com
/accounts
__utma
23/05/2010 12.17.19
No
.google.it
/
PREF
21/05/2010 16.15.19
No
.mail.google.com
/support/
__utma
19/05/2010 17.48.41
No
.google.com
/
PREF
19/05/2010 17.21.05
No
.ilsoftware.it
/
__utma
19/05/2010 16.47.21
No
.sourceforge.net
/
__utma
19/05/2010 16.23.59
No
.sourceforge.net
/
__utmxx
19/05/2010 16.22.17
No
.sourceforge.net
/
__utmx
19/05/2010 16.22.17
No
.doubleclick.net
/
id
19/05/2010 14.06.50
No
.atdmt.com
/
AA002
19/05/2010 2.00.15
No
.yahoo.com
/
U
15/04/2010 22.00.15
No
.tribalfusion.com
/
ANON_ID
24/07/2009 19.15.51
No
.www.libero.it
/
ebNewBandWidth_.www.libero.it
24/07/2009 18.55.28
No
www.libero.it
/
LibHP
19/07/2009 18.46.25
No
.catfood.net
30
/
trackingCookie
17/06/2009 13.51.05
No
.answers.yahoo.com
/
answers
17/06/2009 13.50.56
No
.bidplaza.it
/
WRUID
17/06/2009 13.43.53
No
aus2.mozilla.org
/
aus
17/06/2009 13.20.53
No
ad.zanox.com
/
zptc
05/06/2009 14.23.04
No
.bbc.co.uk
/
BBC-UID
05/06/2009 14.01.39
No
ad.labpixies.com
/
OAID
27/05/2009 15.20.06
No
.ehg-deltatre.hitbox.com
/
DM53121875DVV6
26/05/2009 17.17.46
No
.ehg-deltatre.hitbox.com
/
DM53121822RFV6
26/05/2009 17.17.46
No
.hitbox.com
/
WSS_GW
26/05/2009 17.17.46
No
.www.poigps.com
/
phpbb2mysql_data
26/05/2009 16.27.21
No
.4chan.org
/
ws_style
26/05/2009 16.23.17
No
.trafficmp.com
/
fl_keywords
23/05/2009 12.05.17
No
.trafficmp.com
/
curl
23/05/2009 12.05.17
No
media.intelia.it
/
phpAds_id
23/05/2009 11.54.26
No
server.iad.liveperson.net
/
HumanClickID
23/05/2009 11.25.49
No
www.4chan.org
/
4chan_disclaimer
21/05/2009 16.14.00
No
www.fullnews.it
/
OAID
21/05/2009 15.56.20
No
mail.google.com
/support/
GmailUserLocale
19/05/2009 17.49.06
No
www.mozillaitalia.it
/
style
19/05/2009 17.42.41
No
.www.official-emule.com
31
/
style-/thunderbird/
19/05/2009 17.38.37
No
.support.microsoft.com
/
gssTHEME
19/05/2009 17.14.37
No
/
gssTOOLBAR
19/05/2009 17.14.37
No
/
gssSITE
19/05/2009 17.14.37
No
.revsci.net
/
rsi_segs_1000000
19/05/2009 17.04.20
No
.revsci.net
/
rsi_cls_1000000
19/05/2009 17.04.20
No
.download.mozilla.org
/
dmo
19/05/2009 14.03.43
No
.live.com
/
ANON
10/02/2009 3.30.18
No
.msn.com
/
ANON
09/02/2009 2.00.04
No
.google.com
/mail/help/
__utmz
23/01/2009 7.38.02
No
ad.yieldmanager.com
/
fl_inst
20/01/2009 22.04.50
No
metrixlablw.customers.luna.net
/
p08095_1a
20/01/2009 18.55.28
No
.imrworldwide.com
/cgi-bin
IMRID
19/01/2009 1.00.13
No
.yahoo.com
/
PH
19/12/2008 4.57.47
No
.cj399o2i-a.gmodules.com
/ig/
__utmz
19/12/2008 2.54.39
No
.domeus.de
/
__utmz
12/12/2008 3.43.02
No
.domeus.it
/
__utmz
12/12/2008 3.42.21
No
.youtube.com
/
__utmz
12/12/2008 3.38.33
No
.wordpress.com
/
__utmz
12/12/2008 3.37.50
No
.it-schools.com
/
__utmz
12/12/2008 3.21.15
No
www.mozillaitalia.it
32
/
__utmz
12/12/2008 3.16.28
No
.dynamick.it
/
__utmz
12/12/2008 2.44.59
No
.official-emule.com
/
__utmz
05/12/2008 2.23.09
No
.bidplaza.it
/
__utmz
05/12/2008 2.22.40
No
.counttonine.com
/
__utmz
05/12/2008 2.01.01
No
.26.gmodules.com
/ig/
__utmz
05/12/2008 2.00.56
No
.21.gmodules.com
/ig/
__utmz
05/12/2008 2.00.53
No
.catfood.net
/
__utmz
05/12/2008 2.00.52
No
it-alfaromeo.netmining.com
/
evo5
29/11/2008 15.17.49
No
.panorama.it
/
__utmz
29/11/2008 4.29.40
No
.poigps.com
/
__utmz
25/11/2008 4.23.53
No
.picasa.google.com
/
__utmz
22/11/2008 0.34.48
No
.google.com
/accounts
__utmz
22/11/2008 0.17.19
No
.ircnapoli.com
/
__utmz
21/11/2008 23.25.51
No
.4chan.org
/
__utmz
20/11/2008 4.10.01
No
.mail.google.com
/support/
__utmz
18/11/2008 5.48.41
No
.ilsoftware.it
/
__utmz
18/11/2008 4.47.21
No
.sourceforge.net
/
__utmz
18/11/2008 4.23.21
No
.mozilla.com
/
__utmz
18/11/2008 4.08.24
No
.mozilla-europe.org
/
__utmz
18/11/2008 3.03.52
No
.cultura-italiana.it-schools.com
33
/
NAP
02/11/2008 2.30.18
No
.msn.com
/
NAP
01/11/2008 2.00.04
No
.libero.it
/
LIB_ADV_CK
22/10/2008 18.55.45
No
.richmedia.yahoo.com
/
yrmf
17/10/2008 14.03.27
No
ad.yieldmanager.com
/
uid
23/08/2008 22.04.50
No
login.libero.it
/
LIB_LOG_CK
23/08/2008 18.55.45
No
mail.google.com
/mail
GX
07/08/2008 21.45.37
No
.yahoo.com
/
adx
04/08/2008 14.17.34
No
mail.google.com
/mail
gmailchat
31/07/2008 19.38.15
No
.live.com
34
5. CRONOLOGIA DI NAVIGAZIONE
Abbiamo recuperato la directory che firefox usa per memorizzare la cronologia dell’utente , che si
può
trovare
nel
percorso
:
C:\Documents
and
Settings\raffaele\Dati
applicazioni\Mozilla\Firefox\Profiles\umzu6o54.default . Copiando questa cartella in qualsiasi altro
pc che ha installato firefox otteniamo la cronologia dell’utente.
35
36
6. INFORMAZIONE SULLE ATTIVITA’ SVOLTE SUL SISTEMA CON ADEPTO
Abbiamo avviato HELIX LIVE CD sul sistema e per le ulteriori attività di analisi sulla immagine
virtuale del disco dell’indagato abbiamo preferito usare come tool AUTOPSY.
1. Abbiamo creato un NEW CASE
2. Abbiamo aggiunto l’immagine da analizzare che nel nostro caso è il file flat di WMWARE
37
3. Autopsy permette a questo punto di iniziare l’attività di analisi
4. Selezioniamo File Activity Lines per tracciare l’attività temporale sul sistema
38
5. Creata la timeline navighiamo tra i risultati
39
VISIONE DELLA CARTELLA PROGRAMMI CON TIMELINE
d/d
d/d
d/d
d/d
d/d
d / d
d/d
d/d
d/d
d/d
d/d
d/d
./
2008.06.09 08:55:34 (MDT)
(MDT)
56
2008.06.09 08:51:37 (MDT)
(MDT)
176
acpwd/
Adobe/
aMSN/
2008.06.19 06:06:43 (MDT)
(MDT)
272
2008.06.19 06:06:43
0
2008.05.23 04:40:23 (MDT)
(MDT)
480
2008.06.19 07:41:31 (MDT)
0
13238-144-1
2008.05.23 04:40:23
0
2008.05.19 08:46:15 (MDT)
(MDT)
648
2008.06.19 06:28:45 (MDT)
0
11243-144-1
2008.05.19 08:46:15
0
bfacs257/
2008.05.19 08:59:18 (MDT)
08:59:50 (MDT)
56
eMule/
2008.05.19 08:12:17 (MDT)
(MDT)
56
File comuni/
Google/
Internet Explorer/
Messenger/
0
2008.06.19 05:53:51 (MDT)
0
12574-144-5
Miranda IM/
mIRC/
2008.05.19 08:12:17
2008.06.19 06:56:25 (MDT)
0
3882-144-6
2008.06.09
0
2008.05.26 08:14:54 (MDT)
08:14:54 (MDT)
144
2008.06.17 06:41:20 (MDT)
0
14918-144-1
2008.05.26
0
2008.05.16 06:40:05 (MDT)
06:40:05 (MDT)
56
0
0
2008.06.09 08:48:39 (MDT)
08:48:39 (MDT)
552
0
2008.06.19 07:43:10 (MDT)
0
5345-144-6
2008.06.19 05:50:20 (MDT)
0
5214-144-6
0
2008.05.16
2008.05.16
2008.06.17 06:41:20 (MDT)
7371-144-1
2008.06.19 06:56:25 (MDT)
0
13075-144-1
2008.06.09
2008.06.09 08:51:37 (MDT)
08:51:37 (MDT)
288
2008.06.17 06:41:20 (MDT)
0
18257-144-1
2008.06.09
0
2008.05.19 08:31:26 (MDT)
08:31:26 (MDT)
56
2008.06.19 06:28:46 (MDT)
0
11111-144-6
2008.05.19
0
2008.06.17 06:41:35 (MDT)
(MDT)
56
Movie Maker/
2008.06.19 06:08:05 (MDT)
5242-144-1
2008.06.19 06:28:46 (MDT)
0
10457-144-5
microsoft frontpage/
2008.05.16 06:42:06 (MDT)
2008.05.16 06:42:06 (MDT)
152
0
Microsoft.NET/
0
2008.05.19
2008.06.09 08:48:29 (MDT)
08:48:29 (MDT)
56
2008.05.16 06:24:55 (MDT)
06:24:55 (MDT)
56
d/d
d/d
0
ComPlus Applications/
2008.05.16 06:25:53 (MDT)
2008.05.16 06:25:53 (MDT)
48
0
Microsoft Office/
d/d
2008.06.09 08:51:37
0
2008.06.19 06:48:34 (MDT)
0
3881-144-6
2008.06.19 06:09:41 (MDT)
0
12425-144-1
d/d
d/d
2008.06.09 08:55:34
48
2008.06.19 07:43:25 (MDT)
0
5-144-6
0
2008.05.16 06:29:08 (MDT)
06:29:08 (MDT)
56
2008.06.19 06:28:46 (MDT)
0
12618-144-5
0
2008.06.19 05:50:20 (MDT)
0
5552-144-6
2008.06.17 06:41:35
2008.05.16
../
40
d/d
d/d
d/d
d/d
d/d
d/d
d/d
d/d
d/d
d / d
d/d
Mozilla Firefox/
2008.06.19 06:54:04 (MDT)
06:54:04 (MDT)
168
0
2008.06.19 06:54:04 (MDT)
0
10668-144-6
2008.06.19
Mozilla Thunderbird/
2008.06.19 06:55:49 (MDT)
2008.06.19 06:55:49 (MDT)
176
0
0
2008.06.19 06:55:52 (MDT)
12878-144-6
MSN Gaming Zone/
2008.05.16 06:24:46 (MDT)
2008.05.16 06:24:46 (MDT)
144
0
0
2008.06.19 07:41:31 (MDT)
5183-144-1
NetMeeting/
2008.05.16 06:29:32 (MDT)
06:29:32 (MDT)
56
0
2008.06.19 05:50:20 (MDT)
0
5460-144-6
Outlook Express/
2008.05.16 06:29:25 (MDT)
2008.05.16 06:29:25 (MDT)
56
0
Picasa2/
2008.05.26 08:19:25 (MDT)
08:19:25 (MDT)
56
0
2008.05.16 06:31:17 (MDT)
06:31:17 (MDT)
464
0
2008.05.16 07:12:08 (MDT)
07:12:08 (MDT)
264
0
2008.05.16 06:24:18 (MDT)
06:24:18 (MDT)
56
0
0
2008.05.26
2008.06.17 06:29:03 (MDT)
12676-144-1
2008.05.16
2008.06.09 08:33:11 (MDT)
10133-144-1
2008.06.19 06:49:39 (MDT)
0
10183-144-1
Windows Media Player/
2008.05.16 06:39:41 (MDT)
2008.05.16 06:39:41 (MDT)
56
0
Windows NT/
0
2008.06.17 06:41:20 (MDT)
0
6278-144-1
Uninstall Information/
2008.05.16 06:58:45 (MDT)
2008.05.16 06:58:45 (MDT)
48
0
VMware/
2008.06.19 05:50:20 (MDT)
5440-144-6
2008.06.19 06:28:47 (MDT)
0
13235-144-5
ProcessExplorer/
2008.05.19 09:34:43 (MDT)
2008.05.19 09:35:08 (MDT)
360
0
Servizi in linea/
0
2008.05.16
2008.05.16
2008.06.19 06:54:41 (MDT)
5227-144-6
2008.06.19 07:41:31 (MDT)
0
4738-144-6
2008.05.16
0
2008.06.09 08:33:11 (MDT)
0
6281-144-1
2008.05.16
d/d
WindowsUpdate/
2008.05.16 06:31:27 (MDT)
06:31:28 (MDT)
48
0
d/d
WinRAR/
2008.05.19 08:55:15 (MDT)
08:55:15 (MDT)
56
2008.06.19 06:58:25 (MDT)
0
12480-144-5
2008.05.19
0
2008.05.19 08:51:11 (MDT)
08:51:11 (MDT)
56
2008.06.19 05:50:20 (MDT)
0
12439-144-5
2008.05.19
0
d/d
d/d
WinZip/
xerox/
2008.05.16 06:42:10 (MDT)
(MDT)
144
0
2008.06.17 06:41:20 (MDT)
0
7390-144-1
2008.05.16 06:42:10
d/d
41
VISIONE DELLA CARTELLA DELL’UTENTE CON TIMELINE
Wed May 21 2008 07:47:54
3321026 m..
-/-rwxrwxrwx
0
0
12820-128-4
C:/Documents and
Settings/raffaele/Documenti/eMule Downloads/Incoming/e-book/O'Reilly - Learning Python
(ebook).pdf
Wed May 21 2008 07:50:51
71993 m..
-/-rwxrwxrwx
0
0
12814-128-4
C:/Documents and
Settings/raffaele/Documenti/eMule Downloads/Incoming/e-book/[Ebook Ita] La dieta
Metabolica.pdf
Wed May 21 2008 07:51:08
4333528 m..
-/-rwxrwxrwx
0
0
12784-128-4
C:/Documents and
Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Coldplay - Yellow.mp3
Wed May 21 2008 07:54:22
198510 m..
-/-rwxrwxrwx
0
0
12825-128-4
Settings/raffaele/Desktop/Immagini/Hamsik-Lavezzi-Zalayeta.jpg
Wed May 21 2008 07:56:59
4556646 m..
-/-rwxrwxrwx
0
0
12792-128-4
C:/Documents and
Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Vasco Rossi - Sally.mp3
Wed May 21 2008 07:57:59
4920216 m..
-/-rwxrwxrwx
0
0
12781-128-4
C:/Documents and
Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Coldplay - Clocks.mp3
Wed May 21 2008 08:07:43
6070272 m..
-/-rwxrwxrwx
0
0
12801-128-4
C:/Documents and
Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Vasco Rossi - Gli angeli.mp3
14461515
m..
-/-rwxrwxrwx 0
0
12796-128-4
C:/Documents and
Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Vasco Rossi-Il Mondo Che
Vorrei.mp3
Wed May 21 2008 08:09:46
7495575 m..
-/-rwxrwxrwx
0
0
12795-128-4
C:/Documents and
Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/[Musica italiana] Vasco Rossi
- Senza parole -.mp3
Wed May 21 2008 08:12:52
7094400 m..
-/-rwxrwxrwx
0
0
12600-128-4
C:/Documents and
Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Coldplay - Fix You.mp3
Wed May 21 2008 08:13:45
16560 m..
-/-rwxrwxrwx
0
0
12822-128-4
Settings/raffaele/Desktop/Immagini/Ezequiel Lavezzi Calcio
Maradona.jpg
Wed May 21 2008 08:13:49
79752 m..
-/-rwxrwxrwx
0
0
12848-128-4
C:/Documents and
Settings/raffaele/Desktop/Immagini/lamborghini gallardo (i like ferrari , mercedes , bmw ,
aston martin , chevrolet corvette , dodge viper , mg , wrc , gallardo , diablo , lam.jpg
Wed May 21 2008 08:13:58
87504 m..
-/-rwxrwxrwx
0
0
12827-128-4
C:/Documents and
Settings/raffaele/Desktop/Immagini/lamborghini diablo gtr (i like ferrari , mercedes , bmw
, aston martin , chevrolet corvette , dodge viper , mg , wrc , gallardo , diablo , l.jpg
Wed May 21 2008 08:14:08
54049 m..
-/-rwxrwxrwx
0
Settings/raffaele/Desktop/Immagini/Calcio
l'allenamento.jpg
0
Napoli
12828-128-4
- El Pocho
C:/Documents and
Napoli Tatuaggio
C:/Documents and
Lavezzi durante
Wed May 21 2008 08:09:10
C:/Documents and
42
Mon May 26 2008 17:14:24
56 mac -/-rwxrwxrwx 0
0
15113-128-1
C:/Documents and Settings/raffaele/Dati applicazioni/Macromedia/Flash
Player/#SharedObjects/TUL5X5FX/server7.devteam.dk/pacman/pacman_lang2.swf/neaveP
acman.sol
144 mac d/drwxrwxrwx 0
0
13081-144-1
Player/#SharedObjects/TUL5X5FX/server7.devteam.dk
0
15108-144-1
Player/macromedia.com/support/flashplayer/sys/#server7.devteam.dk
0
15112-144-1
Player/#SharedObjects/TUL5X5FX/server7.devteam.dk/pacman/pacman_lang2.swf
0
15111-144-1
Player/#SharedObjects/TUL5X5FX/server7.devteam.dk/pacman
88 mac -/-rwxrwxrwx 0
0
15109-128-1
Player/macromedia.com/support/flashplayer/sys/#server7.devteam.dk/settings.sol
Mon May 26 2008 17:14:54
846 .a. -/-rwxrwxrwx 0
0
11597-128-3
C:/Programmi/aMSN/scripts/skins/default/pixmaps/miniinfo.png
0
11597-128-3
C:/Programmi/aMSN/scripts/skins/default/pixmaps/miniinfo.png (deleted-realloc)
Mon May 26 2008 17:14:56
0
11598-128-4
C:/Programmi/aMSN/scripts/skins/default/pixmaps/minijoins.png
0
11598-128-4
Data
Operazione
Maggio 19 2008
Ha installato : firefox, amsn, emule, miranda, Winrar e winzip,
open SSL, Process Explorer
Maggio 21 2008
Ha scaricato immagini, e-book, mp3
Maggio 23 2008
Ha installato Acrobat Reader
Maggio 26 2008
Installazione picasa, e ha giocato a PACMAN cercando
estensioni .swf
REPORT SUMMARY - INFORMAZIONE SULLE ATTIVITA’ SVOLTE SUL SISTEMA CON ADEPTO
43
7. DATI RECENTI DELL’UTENTE
Autopsy string Report
---------------------------------------------------------------------GENERAL INFORMATION
File: C:/Documents and Settings/raffaele/Impostazioni
locali/Cronologia/History.IE5/MSHist012008061920080620/index.dat
MD5 of file: ed9f9dbf9fda85c9e98801de1b655dcd
SHA-1 of file: f02646a9668fdeaf80b26a495e8830e0e86ed5c2
MD5 of ASCII strings: 6cf47d07c969c4a030e4bbd24c9a3197
SHA-1 of ASCII strings: 15a7159445a11f72f633a3bec14b55eb5713a699
Image: '/home/knoppix/pyflag/evidence/vm3/vm3Host/images/xp_raffaele_gaitoflat.vmdk'
Offset: 63 to 8369864
File System Type: ntfs
Date Generated: Thu Jul 17 03:58:54 2008
Investigator: unknown
---------------------------------------------------------------------META DATA INFORMATION
MFT Entry Header Values:
Entry: 15004
Sequence: 8
$LogFile Sequence Number: 71808084
Allocated File
Links: 1
$FILE_NAME Attribute Values:
Flags: Archive
Name: index.dat
Parent MFT Entry: 11054
Sequence: 10
Allocated Size: 0
Actual Size: 0
Created:
Thu Jun 19 13:50:37 2008
File Modified:
Thu Jun 19 13:50:37 2008
MFT Modified:
Thu Jun 19 13:50:37 2008
Accessed:
Thu Jun 19 13:50:37 2008
Attributes:
Type: $STANDARD_INFORMATION (16-0)
Name: N/A
Resident
size: 72
Type: $FILE_NAME (48-2)
Name: N/A
Resident
size: 84
Type: $DATA (128-3)
Name: $Data
Non-Resident
size: 32768
3132 3133 3134 3135 3187 3188 3189 3190
File Type: Error getting file type
$STANDARD_INFORMATION Attribute Values:
Flags: Archive
Owner ID: 0
Created:
Thu Jun 19 13:50:37 2008
File Modified:
Thu Jun 19 13:43:20 2008
MFT Modified:
Thu Jun 19 14:56:24 2008
Accessed:
Thu Jun 19 13:50:37 2008
44
Client UrlCache MMF Ver 5.2
HASH
URL
:2008061920080620:
raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo
kmark%20firefox/5giornifa.txt
URL
:2008061920080620: raffaele@:Host: Risorse del computer
URL
:2008061920080620:
kmark%20firefox/Nuovo%20Documento%20di%20testo.txt
URL
:2008061920080620:
kmark%20firefox/collage.jpg
URL
:2008061920080620:
kmark%20firefox/PasswordSistema%26AccountWeb.doc
URL
:2008061920080620:
kmark%20firefox/6giornifa.txt
URL
:2008061920080620:
kmark%20firefox/accpwd.txt
URL
:2008061920080620:
kmark%20firefox/report.doc
URL
:2008061920080620:
kmark%20firefox/oggi.txt
URL
:2008061920080620:
kmark%20firefox/cronologia_firefox.doc
URL
:2008061920080620:
kmark%20firefox/c-programmi.JPG
URL
:2008061920080620:
kmark%20firefox/Report_Scala_Santolo.doc
----------------------------------------------------------------------
---------------------------------------------------------------------CONTENT
45
VERSION INFORMATION
Autopsy Version: 2.08
The Sleuth Kit Version: 2.09
Visited: raffaele@file:///D:/SERIALE.TXT
Visited:
raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/prova_inglese_scuole_m
edie/Free%20Time%20Activities.doc
Visited:
raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/prova_inglese_scuole_m
edie/Free%20Time%20Activities.rar
Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/bookmarks.html
Visited:
raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cprogrammi.JPG
Visited:
raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/Nuova%20cartella/oggi.t
xt
Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/6giornifa.txt
Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/5giornifa.txt
Visited:
raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/Nuovo%20Documento%
20di%20testo.txt
Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/accpwd.txt
Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/ghgh.txt
Visited:
raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26bookmark
%20firefox/5giornifa.txt
Visited:
raffaele@file:///C:/Documents%20and%20Settings/raffaele/Documenti/Immagini/Esportazioni
%20Picasa/Esportazione%20Picasa/collage.jpg
Visited:
raffaele@file:///C:/Documents%20and%20Settings/raffaele/Documenti/eMule%20Downloads/
Incoming/e-book/Ebook%20-%20Ita%20-%20104%20Barzellette%20Brevi.pdf
Visited:
raffaele@file:///C:/Documents%20and%20Settings/raffaele/Documenti/eMule%20Downloads/
Incoming/e-book/O'Reilly%20-%20Learning%20Python%20(ebook).pdf
Visited:
%20firefox/Nuovo%20Documento%20di%20testo.txt
Visited:
%20firefox/oggi.txt
Visited:
%20firefox/6giornifa.txt
Visited:
%20firefox/accpwd.txt
Visited:
%20firefox/report.doc
Client UrlCache MMF Ver 5.2
46
Visited:
%20firefox/cronologia_firefox.doc
Visited:
%20firefox/c-programmi.JPG
Visited:
%20firefox/Report_Scala_Santolo.doc

http://www.sleuthkit.org – sito ufficiale dello Sleuth Kit,

http://www.stevelab.net/deft – sito ufficiale di DEFT Linux

http://www.forensikswiki.org – un wiki dedicato alla Computer Forensics.

http://www.afflib.org – sito ufficiale dell'Advanced Forensics Format

http://www.fbi.gov/hq/lab/org/cart.htm

Materiale rieditato nell’articolo: Introduzione all’informatica forense, in La sicurezza preventiva
dell'informazione e della comunicazione, P. Pozzi (a cura), FrancoAngeli, 2004
FONTI BIBLIOGRAFICHE
47

Analisi Forense - D`Amato Angelo

Transcript

Documenti analoghi

Stefano Salvatori Introduzione alla progettazione con gli

scadenza ottobre

Granulomatosi con poliangite: stato dell`arte multidisciplinare su

Visualizza il PDF dell`indice

vedi comunicato stampa

I Fiori delle Fate delle Acque capitolo n.1 di una

determina - Comune di Vicenza

Marco Catena - Ospedale San Raffaele

indice generale

giulia bongiorno - Gigliola Ibba