Analisi Forense - D`Amato Angelo
Transcript
Analisi Forense - D`Amato Angelo
Corso di Sicurezza su reti II Anno accademico 2007-2008 Prof. A. De Santis Dott. L. Catuogno ANALISI FORENSE: Versione 0.1 Capitolo: Parte prima: INFORMAZIONI GENERALI Gruppo CA 1 SOMMARIO Parte prima: INFORMAZIONI GENERALI ............................................................................................................................ 3 Parte seconda: SCHEDA TECNICA ...................................................................................................................................... 4 Introduzione .............................................................................................................................................................. 4 Gestione delle prove ................................................................................................................................................. 5 Software open source per l'acquisizione forense .................................................................................................... 6 Tool di helix utilizzati................................................................................................................................................. 7 Autopsy ................................................................................................................................................................. 7 ANALISI FORENSE........................................................................................................................................................... 8 1. ACQUISIZIONE................................................................................................................................................... 8 2. RECUPERO DELLE PASSWORD DI SISTEMA ...................................................................................................... 8 3. RECUPERO DELLE PASSWORD INSTANT MESSENGER, MAIL E INFO TROVATE .............................................. 9 Messenger ........................................................................................................................................................... 10 Mail...................................................................................................................................................................... 16 mIRC .................................................................................................................................................................... 17 Thunderbird ........................................................................................................................................................ 19 NOTE .................................................................................................................................................................... 20 SUMMARY REPORT RECUPERO DELLE PASSWORD INSTANT MESSENGER, MAIL E INFO SCOPERTE ................... 22 4. INFO DI NAVIGAZIONE ................................................................................................................................... 23 5. CRONOLOGIA DI NAVIGAZIONE .................................................................................................................... 35 6. INFORMAZIONE SULLE ATTIVITA’ SVOLTE SUL SISTEMA CON ADEPTO ........................................................ 37 VISIONE DELLA CARTELLA PROGRAMMI CON TIMELINE ................................................................................... 40 REPORT SUMMARY - INFORMAZIONE SULLE ATTIVITA’ SVOLTE SUL SISTEMA CON ADEPTO ............................. 43 7. DATI RECENTI DELL’UTENTE ........................................................................................................................... 44 FONTI BIBLIOGRAFICHE ................................................................................................................................................ 47 Capitolo: Parte prima: INFORMAZIONI GENERALI VISIONE DELLA CARTELLA DELL’UTENTE CON TIMELINE ................................................................................... 42 2 PARTE PRIMA: INFORMAZIONI GENERALI NOME DEL GRUPPO CaMail DENOMINAZIONE CA COMPONENTI CAROTENUTO FRANCESCO 0521000582 D’AMATO ANGELO 0521000698 ELETTO ANTONIO 0521000742 SCARPA DARIO 0521000692 MISSIONE Svolgere attività di analisi forense su una data macchina e effettuare su di essa le seguenti fasi : individuazione, conservazione, protezione, estrazione, documentazione, e ogni altra forma di trattamento e interpretazione del dato memorizzato su supporto informatico, al fine di essere valutato come prova nei processi giudiziari. Nel dettaglio produrre documentazione ai fini probatori ai processi, e usare le tecniche e gli strumenti per l’esame metodologico dei sistemi informatici, nonché l’analisi forense di ogni sistema informatico e telematico, l’esibizione della prova elettronica, l’esibizione del dato digitale, il recupero di dati e la loro esibizione, l’analisi ed esame del sistema informatico e telematico. PROGETTO L’intenzione del gruppo è di realizzare la missione utilizzando tutti gli strumenti Open Source che risultino affidabili e facilmente reperibili e che naturalmente non comportano acquisto e rinnovo delle licenze. Capitolo: Parte prima: INFORMAZIONI GENERALI INFORMAZIONI GENERALI 3 PARTE SECONDA: SCHEDA TECNICA DESCRIZIONE ANALISI FORENSE INTRODUZIONE La data di nascita della Computer forensics è il 1984, quando il laboratorio scientifico dell’FBI e altre agenzie investigative americane iniziarono a sviluppare programmi da utilizzare nell’esame dei dati presenti nei computer. Nello stesso anno, per rispondere alla crescente richiesta di investigazioni in ambito informatico, fu creato, all’interno dell’FBI, il Computer Analysis and Response Team (CART) con il compito fondamentale di procedere nei casi in cui si rende necessaria l’analisi di un computer. Significativi passi iniziali sono rappresentati dalla creazione, nel 1996, del Nucleo Operativo di Polizia delle Telecomunicazioni, e dalla istituzione, nel 1998, del Servizio di Polizia Postale e delle Telecomunicazioni, all’interno del quale sono confluite le risorse del citato Nucleo e della Divisione della Polizia Postale. Gli scopi dell’informatica forense sono di conservare, identificare, acquisire, documentare e interpretare i dati presenti su un computer. A livello generale si tratta di individuare le modalità migliori per : - acquisire le prove senza alterare o modificare il sistema informatico su cui si trovano, garantire che le prove acquisite su altro supporto siano identiche a quelle originarie, analizzare i dati senza alterarli. In sintesi, di “dare voce alle prove”. Importanti aspetti della disciplina riguardano, a un livello di maggior dettaglio, il ruolo della progettazione e mantenimento di una catena di custodia e gli argomenti principali da prendere in esame quando si presentano prove in sede processuale. Il sistema informatico oggetto dell’indagine può essere un personal computer o un server isolato, nel qual caso si parla di computer forensics, ovvero può trattarsi di almeno due elaboratori connessi tra loro; in tal caso si parla di network forensics. Capitolo: Parte seconda: SCHEDA TECNICA L’informatica forense comprende le attività di verifica dei supporti di memorizzazione dei dati e delle componenti informatiche, delle immagini, audio e video generate da computer, dei contenuti di archivi e basi dati e delle azioni svolte nelle reti telematiche. 4 GESTIONE DELLE PROVE Se si analizza in dettaglio un qualsiasi personal computer si possono conoscere attività, gusti, pensiero di chi l’utilizza; l’analisi dei sistemi è dunque utile per condurre indagini e per acquisire prove inerenti a eventi legati alla vita del suo utilizzatore. Per l’acquisizione delle prove da un sistema informatico il modo migliore è quello di poter accedere al sistema con il ruolo di amministratore di sistema, senza togliere la corrente elettrica, in modo da poter consultare anche la memoria Ram che viene “cancellata” in caso di spegnimento. Non meno importante risulta la gestione degli elementi di prova acquisiti, il loro trasporto e archiviazione per evitare che le stesse vengano alterate o comunque possa essere in discussione la loro integrità. A tale scopo risulta utile l’utilizzo di strumenti di firma digitale o la predisposizione di verbali che documenti dall’inizio del procedimento la vita e la custodia delle prove acquisite. La catena di custodia permette di garantire che non si sono prodotte alterazioni ai dati dal momento del loro sequestro al momento del dibattimento e per tutte le fasi dell’iter processuale. Per quanto riguarda l’autenticazione delle prove va dimostrato che essa è stata eseguita senza modificare o in qualche modo turbare il sistema e le prove stesse vanno autenticate e verificate temporalmente con opportuni programmi di utilità in modo da poter facilmente dimostrare in sede di giudizio che le operazione di riproduzione delle prove è stata eseguita nei modi e nei tempi indicati. Per l’analisi delle prove occorre rispettare due principi: i dati oggetto dell’analisi non devono venire alterati e, senza entrare qui in dettagli di geometria dei dischi e dei supporti magnetici, un’analisi dettagliata non dovrà essere eseguita solo all’interno dei file ma anche nei settori del supporto magnetico lasciati liberi (slack space, aree non allocate e aree di swap del sistema operativo) che contengono comunque dati registrati e cancellati in precedenza ovvero dati che qualcuno desidera “nascondere”. 1 va accuratamente verificato lo stato di ogni supporto magnetico, vanno ispezionati quaderni, fondi di tastiera e monitor per individuare eventuali password, va ricostruita (tracing) l’attività di un accesso abusivo dalla rete, vanno individuati virus e altro software malevolo, va ricostruita la successione dei compiti e delle azioni, vanno confrontati tra loro gli indizi, va individuato il ruolo che assume il sistema oggetto della indagine, In Italia dottrina e giurisprudenza relative a temi di informatica forense sono presenti per: riciclaggio di denaro e reati tributari, omicidio intenzionale, frodi alle assicurazioni, uso per scopo personale delle attrezzature informatiche del datore di lavoro, decifrazione di dati, violazione del diritto d’autore, abusi sessuali, distruzione di dati o accesso abusivo e conseguente estrazione non autorizzata di dati, alterazione di dati od uso improprio di programmi, detenzione e distribuzione di materiale pornografico, uso improprio della posta elettronica, diffamazione, contratti a oggetto informatico. Capitolo: Parte seconda: SCHEDA TECNICA Il principio di fondo è quello di non dare nulla per scontato e quindi, adattando alla situazione italiana alcune linee guida autorevoli ( 1 ): 5 - va considerato il ruolo delle persone che utilizzano il sistema per individuare eventuali individui indiziati, informati dei fatti o in grado di rivelare la password, va effettuato un accurato inventario delle attrezzature ispezionate, è opportuno ripetere due volte le analisi per avere certezza della meticolosità delle operazioni eseguite. SOFTWARE OPEN SOURCE PER L 'ACQUISIZIONE FORENSE La nostra scelta è ricaduta su Helix, una distribuzione linux LIVE-CD specializzata per l’analisi forense che offre un ambiente grafico a finestre che ci mette a disposizione vari strumenti di acquisizione ed analisi, come il celeberrimo Autopsy, l'Adepto, il foremost e PyFlag, visualizzatori di immagini, suoni e video, un'intera suite di Open Office e così via. Helix è un laboratorio su Live Cd, che si contraddistingue per una caratteristica importante, non può in alcun modo scrivere nell’hard disk ne sui supporti di memorizzazione di massa del Pc sul quale è in esecuzione. Tuttavia permette di masterizzare dei CD o DVD per l’esportazione dei dati. Se volete clonare l’hard disk incriminato su un altro HD ethernet potete scegliere l’opzione all’avvio. I principali strumenti che avrete a disposizione installando Helix sono i seguenti : Adepto: Esegue una copia del disco selezionato ed esegue l’hash del file-immagine Retriever: Esegue una ricerca sui dispositivi di immagini, audio e video RegViewer: Visualizzatore del Registro di Windows HexEditor: Editor Esadecimale Ethereal: Strumento per l’analisi delle reti Clam AV e F-Prot: Software antivirus Galleta: Cookie analyzer per Internet Explorer Autopsy: Web front-end a sleuthkit. Capitolo: Parte seconda: SCHEDA TECNICA 6 TOOL DI HELIX UTILIZZATI A UTOPSY Autopsy costituisce un ottimo framework open source per l'analisi di immagini e device con supporto ad alcuni (manca purtroppo il supporto per i file system hfs e hfs+) dei più diffusi file system come: FAT 12, 16 e 32 NTFS EXT 2 e 3 UFS ISO 9660 File System per sistemi Solaris File System per sistemi Bsd e Free Bsd Raw Swap. Autopsy è una interfaccia grafica ai tool presenti in Sleuth Kit2, che ci permettono di condurre agevolmente una investigazione in maniera più semplice possibile. Diversamente dalla maggior parte delle piattaforme di computer forensics, la struttura è completamente modulare questo perché SleuthKit non è un programma ma un insieme di tool a linea di comando, ognuno dei quali esegue operazioni specifiche; Autopsy invece fornisce l'interfaccia grafica e l'ambiente di collegamento dei vari programmi. La caratteristica che lo rende un software per la computer forensics è la garanzia di inalterabilità dei dati analizzati questo perché l'accesso ad essi viene effettuato in sola lettura con controlli che impongono agli applicativi, che compongono lo sleuthkit, una inalterabilità dei file posti ad analisi. Le principali funzioni di Autopsy sono: analisi di device recupero ed esportazione di file cancellati ricerche con parole chiave su file, settori allocati e non allocati analizzare ogni singolo inode del device acquisito creazione di timeline aggiungere note di contorno al caso creazione di report automatici riassuntivi del caso 2 Sleuth Kit è una collezione di tool a linea di comando per condurre analisi forense. Capitolo: Parte seconda: SCHEDA TECNICA calcolo di hash md5 7 ANALISI FORENSE 1. ACQUISIZIONE Non c’è stato bisogno di acquisire l’immagine della macchina dell’indagato per il fatto che avevamo già l’immagine del file vmware e abbiamo utilizzato direttamente quella per procedere all’analisi. E abbiamo fatto una firma HASH MD5 della immagine per dimostrare che la copia non è stata compromessa durante l’acquisizione e l’analisi. 2. RECUPERO DELLE PASSWORD DI SISTEMA Capitolo: Parte seconda: SCHEDA TECNICA Il tool utilizzato per questa fase è Ophcrack . Ophcrack è un programma che estrae le password di sistema di windows. Si basa su un algoritmo che mette in relazione memoria e tempo usando le tabelle rainbow. Si tratta di una variante dell’algoritmo di Hellman ma più efficiente. Recupera infatti, fino al 99% delle password nel giro di pochi secondi, localizza gli utenti nel sistema Windows ed inizia ad effettuare il cracking delle loro password. Il processo è completamente automatico, non è richiesta nessuna competenza o operazione aggiuntiva. Alla fine dell’operazione come in figura la password è mostrata a schermo. 8 3. RECUPERO DELLE PASSWORD INSTANT MESSENGER, MAIL E INFO TROVATE Dopo aver recuperato la password dell’account amministratore di windows XP, il sistema operativo utilizzato dall’indagato, abbiamo avviato il sistema usando VMWARE. Con questo procedimento abbiamo scoperto la password dell’account [email protected] che è risultata essere nol4vezzinop4rty , e che inoltre sono anche le stesse credenziali usate per AOL instant messenger. Capitolo: Parte seconda: SCHEDA TECNICA Per questo task abbiamo utilizzato degli strumenti offerti dalla versione eseguibile di Helix. Per analizzare gli account instant messenger utilizzati dall’indagato abbiamo utilizzato il tool MessenPass. 9 M ESSENGER Capitolo: Parte seconda: SCHEDA TECNICA Successivamente ci siamo connessi al servizio di instant messaging MSN utilizzando il tool di accesso amsn inserendo le credenziali dell’indagato. 10 Conversazioni msn trovate [email protected] [Conversation started on 05/26/08 17:20:21] [05/26/08 17:20:21 ] Ezechiele : heila ke combini?^__^ [05/26/08 17:20:38 ] Lady Xana : ezekiele \°°/ ……. [email protected] [Conversation started on 05/26/08 16:55:50] [05/26/08 16:55:50 ] Ezechiele : ok andata [05/26/08 16:55:55 ] [b][c=38];) ...K!r@/CuB@l!br&... (d) (8) ValeEeEe...tvtb! MUA! [/b][/c=39] {AppenaEntriTrillaKeNùTeVedo} : seraaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Capitolo: Parte seconda: SCHEDA TECNICA … 11 Successivamente siamo entrati nella mail dell’account [email protected] Non sono risultate e-mail interessanti dal punto di vista di profiling dell’utente. Capitolo: Parte seconda: SCHEDA TECNICA Abbiamo scoperto che il 19/05/2008 è stato creato un nuovo account gmail per questo utente. 12 Per recuperare informazioni sugli account mail memorizzati nei client di posta elettronica abbiamo usato il tool Mail PassView. Ne è risultato che l’utente ha due account mail : uno su gmail e l’altro su yahoo, ma le informazioni sulle password non sono state memorizzate nella cache del client di posta utilizzato. La password memorizzata nel browser è mostrata con gli asterischi pertanto abbiamo utilizzato un script javascript che ci permette di recuperare in maniera leggibile le informazioni sulla password. Non richiede alcun software per rivelare le password nascoste sotto gli asterischi e non si deve perdere il tempo in cracking master password. Capitolo: Parte seconda: SCHEDA TECNICA Abbiamo verificato inoltre, la possibilità che le credenziali di accesso siano invece state memorizzare tra le password del browser. Quindi abbiamo acceduto alle due pagine principali di yahoo e gmail, da questo ne è risultato che l’utente ha memorizzato la password solo per l’account di gmail. 13 Codice identato per scoprire la password memorizzata nel browser. javascript:( function(){ var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() == "password") s += f[i].value + "\n"; } } if (s) alert("Passwords in forms on this page:\n\n" + s); else alert("There are no passwords in forms on this page."); } Capitolo: Parte seconda: SCHEDA TECNICA )(); 14 Lo script precedente deve essere digitato o incollato nella barra degli indirizzi dove è presente il form di login non le credenziali dell’utente. Capitolo: Parte seconda: SCHEDA TECNICA Da questo procedimento ne è risultato che la password di [email protected] è nol4vezzinop4rty. 15 M AIL Poi abbiamo effettuato l’accesso all’account di gmail per recuperare altre eventuali informazioni utili. Dalla mail ricevuta non ne risultano informazioni utili tranne il fatto che l’utente si è iscritto : il 5/05/2008 alla newsletter di corriere.it il 23/06/2008 a www.PoiGPS.com (che è l’acronimo di Punti di interesse per Navigatori Satellitari) Il 12/06/2008 si è iscritto a www.domeus.it (una community per la creazione di newsletter e mailing list ) Capitolo: Parte seconda: SCHEDA TECNICA Schermata mail ricevuta 16 M IRC Capitolo: Parte seconda: SCHEDA TECNICA schermata con i dati di accesso dell’utente 17 Capitolo: Parte seconda: SCHEDA TECNICA Poi abbiamo visto i log di mirc con tutte le informazioni che non riportiamo nella suddetta documentazione perché sono tanti file . Abbiamo salvato la schermata dei file di log che aveva incluse tutte le conversazioni e le informazioni di status. 18 T HUNDERBIRD Per scoprire ulteriori informazioni abbiamo utilizzato il client di posta usato dall’indagato e abbiamo scoperto ulteriori attività dell’utente sul web oltre alle mail ricevuto sull’account di yahoo di cui non avevamo ancora notizia . Dall’analisi delle mail abbiamo constatato che : Il 05/06/2008 14:16 iscrizione a www.Yahoo.it Il 12/06/2008 15:20 Iscrizione a www.it-schools.com Il 12/06/2008 16:08 Iscrizione al gruppo moderatori-it di yahoo.it Il 12/06/2008 16:08 Ha creato un gruppo pamaran51 su yahoo.it Il 12/06/2008 16:16 Si è iscritto al gruppo Kickoffworld su yahoo.it Il 12/06/2008 16:17 Si è iscritto al gruppo Interfaccecognitive su yahoo.it Il 12/06/2008 16:19 Si è iscritto al gruppo Iritalyforum su yahoo.it Il 12/06/2008 16:21 Si è iscritto al gruppo solonapoli, cnl-settimanale su yahoo.it Capitolo: Parte seconda: SCHEDA TECNICA Il 5/06/2008 15:38 Registrazione alla newsletter di www.lastampaweb.it 19 NOTE Abbiamo constatato che l’utente aveva installato Blowfish Advanced CS, e aprendo questo tool abbiamo scoperto che c’era un file cifrato di nome accpwd.txt.bfa. Aprendo questo file il programma ci chiedeva di inserire una password per decifrare il suddetto file. La cosa più semplice che abbiamo pensato è quella che l’utente abbia usato come chiave la stessa password che usava per accedere al sistema cioè paraman. Abbiamo così scoperto che in questo file c’erano tutte le credenziali di accesso già trovate . Capitolo: Parte seconda: SCHEDA TECNICA Schermata di richiesta password, noi inseriremo paraman. 20 Capitolo: Parte seconda: SCHEDA TECNICA Ecco il file cifrato con le password del sistema, messenger, google, yahoo. 21 SUMMARY REPORT RECUPERO DELLE PASSWORD INSTANT MESSENGER, MAIL E INFO SCOPERTE Data Operazione 19/05/2008 17:13 si è connesso con mIRC sul canale Napoli 19/05/2008 17:19 Si è iscritto a gmail con l’account [email protected] 21/05/08 15:38:51 DOWNLOAD DA MIRC del file Speed.Racer.2008.iTALiAN.MD.CAM.XviD-MvN 23/05/2008 12:16 Iscrizione al sito www.PoiGPS.com (che è l’acronimo di Punti di interesse) 26/05/08 16:55:50 Conversazione MSN con [email protected] 26/05/08 17:20:21 Conversazione MSN con [email protected] Mail di benvenuto di www.Yahoo.it 05/06/2008 14:16 Si è iscritto alla newsletter di www.corriere.it 5/06/2008 14:31 Registrazione alla newsletter di www.lastampaweb.it 12/06/2008 15:20 Iscrizione a www.it-schools.com 12/06/2008 si è iscritto a www.domeus.it (una community per la creazione di newsletter e mailing list ) 12/06/2008 16:08 Iscrizione al gruppo moderatori-it, Kickoffworld, Interfaccecognitive, Iritalyforum, solonapoli, cnl-settimanale su yahoo.it Accesso a mIRC al canale azzurra fallito 17/06/2008 Capitolo: Parte seconda: SCHEDA TECNICA 5/06/2008 15:38 22 4. INFO DI NAVIGAZIONE Abbiamo il tool Mozilla CokiesView per avere una panoramica sui siti visitati dall’utente. Report generato da questo tool : Path Name Expiration Date Secure .tribalfusion.com / TfAdCountMap 11/08/2076 22.30.24 No .tribalfusion.com / TfAdCountDate 11/08/2076 22.30.24 No .tribalfusion.com / TfCtxtAdServer 11/08/2076 22.30.24 No .overture.com / CMUserData 03/10/2056 6.36.37 No .revsci.net / NETID01 11/05/2040 17.04.20 No feeds.feedburner.com /~s/ fbsite 05/06/2038 14.44.54 No Capitolo: Parte seconda: SCHEDA TECNICA Domain 23 / A 19/05/2038 17.34.18 No .bidvertiser.com / bdv_cpk 18/01/2038 2.00.04 No .bidvertiser.com / __qca 18/01/2038 2.00.00 No .cj399o2i-a.gmodules.com /ig/ __utma 18/01/2038 2.00.00 No .wordpress.com / __qca 18/01/2038 2.00.00 No .counttonine.com / __qca 18/01/2038 2.00.00 No .26.gmodules.com /ig/ __utma 18/01/2038 2.00.00 No .21.gmodules.com /ig/ __utma 18/01/2038 2.00.00 No .4chan.org / __qca 18/01/2038 2.00.00 No .mozilla-europe.org / __utma 18/01/2038 2.00.00 No .mozilla.com / __utma 18/01/2038 2.00.00 No .serving-sys.com / U 01/01/2038 0.00.14 No .serving-sys.com / A2 01/01/2038 0.00.01 No .serving-sys.com / B2 01/01/2038 0.00.01 No .serving-sys.com / C3 01/01/2038 0.00.01 No .serving-sys.com / D3 01/01/2038 0.00.01 No .bs.serving-sys.com / eyeblaster 01/01/2038 0.00.01 No .serving-sys.com / E2 01/01/2038 0.00.00 No .login.live.com / MSPPre 30/12/2037 18.00.11 No .live.com / MH 30/12/2037 18.00.05 No Capitolo: Parte seconda: SCHEDA TECNICA .microsoft.com 24 / wlidperf 30/12/2037 18.00.00 No .hotmail.msn.com / HMP1 30/12/2037 2.00.15 No .yahoo.com / Y 02/06/2037 22.00.51 No .egroups.com / BX 02/06/2037 22.00.51 No .yahoo.com / T 02/06/2037 22.00.18 No .yahoo.com / B 02/06/2037 22.00.18 No .yahoo.com / F 02/06/2037 22.00.18 No .yahoo.com / YLS 15/04/2037 22.00.00 No .ad.uk.tangozebra.com /a TZID 01/01/2035 2.00.51 No www.dynamick.it / fbbb_ 08/12/2030 14.49.33 No .tradedoubler.com / TD_UNIQUE_IMP 14/06/2028 14.01.23 No .tradedoubler.com / TD_EH_0 31/05/2028 14.22.27 No .quantserve.com / mc 16/05/2028 16.10.00 No .quantserve.com / uid 16/05/2028 16.10.00 No .tradedoubler.com / TradeDoublerGUID 16/05/2028 15.33.01 No .download.com / DOWNLOADsearchab 14/05/2028 16.30.29 No .msn.com / MC1 04/10/2021 12.00.00 No .repubblica.it / RMFW 01/01/2021 2.01.31 No .repubblica.it / RMFD 01/01/2021 2.01.31 No .kataweb.it / RMID 01/01/2021 2.00.34 No Capitolo: Parte seconda: SCHEDA TECNICA .live.com 25 / RMID 01/01/2021 2.00.22 No .rcsadv.it / RMFS 01/01/2021 2.00.16 No .rcsadv.it / RMFD 01/01/2021 2.00.16 No .live.com / MUID 01/01/2021 2.00.14 No .ilsole24ore.it / RMID 01/01/2021 2.00.13 No .msn.it / MUID 01/01/2021 2.00.13 No .rcsadv.it / RMID 01/01/2021 2.00.12 No .msn.com / MUID 01/01/2021 2.00.04 No em.pc-on-internet.com / hd_uid 16/03/2020 3.01.38 No em.gad-network.com / hd_uid 16/03/2020 3.00.41 No em.gad-network.com / eas_pc 16/03/2020 3.00.40 No www.euro2008.uefa.com / CP 01/01/2020 2.00.00 No statse.webtrendslive.com / ACOOKIE 22/07/2018 22.01.48 No .corriere.it / WT_FPC 22/07/2018 21.01.47 No .google.it / SID 22/07/2018 19.38.12 No .google.com / SID 22/07/2018 19.38.11 No www.google.com /accounts GAUSR 22/07/2018 19.38.11 Yes www.google.com /accounts LSID 22/07/2018 19.38.11 Yes .libero.it / WMAIL 22/07/2018 19.15.31 No .google.com / rememberme 17/06/2018 14.55.38 No Capitolo: Parte seconda: SCHEDA TECNICA .repubblica.it 26 / cP 15/06/2018 15.52.49 No .repubblica.it / cP 15/06/2018 15.45.43 No .gazzetta.it / WT_FPC 15/06/2018 12.55.54 No .yahoo.com / s_vsn_yahoogroupsygprod_1 12/06/2018 15.14.15 No .snap.com / user 10/06/2018 15.37.50 No www.lastampa.it / WEBTRENDS_ID 03/06/2018 14.38.28 No .youtube.com / LOCALE_PREFERENCE 03/06/2018 14.07.50 No .youtube.com / VISITOR_INFO1_LIVE 03/06/2018 14.07.50 No www.youtomb.com / clid 23/05/2018 12.05.15 No .microsoft.com / MC1 19/05/2018 17.14.36 No .download.com / XCLGFbrowser 19/05/2018 16.30.33 No .com.com / XCLGFbrowser 19/05/2018 16.30.32 No m.webtrends.com / ACOOKIE 17/05/2018 17.34.20 No .microsoft.com / WT_NVR_RU 17/05/2018 17.34.18 No .technet.microsoft.com / WT_NVR 17/05/2018 17.34.18 No .imrworldwide.com /cgi-bin V5 17/05/2018 16.18.28 No .microsoft.com / WT_FPC 17/05/2018 7.34.18 No .update.microsoft.com / WT_FPC 17/05/2018 6.16.26 No .it.msn.com / hpwea 01/01/2017 1.00.00 No .it.msn.com / hpsvr 01/01/2017 1.00.00 No Capitolo: Parte seconda: SCHEDA TECNICA .neodatagroup.com 27 / hpcli 01/01/2017 1.00.00 No .uefa.com / uid 12/12/2016 2.00.05 No .clearspring.com / uid 12/12/2016 2.00.05 No .advertising.com / ACID 11/06/2013 15.56.29 No .gui.muc.domeus.com / OASISID 11/06/2013 15.43.02 No www.bidplaza.it / cookies_bidster_affiliate 11/06/2013 13.43.56 No www.bidplaza.it / country 11/06/2013 13.43.56 No www.bidplaza.it / set_country 11/06/2013 13.43.56 No .adobe.com / s_vi 22/05/2013 12.26.30 No .msnaccountservices.112.2o7.net / s_vi 18/05/2013 16.34.39 No .mozilla.com / s_vi 18/05/2013 16.08.29 No media.adrevolver.com / BIGipServerar-slave 14/03/2013 19.08.18 No .multiplayer.it / GUID 01/03/2012 2.16.28 No .dada.it / GUID 01/03/2012 2.00.21 No .flickr.com / cookie_l10n 17/06/2011 13.43.02 No .live.com / s_lastvisit 19/05/2011 16.34.37 No .mediaplex.com / svid 19/05/2011 6.05.22 No .libero.it / Libero 23/09/2010 14.39.15 No ad.yieldmanager.com / ih 24/07/2010 22.04.50 No .ircnapoli.com / __utma 24/07/2010 20.26.15 No Capitolo: Parte seconda: SCHEDA TECNICA .it.msn.com 28 / __utma 24/07/2010 20.08.51 No .google.com /mail/help/ __utma 24/07/2010 19.38.02 No .google.com /mail/help/ __utmx 24/07/2010 19.38.02 No .it.yahoo.com / WSCOUNT 24/07/2010 19.20.55 No .google.com /accounts/ __utma 24/07/2010 19.09.03 No .www.google.it /ig IGTP 24/07/2010 18.55.05 No .official-emule.com / __utmx 17/06/2010 13.51.06 No .official-emule.com / __utmxx 17/06/2010 13.51.06 No .official-emule.com / __utma 17/06/2010 13.51.06 No .bidplaza.it / __utma 17/06/2010 13.43.39 No .bbc.co.uk / BBCNewsAudcWght 17/06/2010 13.42.23 No .bbc.co.uk / BBCNewsAudience 17/06/2010 13.42.23 No .adtech.de / JEB2 12/06/2010 16.08.55 No .domeus.de / __utma 12/06/2010 15.43.02 No .youtube.com / __utma 12/06/2010 15.39.31 No .wordpress.com / __utma 12/06/2010 15.37.50 No .it-schools.com / __utma 12/06/2010 15.36.19 No .cultura-italiana.it-schools.com / __utma 12/06/2010 15.16.28 No .dynamick.it / __utma 12/06/2010 14.44.59 No .counttonine.com / __utma 05/06/2010 14.01.01 No Capitolo: Parte seconda: SCHEDA TECNICA .domeus.it 29 / __utma 05/06/2010 14.00.52 No .panorama.it / __utma 30/05/2010 16.29.40 No .fiat.touchclarity.com / TCID 30/05/2010 15.17.27 No .poigps.com / __utma 26/05/2010 16.23.53 No .4chan.org / __utma 26/05/2010 16.23.08 No .picasa.google.com / __utma 23/05/2010 12.34.48 No .google.com /accounts __utma 23/05/2010 12.17.19 No .google.it / PREF 21/05/2010 16.15.19 No .mail.google.com /support/ __utma 19/05/2010 17.48.41 No .google.com / PREF 19/05/2010 17.21.05 No .ilsoftware.it / __utma 19/05/2010 16.47.21 No .sourceforge.net / __utma 19/05/2010 16.23.59 No .sourceforge.net / __utmxx 19/05/2010 16.22.17 No .sourceforge.net / __utmx 19/05/2010 16.22.17 No .doubleclick.net / id 19/05/2010 14.06.50 No .atdmt.com / AA002 19/05/2010 2.00.15 No .yahoo.com / U 15/04/2010 22.00.15 No .tribalfusion.com / ANON_ID 24/07/2009 19.15.51 No .www.libero.it / ebNewBandWidth_.www.libero.it 24/07/2009 18.55.28 No www.libero.it / LibHP 19/07/2009 18.46.25 No Capitolo: Parte seconda: SCHEDA TECNICA .catfood.net 30 / trackingCookie 17/06/2009 13.51.05 No .answers.yahoo.com / answers 17/06/2009 13.50.56 No .bidplaza.it / WRUID 17/06/2009 13.43.53 No aus2.mozilla.org / aus 17/06/2009 13.20.53 No ad.zanox.com / zptc 05/06/2009 14.23.04 No .bbc.co.uk / BBC-UID 05/06/2009 14.01.39 No ad.labpixies.com / OAID 27/05/2009 15.20.06 No .ehg-deltatre.hitbox.com / DM53121875DVV6 26/05/2009 17.17.46 No .ehg-deltatre.hitbox.com / DM53121822RFV6 26/05/2009 17.17.46 No .hitbox.com / WSS_GW 26/05/2009 17.17.46 No .www.poigps.com / phpbb2mysql_data 26/05/2009 16.27.21 No .4chan.org / ws_style 26/05/2009 16.23.17 No .trafficmp.com / fl_keywords 23/05/2009 12.05.17 No .trafficmp.com / curl 23/05/2009 12.05.17 No media.intelia.it / phpAds_id 23/05/2009 11.54.26 No server.iad.liveperson.net / HumanClickID 23/05/2009 11.25.49 No www.4chan.org / 4chan_disclaimer 21/05/2009 16.14.00 No www.fullnews.it / OAID 21/05/2009 15.56.20 No mail.google.com /support/ GmailUserLocale 19/05/2009 17.49.06 No www.mozillaitalia.it / style 19/05/2009 17.42.41 No Capitolo: Parte seconda: SCHEDA TECNICA .www.official-emule.com 31 / style-/thunderbird/ 19/05/2009 17.38.37 No .support.microsoft.com / gssTHEME 19/05/2009 17.14.37 No .support.microsoft.com / gssTOOLBAR 19/05/2009 17.14.37 No .support.microsoft.com / gssSITE 19/05/2009 17.14.37 No .revsci.net / rsi_segs_1000000 19/05/2009 17.04.20 No .revsci.net / rsi_cls_1000000 19/05/2009 17.04.20 No .download.mozilla.org / dmo 19/05/2009 14.03.43 No .live.com / ANON 10/02/2009 3.30.18 No .msn.com / ANON 09/02/2009 2.00.04 No .google.com /mail/help/ __utmz 23/01/2009 7.38.02 No ad.yieldmanager.com / fl_inst 20/01/2009 22.04.50 No metrixlablw.customers.luna.net / p08095_1a 20/01/2009 18.55.28 No .imrworldwide.com /cgi-bin IMRID 19/01/2009 1.00.13 No .yahoo.com / PH 19/12/2008 4.57.47 No .cj399o2i-a.gmodules.com /ig/ __utmz 19/12/2008 2.54.39 No .domeus.de / __utmz 12/12/2008 3.43.02 No .domeus.it / __utmz 12/12/2008 3.42.21 No .youtube.com / __utmz 12/12/2008 3.38.33 No .wordpress.com / __utmz 12/12/2008 3.37.50 No .it-schools.com / __utmz 12/12/2008 3.21.15 No Capitolo: Parte seconda: SCHEDA TECNICA www.mozillaitalia.it 32 / __utmz 12/12/2008 3.16.28 No .dynamick.it / __utmz 12/12/2008 2.44.59 No .official-emule.com / __utmz 05/12/2008 2.23.09 No .bidplaza.it / __utmz 05/12/2008 2.22.40 No .counttonine.com / __utmz 05/12/2008 2.01.01 No .26.gmodules.com /ig/ __utmz 05/12/2008 2.00.56 No .21.gmodules.com /ig/ __utmz 05/12/2008 2.00.53 No .catfood.net / __utmz 05/12/2008 2.00.52 No it-alfaromeo.netmining.com / evo5 29/11/2008 15.17.49 No .panorama.it / __utmz 29/11/2008 4.29.40 No .poigps.com / __utmz 25/11/2008 4.23.53 No .picasa.google.com / __utmz 22/11/2008 0.34.48 No .google.com /accounts __utmz 22/11/2008 0.17.19 No .ircnapoli.com / __utmz 21/11/2008 23.25.51 No .4chan.org / __utmz 20/11/2008 4.10.01 No .mail.google.com /support/ __utmz 18/11/2008 5.48.41 No .ilsoftware.it / __utmz 18/11/2008 4.47.21 No .sourceforge.net / __utmz 18/11/2008 4.23.21 No .mozilla.com / __utmz 18/11/2008 4.08.24 No .mozilla-europe.org / __utmz 18/11/2008 3.03.52 No Capitolo: Parte seconda: SCHEDA TECNICA .cultura-italiana.it-schools.com 33 / NAP 02/11/2008 2.30.18 No .msn.com / NAP 01/11/2008 2.00.04 No .libero.it / LIB_ADV_CK 22/10/2008 18.55.45 No .richmedia.yahoo.com / yrmf 17/10/2008 14.03.27 No ad.yieldmanager.com / uid 23/08/2008 22.04.50 No login.libero.it / LIB_LOG_CK 23/08/2008 18.55.45 No mail.google.com /mail GX 07/08/2008 21.45.37 No .yahoo.com / adx 04/08/2008 14.17.34 No mail.google.com /mail gmailchat 31/07/2008 19.38.15 No Capitolo: Parte seconda: SCHEDA TECNICA .live.com 34 5. CRONOLOGIA DI NAVIGAZIONE Capitolo: Parte seconda: SCHEDA TECNICA Abbiamo recuperato la directory che firefox usa per memorizzare la cronologia dell’utente , che si può trovare nel percorso : C:\Documents and Settings\raffaele\Dati applicazioni\Mozilla\Firefox\Profiles\umzu6o54.default . Copiando questa cartella in qualsiasi altro pc che ha installato firefox otteniamo la cronologia dell’utente. 35 36 Capitolo: Parte seconda: SCHEDA TECNICA 6. INFORMAZIONE SULLE ATTIVITA’ SVOLTE SUL SISTEMA CON ADEPTO Abbiamo avviato HELIX LIVE CD sul sistema e per le ulteriori attività di analisi sulla immagine virtuale del disco dell’indagato abbiamo preferito usare come tool AUTOPSY. 1. Abbiamo creato un NEW CASE Capitolo: Parte seconda: SCHEDA TECNICA 2. Abbiamo aggiunto l’immagine da analizzare che nel nostro caso è il file flat di WMWARE 37 3. Autopsy permette a questo punto di iniziare l’attività di analisi Capitolo: Parte seconda: SCHEDA TECNICA 4. Selezioniamo File Activity Lines per tracciare l’attività temporale sul sistema 38 Capitolo: Parte seconda: SCHEDA TECNICA 5. Creata la timeline navighiamo tra i risultati 39 VISIONE DELLA CARTELLA PROGRAMMI CON TIMELINE d/d d/d d/d d/d d/d d / d d/d d/d d/d d/d d/d d/d ./ 2008.06.09 08:55:34 (MDT) (MDT) 56 2008.06.09 08:51:37 (MDT) (MDT) 176 acpwd/ Adobe/ aMSN/ 2008.06.19 06:06:43 (MDT) (MDT) 272 2008.06.19 06:06:43 0 2008.05.23 04:40:23 (MDT) (MDT) 480 2008.06.19 07:41:31 (MDT) 0 13238-144-1 2008.05.23 04:40:23 0 2008.05.19 08:46:15 (MDT) (MDT) 648 2008.06.19 06:28:45 (MDT) 0 11243-144-1 2008.05.19 08:46:15 0 bfacs257/ 2008.05.19 08:59:18 (MDT) 08:59:50 (MDT) 56 eMule/ 2008.05.19 08:12:17 (MDT) (MDT) 56 File comuni/ Google/ Internet Explorer/ Messenger/ 0 2008.06.19 05:53:51 (MDT) 0 12574-144-5 Miranda IM/ mIRC/ 2008.05.19 08:12:17 2008.06.19 06:56:25 (MDT) 0 3882-144-6 2008.06.09 0 2008.05.26 08:14:54 (MDT) 08:14:54 (MDT) 144 2008.06.17 06:41:20 (MDT) 0 14918-144-1 2008.05.26 0 2008.05.16 06:40:05 (MDT) 06:40:05 (MDT) 56 0 0 2008.06.09 08:48:39 (MDT) 08:48:39 (MDT) 552 0 2008.06.19 07:43:10 (MDT) 0 5345-144-6 2008.06.19 05:50:20 (MDT) 0 5214-144-6 0 2008.05.16 2008.05.16 2008.06.17 06:41:20 (MDT) 7371-144-1 2008.06.19 06:56:25 (MDT) 0 13075-144-1 2008.06.09 2008.06.09 08:51:37 (MDT) 08:51:37 (MDT) 288 2008.06.17 06:41:20 (MDT) 0 18257-144-1 2008.06.09 0 2008.05.19 08:31:26 (MDT) 08:31:26 (MDT) 56 2008.06.19 06:28:46 (MDT) 0 11111-144-6 2008.05.19 0 2008.06.17 06:41:35 (MDT) (MDT) 56 Movie Maker/ 2008.06.19 06:08:05 (MDT) 5242-144-1 2008.06.19 06:28:46 (MDT) 0 10457-144-5 microsoft frontpage/ 2008.05.16 06:42:06 (MDT) 2008.05.16 06:42:06 (MDT) 152 0 Microsoft.NET/ 0 2008.05.19 2008.06.09 08:48:29 (MDT) 08:48:29 (MDT) 56 2008.05.16 06:24:55 (MDT) 06:24:55 (MDT) 56 d/d d/d 0 ComPlus Applications/ 2008.05.16 06:25:53 (MDT) 2008.05.16 06:25:53 (MDT) 48 0 Microsoft Office/ d/d 2008.06.09 08:51:37 0 2008.06.19 06:48:34 (MDT) 0 3881-144-6 2008.06.19 06:09:41 (MDT) 0 12425-144-1 d/d d/d 2008.06.09 08:55:34 48 2008.06.19 07:43:25 (MDT) 0 5-144-6 0 2008.05.16 06:29:08 (MDT) 06:29:08 (MDT) 56 2008.06.19 06:28:46 (MDT) 0 12618-144-5 0 2008.06.19 05:50:20 (MDT) 0 5552-144-6 2008.06.17 06:41:35 2008.05.16 Capitolo: Parte seconda: SCHEDA TECNICA ../ 40 d/d d/d d/d d/d d/d d/d d/d d/d d/d d / d d/d Mozilla Firefox/ 2008.06.19 06:54:04 (MDT) 06:54:04 (MDT) 168 0 2008.06.19 06:54:04 (MDT) 0 10668-144-6 2008.06.19 Mozilla Thunderbird/ 2008.06.19 06:55:49 (MDT) 2008.06.19 06:55:49 (MDT) 176 0 0 2008.06.19 06:55:52 (MDT) 12878-144-6 MSN Gaming Zone/ 2008.05.16 06:24:46 (MDT) 2008.05.16 06:24:46 (MDT) 144 0 0 2008.06.19 07:41:31 (MDT) 5183-144-1 NetMeeting/ 2008.05.16 06:29:32 (MDT) 06:29:32 (MDT) 56 0 2008.06.19 05:50:20 (MDT) 0 5460-144-6 Outlook Express/ 2008.05.16 06:29:25 (MDT) 2008.05.16 06:29:25 (MDT) 56 0 Picasa2/ 2008.05.26 08:19:25 (MDT) 08:19:25 (MDT) 56 0 2008.05.16 06:31:17 (MDT) 06:31:17 (MDT) 464 0 2008.05.16 07:12:08 (MDT) 07:12:08 (MDT) 264 0 2008.05.16 06:24:18 (MDT) 06:24:18 (MDT) 56 0 0 2008.05.26 2008.06.17 06:29:03 (MDT) 12676-144-1 2008.05.16 2008.06.09 08:33:11 (MDT) 10133-144-1 2008.06.19 06:49:39 (MDT) 0 10183-144-1 Windows Media Player/ 2008.05.16 06:39:41 (MDT) 2008.05.16 06:39:41 (MDT) 56 0 Windows NT/ 0 2008.06.17 06:41:20 (MDT) 0 6278-144-1 Uninstall Information/ 2008.05.16 06:58:45 (MDT) 2008.05.16 06:58:45 (MDT) 48 0 VMware/ 2008.06.19 05:50:20 (MDT) 5440-144-6 2008.06.19 06:28:47 (MDT) 0 13235-144-5 ProcessExplorer/ 2008.05.19 09:34:43 (MDT) 2008.05.19 09:35:08 (MDT) 360 0 Servizi in linea/ 0 2008.05.16 2008.05.16 2008.06.19 06:54:41 (MDT) 5227-144-6 2008.06.19 07:41:31 (MDT) 0 4738-144-6 2008.05.16 0 2008.06.09 08:33:11 (MDT) 0 6281-144-1 2008.05.16 d/d WindowsUpdate/ 2008.05.16 06:31:27 (MDT) 06:31:28 (MDT) 48 0 d/d WinRAR/ 2008.05.19 08:55:15 (MDT) 08:55:15 (MDT) 56 2008.06.19 06:58:25 (MDT) 0 12480-144-5 2008.05.19 0 2008.05.19 08:51:11 (MDT) 08:51:11 (MDT) 56 2008.06.19 05:50:20 (MDT) 0 12439-144-5 2008.05.19 0 d/d d/d WinZip/ xerox/ 2008.05.16 06:42:10 (MDT) (MDT) 144 0 2008.06.17 06:41:20 (MDT) 0 7390-144-1 2008.05.16 06:42:10 Capitolo: Parte seconda: SCHEDA TECNICA d/d 41 VISIONE DELLA CARTELLA DELL’UTENTE CON TIMELINE Wed May 21 2008 07:47:54 3321026 m.. -/-rwxrwxrwx 0 0 12820-128-4 C:/Documents and Settings/raffaele/Documenti/eMule Downloads/Incoming/e-book/O'Reilly - Learning Python (ebook).pdf Wed May 21 2008 07:50:51 71993 m.. -/-rwxrwxrwx 0 0 12814-128-4 C:/Documents and Settings/raffaele/Documenti/eMule Downloads/Incoming/e-book/[Ebook Ita] La dieta Metabolica.pdf Wed May 21 2008 07:51:08 4333528 m.. -/-rwxrwxrwx 0 0 12784-128-4 C:/Documents and Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Coldplay - Yellow.mp3 Wed May 21 2008 07:54:22 198510 m.. -/-rwxrwxrwx 0 0 12825-128-4 Settings/raffaele/Desktop/Immagini/Hamsik-Lavezzi-Zalayeta.jpg Wed May 21 2008 07:56:59 4556646 m.. -/-rwxrwxrwx 0 0 12792-128-4 C:/Documents and Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Vasco Rossi - Sally.mp3 Wed May 21 2008 07:57:59 4920216 m.. -/-rwxrwxrwx 0 0 12781-128-4 C:/Documents and Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Coldplay - Clocks.mp3 Wed May 21 2008 08:07:43 6070272 m.. -/-rwxrwxrwx 0 0 12801-128-4 C:/Documents and Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Vasco Rossi - Gli angeli.mp3 14461515 m.. -/-rwxrwxrwx 0 0 12796-128-4 C:/Documents and Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Vasco Rossi-Il Mondo Che Vorrei.mp3 Wed May 21 2008 08:09:46 7495575 m.. -/-rwxrwxrwx 0 0 12795-128-4 C:/Documents and Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/[Musica italiana] Vasco Rossi - Senza parole -.mp3 Wed May 21 2008 08:12:52 7094400 m.. -/-rwxrwxrwx 0 0 12600-128-4 C:/Documents and Settings/raffaele/Documenti/eMule Downloads/Incoming/mp3/Coldplay - Fix You.mp3 Wed May 21 2008 08:13:45 16560 m.. -/-rwxrwxrwx 0 0 12822-128-4 Settings/raffaele/Desktop/Immagini/Ezequiel Lavezzi Calcio Maradona.jpg Wed May 21 2008 08:13:49 79752 m.. -/-rwxrwxrwx 0 0 12848-128-4 C:/Documents and Settings/raffaele/Desktop/Immagini/lamborghini gallardo (i like ferrari , mercedes , bmw , aston martin , chevrolet corvette , dodge viper , mg , wrc , gallardo , diablo , lam.jpg Wed May 21 2008 08:13:58 87504 m.. -/-rwxrwxrwx 0 0 12827-128-4 C:/Documents and Settings/raffaele/Desktop/Immagini/lamborghini diablo gtr (i like ferrari , mercedes , bmw , aston martin , chevrolet corvette , dodge viper , mg , wrc , gallardo , diablo , l.jpg Wed May 21 2008 08:14:08 54049 m.. -/-rwxrwxrwx 0 Settings/raffaele/Desktop/Immagini/Calcio l'allenamento.jpg 0 Napoli 12828-128-4 - El Pocho C:/Documents and Napoli Tatuaggio C:/Documents and Lavezzi durante Capitolo: Parte seconda: SCHEDA TECNICA Wed May 21 2008 08:09:10 C:/Documents and 42 Mon May 26 2008 17:14:24 56 mac -/-rwxrwxrwx 0 0 15113-128-1 C:/Documents and Settings/raffaele/Dati applicazioni/Macromedia/Flash Player/#SharedObjects/TUL5X5FX/server7.devteam.dk/pacman/pacman_lang2.swf/neaveP acman.sol 144 mac d/drwxrwxrwx 0 0 13081-144-1 C:/Documents and Settings/raffaele/Dati applicazioni/Macromedia/Flash Player/#SharedObjects/TUL5X5FX/server7.devteam.dk 160 mac d/drwxrwxrwx 0 0 15108-144-1 C:/Documents and Settings/raffaele/Dati applicazioni/Macromedia/Flash Player/macromedia.com/support/flashplayer/sys/#server7.devteam.dk 272 mac d/drwxrwxrwx 0 0 15112-144-1 C:/Documents and Settings/raffaele/Dati applicazioni/Macromedia/Flash Player/#SharedObjects/TUL5X5FX/server7.devteam.dk/pacman/pacman_lang2.swf 280 mac d/drwxrwxrwx 0 0 15111-144-1 C:/Documents and Settings/raffaele/Dati applicazioni/Macromedia/Flash Player/#SharedObjects/TUL5X5FX/server7.devteam.dk/pacman 88 mac -/-rwxrwxrwx 0 0 15109-128-1 C:/Documents and Settings/raffaele/Dati applicazioni/Macromedia/Flash Player/macromedia.com/support/flashplayer/sys/#server7.devteam.dk/settings.sol Mon May 26 2008 17:14:54 846 .a. -/-rwxrwxrwx 0 0 11597-128-3 C:/Programmi/aMSN/scripts/skins/default/pixmaps/miniinfo.png 846 .a. -/-rwxrwxrwx 0 0 11597-128-3 C:/Programmi/aMSN/scripts/skins/default/pixmaps/miniinfo.png (deleted-realloc) Mon May 26 2008 17:14:56 855 .a. -/-rwxrwxrwx 0 0 11598-128-4 C:/Programmi/aMSN/scripts/skins/default/pixmaps/minijoins.png 855 .a. -/-rwxrwxrwx 0 0 11598-128-4 Data Operazione Maggio 19 2008 Ha installato : firefox, amsn, emule, miranda, Winrar e winzip, open SSL, Process Explorer Maggio 21 2008 Ha scaricato immagini, e-book, mp3 Maggio 23 2008 Ha installato Acrobat Reader Maggio 26 2008 Installazione picasa, e ha giocato a PACMAN cercando estensioni .swf Capitolo: Parte seconda: SCHEDA TECNICA REPORT SUMMARY - INFORMAZIONE SULLE ATTIVITA’ SVOLTE SUL SISTEMA CON ADEPTO 43 7. DATI RECENTI DELL’UTENTE Autopsy string Report ---------------------------------------------------------------------GENERAL INFORMATION File: C:/Documents and Settings/raffaele/Impostazioni locali/Cronologia/History.IE5/MSHist012008061920080620/index.dat MD5 of file: ed9f9dbf9fda85c9e98801de1b655dcd SHA-1 of file: f02646a9668fdeaf80b26a495e8830e0e86ed5c2 MD5 of ASCII strings: 6cf47d07c969c4a030e4bbd24c9a3197 SHA-1 of ASCII strings: 15a7159445a11f72f633a3bec14b55eb5713a699 Image: '/home/knoppix/pyflag/evidence/vm3/vm3Host/images/xp_raffaele_gaitoflat.vmdk' Offset: 63 to 8369864 File System Type: ntfs Date Generated: Thu Jul 17 03:58:54 2008 Investigator: unknown ---------------------------------------------------------------------META DATA INFORMATION MFT Entry Header Values: Entry: 15004 Sequence: 8 $LogFile Sequence Number: 71808084 Allocated File Links: 1 $FILE_NAME Attribute Values: Flags: Archive Name: index.dat Parent MFT Entry: 11054 Sequence: 10 Allocated Size: 0 Actual Size: 0 Created: Thu Jun 19 13:50:37 2008 File Modified: Thu Jun 19 13:50:37 2008 MFT Modified: Thu Jun 19 13:50:37 2008 Accessed: Thu Jun 19 13:50:37 2008 Attributes: Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 72 Type: $FILE_NAME (48-2) Name: N/A Resident size: 84 Type: $DATA (128-3) Name: $Data Non-Resident size: 32768 3132 3133 3134 3135 3187 3188 3189 3190 File Type: Error getting file type Capitolo: Parte seconda: SCHEDA TECNICA $STANDARD_INFORMATION Attribute Values: Flags: Archive Owner ID: 0 Created: Thu Jun 19 13:50:37 2008 File Modified: Thu Jun 19 13:43:20 2008 MFT Modified: Thu Jun 19 14:56:24 2008 Accessed: Thu Jun 19 13:50:37 2008 44 Client UrlCache MMF Ver 5.2 HASH URL :2008061920080620: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo kmark%20firefox/5giornifa.txt URL :2008061920080620: raffaele@:Host: Risorse del computer URL :2008061920080620: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo kmark%20firefox/Nuovo%20Documento%20di%20testo.txt URL :2008061920080620: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo kmark%20firefox/collage.jpg URL :2008061920080620: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo kmark%20firefox/PasswordSistema%26AccountWeb.doc URL :2008061920080620: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo kmark%20firefox/6giornifa.txt URL :2008061920080620: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo kmark%20firefox/accpwd.txt URL :2008061920080620: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo kmark%20firefox/report.doc URL :2008061920080620: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo kmark%20firefox/oggi.txt URL :2008061920080620: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo kmark%20firefox/cronologia_firefox.doc URL :2008061920080620: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo kmark%20firefox/c-programmi.JPG URL :2008061920080620: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26boo kmark%20firefox/Report_Scala_Santolo.doc ---------------------------------------------------------------------- Capitolo: Parte seconda: SCHEDA TECNICA ---------------------------------------------------------------------CONTENT 45 VERSION INFORMATION Autopsy Version: 2.08 The Sleuth Kit Version: 2.09 Visited: raffaele@file:///D:/SERIALE.TXT Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/prova_inglese_scuole_m edie/Free%20Time%20Activities.doc Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/prova_inglese_scuole_m edie/Free%20Time%20Activities.rar Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/bookmarks.html Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cprogrammi.JPG Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/Nuova%20cartella/oggi.t xt Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/6giornifa.txt Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/5giornifa.txt Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/Nuovo%20Documento% 20di%20testo.txt Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/accpwd.txt Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/ghgh.txt Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26bookmark %20firefox/5giornifa.txt Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Documenti/Immagini/Esportazioni %20Picasa/Esportazione%20Picasa/collage.jpg Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Documenti/eMule%20Downloads/ Incoming/e-book/Ebook%20-%20Ita%20-%20104%20Barzellette%20Brevi.pdf Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Documenti/eMule%20Downloads/ Incoming/e-book/O'Reilly%20-%20Learning%20Python%20(ebook).pdf Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26bookmark %20firefox/Nuovo%20Documento%20di%20testo.txt Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26bookmark %20firefox/oggi.txt Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26bookmark %20firefox/6giornifa.txt Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26bookmark %20firefox/accpwd.txt Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26bookmark %20firefox/report.doc Capitolo: Parte seconda: SCHEDA TECNICA Client UrlCache MMF Ver 5.2 46 Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26bookmark %20firefox/cronologia_firefox.doc Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26bookmark %20firefox/c-programmi.JPG Visited: raffaele@file:///C:/Documents%20and%20Settings/raffaele/Desktop/cronologia%26bookmark %20firefox/Report_Scala_Santolo.doc http://www.sleuthkit.org – sito ufficiale dello Sleuth Kit, http://www.stevelab.net/deft – sito ufficiale di DEFT Linux http://www.forensikswiki.org – un wiki dedicato alla Computer Forensics. http://www.afflib.org – sito ufficiale dell'Advanced Forensics Format http://www.fbi.gov/hq/lab/org/cart.htm Materiale rieditato nell’articolo: Introduzione all’informatica forense, in La sicurezza preventiva dell'informazione e della comunicazione, P. Pozzi (a cura), FrancoAngeli, 2004 Capitolo: Parte seconda: SCHEDA TECNICA FONTI BIBLIOGRAFICHE 47