Atti_3 - Ordine degli Ingegneri di Roma
Transcript
Atti_3 - Ordine degli Ingegneri di Roma
Ordine degli Ingegneri della Provincia di Roma Commissione Informatica e Telecomunicazioni Helix Helix3 è un LiveCD basato su Linux per l’Incident Response, l’aquisizione dei dischi e dei dati volatili, la ricerca della cronologia di internet e dei documenti. L’ultima versione rilasciata è a pagamento. Il caricamento del CD su un sistema Windows consente di avere a disposizione un ampio campionario di strumenti utili all’analisi forense, anche ‘live’ (recupero password, istanti di accensione/spegnimento del PC, recupero di file cancellati. Se si effettua invece il boot da CD, si avvia un sistema linux basato su knoppix che non usa mai un sistema di swapping e non monta in automatico alcun disco. Quando lo fa, di default è in sola lettura. Tra I tool presenti ci sono: tool di acquisizione immagini (anche formato encase), Autopsy, RegViewer, Wireshark, due antivirus, etc. Ordine degli Ingegneri della Provincia di Roma Commissione Informatica e Telecomunicazioni Autopsy Forensic browser Autopsy Forensic Browser è un’interfaccia grafica a un set di utilità forensi utilizzabili da linea di comando (The Sleuth Kit o TSK) e ai comandi UNIX standard. E’ open source. Consente di effettuare l’analisi di volumi e di file system di sistemi sia UNIX che Windows. Consente di analizzare e navigare la struttura dei file all’interno delle immagini, i metadati e indirizzare direttamente i blocchi. Consente di fare ricerche per keyword, verificare i dettagli e l’integrità delle immagini. Consente di creare una ‘file activity timeline’ basata sui timestamp del file system. E’ in grado anche di effettuare l’ordinamento dei file per tipologia e produrre i report delle analisi effettuate. Ordine degli Ingegneri della Provincia di Roma Commissione Informatica e Telecomunicazioni Computer Aided INvestigation Env. Analogamente a Helix, CAINE offre, su un LIVECD basato su Ubuntu, un ambiente completo per l’analisi forense organizzato per integrare strumenti software esistenti all’interno di un’interfaccia grafica di facile utilizzo. Collection Tools: AIR, Guymager Analysis Tools: Autopsy, Ophcrack, Foremost, Stegdetect… Other tools: Hex editor, Word processor, MD5, VLC, wipe… Wintaylor: interfaccia di accesso a numerosi tool di indagine forense su sistemi Windows Ordine degli Ingegneri della Provincia di Roma Commissione Informatica e Telecomunicazioni EnCase EnCase è un applicativo per la ‘computer forensic’ prodotto da Guidance Software e utilizzato per analizzare I supporti digitali nelle investigazioni civili/penali, etc E’ considerato uno strumento standard ‘de facto’, in quanto diffusamente adottato da polizia e agenzie. E’ un prodotto closed-source, e include strumenti per l’acquisizione, il recupero dei file, la ricerca di stringhe e il parsing dei file. Ordine degli Ingegneri della Provincia di Roma Commissione Informatica e Telecomunicazioni AccessData FTK Imager FTK® Imager è uno strumento per l’acquisizione e la visualizzazione di immagini forensi. FTK Imager può creare copie esatte dei dati dei computer senza alcuna alterazione dell’originale. Inoltre è possibile: • visualizzare file e cartelle all’interno delle immagini • creare immagini forensi dei dischi fissi locali, floppy, ZIP, CD, DVD, cartelle o file individuali • esportare file e cartelle contenuti nell’immagine forense • convertire le immagini forensi da un formato all’altro • generare report sull’hash per singoli file e intere immagini disco (*) (*) fonte: http://www.accessdata.com/ Ordine degli Ingegneri della Provincia di Roma Commissione Informatica e Telecomunicazioni NetAnalysis NetAnalysis è il software ‘leader’ in ambito forense per l’estrazione e l’analisi delle tracce lasciate dall’internet browser. HstEx è lo strumento di estrazione della cronologia, anche cancellata, associato a NetAnalysis, e può recuperare gli artefatti direttamente da un file immagine EnCase o ISO. E’ un prodotto commerciale closed-source (*) (*) fonte: http://www.digital-detective.co.uk/products.asp Ordine degli Ingegneri della Provincia di Roma Commissione Informatica e Telecomunicazioni Virtualizzazione Live View è uno strumento per l’analisi forense basato su Java che crea una macchina virtuale VMware partendo da un file immagine ISO o da un disco fisico. (*) Questo permette all’esaminatore di eseguire un ‘boot’ dell’immagine o del disco guadagnando interattività con la macchina, una prospettiva a livello utente dell’ambiente, tutto senza modificare l’immagine stessa o il disco. Poiché tutte le modifiche effettuate al disco vengono scritte su un file separato, l’esaminatore può invertire gli eventuali cambiamenti apportati e tornare allo stato originale. Il risultato finale è che non è necessario creare delle ulteriori copie ‘a perdere’ del disco o dell’immagine per eseguire l’analisi. Live View consente di effettuare l’avvio di: * Immagini dell’intero disco * immagini della partizione di avvio * Dischi fisici (via USB o Firewire) * Immagini in formato differente tramite l’uso di strumenti di ‘mounting’ di altre parti Che contengono I seguenti sistemi operativi: * Windows 2008, Vista, 2003, XP, 2000, NT, Me, 98 * Linux (limited support) (*) fonte: http://liveview.sourceforge.net/