Pubblicazione online della versione 4.30 di Linux LEO “the Law Enforcement and Forensic Examiner’s Introduction to Linux”, un guida per principianti all’uso di Linux in ambito Computer Forensics.
Category Archives: Computer Forensics
Timeline attendibile di filesystem e files
Autopsy
C’è anche la versione per windows su https://www.sleuthkit.org/
RecuperaBit
Se si tratta di NTFS (anche danneggiato)
NBTempo
presente in CAINE oppure scaricabile da:
Linux
https://github.com/nannib/
Windows
https://github.com/nannib/
log2timeline
Produce la timeline considerando i metadati interni dei file (es. gli exif, ecc.)
Una collezione di materiale per neofiti
Una raccolta di strumenti fondamentali per l’analisi forense.
Computer Forensics – Rilasciato Caine 7
DIFFUSIONE DEL RAMSOMWARE “CRYPTOLOCKER” VIRUS INFORMATICO
Cryptolocker è un virus del tipo “Cavallo di Troia”, che si inocula attraverso l’avvio di un file eseguibile infetto, comparso già nel corso del 2013 e il cui picco di diffusione nel nostro Paese si è registrato negli ultimi mesi. Non appena eseguito, il virus si inocula nel sistema infettandolo e, dopo tentativi di connessione a server remoti, viene avviata la cifratura dei file nei formati più comuni rendendoli inutilizzabili dall’utente. Le tecniche di diffusione del virus possono essere varie e non si discostano minimamente dalle medesime già note da oltre 15 anni agli esperti del settore. Il sistema più frequente è quello dell’inoltro di un allegato tramite il servizio di posta elettronica: il doppio clic, anche se effettuato inavvertitamente, basta a infettare il sistema informatico. Un altro sistema, molto più sofisticato, consistete nell’impiego di tecniche di ingegneria sociale attraverso le quali, studiando le abitudini della vittima, i malfattori mettono a punto elaborate strategie abbastanza credibili da trarre in inganno gli utenti spingendoli a eseguire il file infetto. Continue reading
Caine Best-practice
CAINE Live CD uses the USA keyboard layout.
We suggest to change the layout using the program “Keyboard Preferences” in System -> Preferences, in the GNOME menu or using the command “sudo setxkbmap -layout xy” (xy = “it”, “gb”, “de”…) in the command line. BTW there is a launcher on the desktop.
In the CAINE TEXT MODE only, change the keyboard layout by
“sudo loadkeys xy” (xy = “it”, “gb”, “de”…)
Andiamo a vedere le partizioni del pc
fdisk -l
Instructions:
Left-click the disk icon to mount a device.
Right-click the disk icon to change the system mount policy.
Middle-click will close the mounter application. Relaunch from the menu.
The mounted devices will not be affected by mount policy changes. Only subsequent mounting operations will be affected.
– If the user decides to mount a device via terminal, he can use the “mount” command but all the mount options must be specified.
– If the user wants to mount and write on an NTFS media should instead use the “ntfs-3g” command (e.g., $ sudo ntfs-3g -o rw /dev/sda1 /media/sda1).
sudo ntfs-3g -o rw /device-path /your-mount-point
You can redirect the output on an RW mounted device in these ways:
- Terminal window –> sudo su –> (eg. fdisk -lu > /media/sdb1/fdisk.txt)
- Terminal window –> output redirect in, for example: /home/caine, then sudo cp fdisk.txt /media/sdb1
- sudo bash -c “fdisk -lu > /media/sdb1/fdisk.txt”
The ext3 driver will be ignored when ext2 and ext3 partitions are mounted in the future and the ext2 driver used instead. This protects any ext3 partitions from a forensic point-of-view. Ext2 does not use journaling, so when an ext3 partition is mounted, there is no danger of modifying the meta-data when increasing the count inside said journal.
Applying a special patch (Maxim Suhanov’s patch) we fixed the bug, that changed the journal of the ext3/ext4 file system, when the computer was switch off not using the shutdown procedure. Fixed in the fstab: forbidding the auto-mounting of the MMCs and put a control for the “esotic names” like /dev/sdad1
Bash Scripts Tools directory:
the tools MUST be launched by sudo sh script_name.sh
Check ‘foremost.conf’ you can add your own definitions there for headers, also see the magic file ‘whereis magic’, it has headers to be able to identify file types:
#------------------------------------------------------------------------------ # sql: file(1) magic for SQL files # # From: "Marty Leisner" <mleisner@eng.mc.xerox.com> # Recognize some MySQL files. # 0 beshort 0xfe01 MySQL table definition file >2 byte x Version %d 0 belong&0xffffff00 0xfefe0300 MySQL MISAM index file >3 byte x Version %d 0 belong&0xffffff00 0xfefe0700 MySQL MISAM compressed data file >3 byte x Version %d 0 belong&0xffffff00 0xfefe0500 MySQL ISAM index file >3 byte x Version %d 0 belong&0xffffff00 0xfefe0600 MySQL ISAM compressed data file >3 byte x Version %d 0 string \376bin MySQL replication log
Now just add a new entry to the ‘foremost.conf’ follow the other examples there.
Acquisire il contenuto web come prova probatoria
Quale metodo e che strumento consigliate per tirare giù un sito web al fine di cristallizare lo stesso ai fini probatori??
Hashbot – http://www.hashbot.com/
Httrack (Website copier) – http://www.httrack.com/