|
Dimensione: 5661
Commento: Pubblicazione
|
Dimensione: 5691
Commento: navigatore → browser
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 10: | Linea 10: |
| Questa guida illustra concisamente la suite '''[[#ur|The Sleuth Kit]]''', composta dal programma '''Sleuthkit''' specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]], esso supporta svariati tipi di filesystem come ad esempio '''NTFS''', '''FAT''', '''exFAT''', '''HFS+''', '''Ext2/3/4''', '''UFS1/2''' e '''YAFFS2''', mentre il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] fornente l'interfaccia grafica per la suite '''[[#ur|The SleuthKit]]'''. | Questa guida illustra concisamente la suite '''[[#ur|The Sleuth Kit]]''', composta dal programma '''Sleuthkit''' specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]]. Esso supporta svariati tipi di filesystem come ad esempio '''NTFS''', '''FAT''', '''exFAT''', '''HFS+''', '''Ext2/3/4''', '''UFS1/2''' e '''YAFFS2''', mentre il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] che fornisce l'interfaccia grafica per la suite '''[[#ur|The SleuthKit]]'''. |
| Linea 13: | Linea 13: |
| L'uso improprio o malaccorto dei programmi distribuiti colla suite '''[[#ur|The Sleuth Kit]]''' può condurre a commettere il reato [[https://www.brocardi.it/codice-penale/libro-secondo/titolo-xii/capo-iii/sezione-iv/art615ter.html|d'accesso abusivo ad un sistema informatico]]. Pertanto si rammenta __che è vietato__ accedere a contenuti di terzi, senza l'esplicita e preventiva autorizzazione dei medesimi.}}} | L'uso improprio o malaccorto dei programmi distribuiti con la suite '''[[#ur|The Sleuth Kit]]''' può condurre a commettere il reato di [[https://www.brocardi.it/codice-penale/libro-secondo/titolo-xii/capo-iii/sezione-iv/art615ter.html|accesso abusivo ad un sistema informatico]]. Pertanto si ricorda che __è vietato__ accedere a contenuti di terzi, senza l'esplicita e preventiva autorizzazione dei medesimi.}}} |
| Linea 19: | Linea 19: |
| Il programma '''Sleuthkit''' è da usare tramite [[AmministrazioneSistema/Terminale|terminale]], volendo usare un'interfaccia grafica leggere questo [[#grafica|paragrafo]]. | Il programma '''Sleuthkit''' è da usare tramite [[AmministrazioneSistema/Terminale|terminale]]. Se si desidera usare un'interfaccia grafica leggere questo [[#grafica|paragrafo]]. |
| Linea 25: | Linea 25: |
| == Uso == | == Utilizzo == |
| Linea 27: | Linea 27: |
| '''Sleuthkit''' è un programma in grado di trovare, recuperare e ricostruire da interi file system ai loro singoli contenuti come directory e file, anche se cancellati o nascosti. | '''Sleuthkit''' è un programma in grado di trovare, recuperare e ricostruire sia interi filesystem sia i loro singoli contenuti, come directory e file, anche se cancellati o nascosti. |
| Linea 31: | Linea 31: |
| 0. '''dls''' è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine col comando:{{{ | 0. '''dls''' è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine con il comando:{{{ |
| Linea 33: | Linea 33: |
| }}} * Usare in seguito un [[#recupero|programma di recupero dati]] per cercare i file dall'immagine di output. 0. '''fls''' elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'`inode` specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencare il contenuto digitando il comando:{{{ |
}}} In seguito si dovrà usare un [[#recupero|programma di recupero dati]] per cercare i file dall'immagine di output. 0. '''fls''' elenca i nomi dei file e delle cartelle di un'immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'`inode` specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencare il contenuto digitando il comando:{{{ |
| Linea 36: | Linea 37: |
| }}} * La schermata mostrata sarà simile alla seguente:{{{ | }}} La schermata mostrata sarà simile alla seguente:{{{ |
| Linea 45: | Linea 47: |
| 0. '''sorter''' ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sda1 e mettere il file immagine in una cartella denominata `out` digitare il comando:{{{ | 0. '''sorter''' ordina i file presenti in un'immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo `/dev/sda1` e mettere il file immagine in una cartella denominata `out` digitare il comando:{{{ |
| Linea 48: | Linea 50: |
| 0. '''mmls''' mostra le partizioni che si trovano all'interno d'un file immagine nel caso si sia salvato il contenuto dell'intero disco. Per listare le partizioni contenute nel file immagine, digitare il comando:{{{ | 0. '''mmls''' mostra le partizioni che si trovano all'interno di un file immagine nel caso si sia salvato il contenuto dell'intero disco. Per listare le partizioni contenute nel file immagine, digitare il comando:{{{ |
| Linea 55: | Linea 57: |
| '''Autopsy''' è un [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] basato su '''html''' integrato nella suite '''[[#ur|The Sleuth Kit]]''', che permette d'usare il [[InternetRete/Navigazione|navigatore]] come interfaccia grafica, anche da remoto se connessi in rete. | '''Autopsy''' è un [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] basato su '''html''' integrato nella suite '''[[#ur|The Sleuth Kit]]''', che permette di usare il [[InternetRete/Navigazione|browser]] come interfaccia grafica, anche da remoto se connessi in rete. |
| Linea 63: | Linea 65: |
| == Uso == | == Utilizzo == |
| Linea 67: | Linea 69: |
| Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`, digitare in una finestra di terminale il seguente comando :{{{ | Per esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`, digitare in un terminale il seguente comando:{{{ |
| Linea 76: | Linea 78: |
| In [[http://forums.gentoo.org/viewtopic-t-365703.html|questa pagina]] viene mostrato uno script che estrae i file da un immagine usando `fls` e `icat`. [[http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/|Questo script]] invece cercherà di ricostruire le cartelle del filesystem e la struttura dei file. | In [[http://forums.gentoo.org/viewtopic-t-365703.html|questa pagina]] viene mostrato uno script che estrae i file da un'immagine usando `fls` e `icat`. [[http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/|Questo script]] invece cercherà di ricostruire le cartelle del filesystem e la struttura dei file. |
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Questa guida illustra concisamente la suite The Sleuth Kit, composta dal programma Sleuthkit specificatamente progettato per l'analisi forense. Esso supporta svariati tipi di filesystem come ad esempio NTFS, FAT, exFAT, HFS+, Ext2/3/4, UFS1/2 e YAFFS2, mentre il programma Autopsy è il front-end che fornisce l'interfaccia grafica per la suite The SleuthKit.
L'uso improprio o malaccorto dei programmi distribuiti con la suite The Sleuth Kit può condurre a commettere il reato di accesso abusivo ad un sistema informatico. Pertanto si ricorda che è vietato accedere a contenuti di terzi, senza l'esplicita e preventiva autorizzazione dei medesimi.
Sleuthkit
La suite The Sleuth Kit ha un ricco corredo di funzioni per svolgere l'analisi forense, in grado di girare su qualsiasi piattaforma UNIX.
Il programma Sleuthkit è da usare tramite terminale. Se si desidera usare un'interfaccia grafica leggere questo paragrafo.
Installazione
Installare il pacchetto sleuthkit.
Utilizzo
Sleuthkit è un programma in grado di trovare, recuperare e ricostruire sia interi filesystem sia i loro singoli contenuti, come directory e file, anche se cancellati o nascosti.
Per approfondire l'uso consultare la documentazione ufficiale.
dls è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine con il comando:
dls inputimage > outputimage
In seguito si dovrà usare un programma di recupero dati per cercare i file dall'immagine di output.
fls elenca i nomi dei file e delle cartelle di un'immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'inode specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencare il contenuto digitando il comando:
fls loopfile -r -f fat -i raw
La schermata mostrata sarà simile alla seguente:
r/r 3: test (Volume Label Entry) r/r 0. 5: sample.docx r/r 0. 7: sample.pptx r/r 0. 9: sample.xlsx
icat apre l'immagine e copia i file con il numero di inode specificato sullo standard output. Se fls ha mostrato l'inode dei file presenti sull'immagine, per recuperare i file digitare il comando:
icat -r -f fat -i raw loopfile 5 > sample.docx
sorter ordina i file presenti in un'immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sda1 e mettere il file immagine in una cartella denominata out digitare il comando:
sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sda1
mmls mostra le partizioni che si trovano all'interno di un file immagine nel caso si sia salvato il contenuto dell'intero disco. Per listare le partizioni contenute nel file immagine, digitare il comando:
mmls nome_immagine -B
Autopsy
Autopsy è un front-end basato su html integrato nella suite The Sleuth Kit, che permette di usare il browser come interfaccia grafica, anche da remoto se connessi in rete.
Mostra i dettagli circa i dati cancellati e la struttura del filesystem sotto investigazione.
Installazione
Installare il pacchetto autopsy.
Utilizzo
Può essere avviato da LiveUSB o LiveDVD di Ubuntu o derivata, oppure da un sistema installato su altro disco. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi.
Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata autopsy e che l'indirizzo IP sia 192.168.0.1, digitare in un terminale il seguente comando:
sudo autopsy -d /media/disk/autopsy 192.168.0.1
Per approfondire l'uso consultare la documentazione ufficiale.
Recupero dati
In questa pagina viene mostrato uno script che estrae i file da un'immagine usando fls e icat. Questo script invece cercherà di ricostruire le cartelle del filesystem e la struttura dei file.
