## page create by wilecoyote #format wiki #language isuitet <> <
> <> = Introduzione = Questa guida illustra concisamente la suite '''[[#ur|The Sleuth Kit]]''', composta dal programma '''Sleuthkit''' specificatamente progettato per [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]]. Esso supporta svariati tipi di filesystem come ad esempio '''NTFS''', '''FAT''', '''exFAT''', '''HFS+''', '''Ext2/3/4''', '''UFS1/2''' e '''YAFFS2''', mentre il programma '''Autopsy''' è il [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] che fornisce l'interfaccia grafica per la suite '''[[#ur|The SleuthKit]]'''. {{{#!wiki important L'uso improprio o malaccorto dei programmi distribuiti con la suite '''[[#ur|The Sleuth Kit]]''' può condurre a commettere il reato di [[https://www.brocardi.it/codice-penale/libro-secondo/titolo-xii/capo-iii/sezione-iv/art615ter.html|accesso abusivo ad un sistema informatico]]. Pertanto si ricorda che __è vietato__ accedere a contenuti di terzi, senza l'esplicita e preventiva autorizzazione dei medesimi.}}} = Sleuthkit = La suite '''[[#ur|The Sleuth Kit]]''' ha un ricco corredo di funzioni per svolgere [[https://it.wikipedia.org/wiki/Informatica_forense|l'analisi forense]], in grado di girare su qualsiasi piattaforma UNIX. Il programma '''Sleuthkit''' è da usare tramite [[AmministrazioneSistema/Terminale|terminale]]. Se si desidera usare un'interfaccia grafica leggere questo [[#grafica|paragrafo]]. == Installazione == [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://sleuthkit|sleuthkit]]. == Utilizzo == '''Sleuthkit''' è un programma in grado di trovare, recuperare e ricostruire sia interi filesystem sia i loro singoli contenuti, come directory e file, anche se cancellati o nascosti. Per approfondire l'uso consultare la [[https://www.sleuthkit.org/autopsy/docs.php|documentazione ufficiale]]. 0. '''dls''' è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine con il comando:{{{ dls inputimage > outputimage }}} In seguito si dovrà usare un [[#recupero|programma di recupero dati]] per cercare i file dall'immagine di output. 0. '''fls''' elenca i nomi dei file e delle cartelle di un'immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'`inode` specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencare il contenuto digitando il comando:{{{ fls loopfile -r -f fat -i raw }}} La schermata mostrata sarà simile alla seguente:{{{ r/r 3: test (Volume Label Entry) r/r 0. 5: sample.docx r/r 0. 7: sample.pptx r/r 0. 9: sample.xlsx }}} 0. '''icat''' apre l'immagine e copia i file con il numero di `inode` specificato sullo standard output. Se ''fls'' ha mostrato l'`inode` dei file presenti sull'immagine, per recuperare i file digitare il comando:{{{ icat -r -f fat -i raw loopfile 5 > sample.docx }}} 0. '''sorter''' ordina i file presenti in un'immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo `/dev/sda1` e mettere il file immagine in una cartella denominata `out` digitare il comando:{{{ sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sda1 }}} 0. '''mmls''' mostra le partizioni che si trovano all'interno di un file immagine nel caso si sia salvato il contenuto dell'intero disco. Per listare le partizioni contenute nel file immagine, digitare il comando:{{{ mmls nome_immagine -B }}} <> = Autopsy = '''Autopsy''' è un [[https://it.wikipedia.org/wiki/Front-end_e_back-end|front-end]] basato su '''html''' integrato nella suite '''[[#ur|The Sleuth Kit]]''', che permette di usare il [[InternetRete/Navigazione|browser]] come interfaccia grafica, anche da remoto se connessi in rete. Mostra i dettagli circa i dati cancellati e la struttura del filesystem sotto investigazione. == Installazione == [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://autopsy|autopsy]]. == Utilizzo == Può essere avviato da [[Installazione/CreazioneLiveUsb|LiveUSB]] o [[Hardware/DispositiviPartizioni/MasterizzareIso|LiveDVD]] di '''Ubuntu''' o derivata, oppure da un sistema installato su altro drive. Bisognerà indicare un supporto di memoria sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi. Ad esempio, assumendo che si disponga di un dispositivo montato in `/media/disk` con una cartella chiamata `autopsy` e che l'indirizzo IP sia `192.168.0.1`, digitare in un terminale il seguente comando:{{{ sudo autopsy -d /media/disk/autopsy 192.168.0.1 }}} Per approfondire l'uso consultare la [[https://www.sleuthkit.org/autopsy/docs.php|documentazione ufficiale]]. <> = Recupero dati = In [[http://forums.gentoo.org/viewtopic-t-365703.html|questa pagina]] viene mostrato uno script che estrae i file da un'immagine usando `fls` e `icat`. [[http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/|Questo script]] invece cercherà di ricostruire le cartelle del filesystem e la struttura dei file. <> = Ulteriori risorse = * [[http://www.sleuthkit.org/|Sito ufficiale di Sleuthkit e Autopsy]] * [[http://wiki.sleuthkit.org/index.php?title=Autopsy|wiki ufficiale Autopsy (in inglese)]] * [[http://wiki.sleuthkit.org/index.php?title=The_Sleuth_Kit|wiki ufficiale Sleuthkit (in inglese)]] ---- CategoryAmministrazione