Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Questa guida illustra concisamente la suite The Sleuth Kit, composta dal programma Sleuthkit specificatamente progettato per l'analisi forense, esso supporta svariati tipi di filesystem come ad esempio NTFS, FAT, exFAT, HFS+, Ext2/3/4, UFS1/2 e YAFFS2, mentre il programma Autopsy è il front-end fornente l'interfaccia grafica per la suite The SleuthKit.
L'uso improprio o malaccorto dei programmi distribuiti colla suite The Sleuth Kit può condurre a commettere il reato d'accesso abusivo ad un sistema informatico. Pertanto si rammenta che è vietato accedere a contenuti di terzi, senza l'esplicita e preventiva autorizzazione dei medesimi.
Sleuthkit
La suite The Sleuth Kit ha un ricco corredo di funzioni per svolgere l'analisi forense, in grado di girare su qualsiasi piattaforma UNIX.
Il programma Sleuthkit è da usare tramite terminale, volendo usare un'interfaccia grafica leggere questo paragrafo.
Installazione
Installare il pacchetto sleuthkit.
Uso
Sleuthkit è un programma in grado di trovare, recuperare e ricostruire da interi file system ai loro singoli contenuti come directory e file, anche se cancellati o nascosti.
Per approfondire l'uso consultare la documentazione ufficiale.
dls è in grado di estrarre i blocchi non allocati (cancellati) da un dispositivo o da un file immagine col comando:
dls inputimage > outputimage
* Usare in seguito un programma di recupero dati per cercare i file dall'immagine di output.
fls elenca i nomi dei file e delle cartelle di un immagine ed è in grado di visualizzare i nomi dei file eliminati di recente dalle cartelle con l'inode specificato. Se il filesystem è stato recuperato in un file chiamato "loopfile", è possibile elencare il contenuto digitando il comando:
fls loopfile -r -f fat -i raw
* La schermata mostrata sarà simile alla seguente:
r/r 3: test (Volume Label Entry) r/r 0. 5: sample.docx r/r 0. 7: sample.pptx r/r 0. 9: sample.xlsx
icat apre l'immagine e copia i file con il numero di inode specificato sullo standard output. Se fls ha mostrato l'inode dei file presenti sull'immagine, per recuperare i file digitare il comando:
icat -r -f fat -i raw loopfile 5 > sample.docx
sorter ordina i file presenti in un immagine per tipo di file. Per ordinare tutti i file presenti sul dispositivo /dev/sda1 e mettere il file immagine in una cartella denominata out digitare il comando:
sudo sorter -h -s -i raw -f fat -d out -C /usr/share/sleuthkit/windows.sort /dev/sda1
mmls mostra le partizioni che si trovano all'interno d'un file immagine nel caso si sia salvato il contenuto dell'intero disco. Per listare le partizioni contenute nel file immagine, digitare il comando:
mmls nome_immagine -B
Autopsy
Autopsy è un front-end basato su html integrato nella suite The Sleuth Kit, che permette d'usare il navigatore come interfaccia grafica, anche da remoto se connessi in rete.
Mostra i dettagli circa i dati cancellati e la struttura del filesystem sotto investigazione.
Installazione
Installare il pacchetto autopsy.
Uso
Può essere avviato da LiveUSB o LiveDVD di Ubuntu o derivata, oppure da un sistema installato su altro disco. Bisognerà indicare un disco sul quale salvare le informazioni estratte e un indirizzo IP verso il quale connettersi.
Per esempio, assumendo che si disponga di un dispositivo montato in /media/disk con una cartella chiamata autopsy e che l'indirizzo IP sia 192.168.0.1, digitare in una finestra di terminale il seguente comando :
sudo autopsy -d /media/disk/autopsy 192.168.0.1
Per approfondire l'uso consultare la documentazione ufficiale.
Recupero dati
In questa pagina viene mostrato uno script che estrae i file da un immagine usando fls e icat. Questo script invece cercherà di ricostruire le cartelle del filesystem e la struttura dei file.
