SeminarioComputer Forensics
Vicino Francesco Sicurezza Informatica – Prof. Bistarelli
Seminario
Computer Forensics
Vicino Francesco Sicurezza Informatica – Prof. Bistarelli
Computer Forensics
Introduzione
Il laboratorio di Analisi
Helix
Analisi su Windows
Analisi su Linux
Catena di custodia
Introduzione Computer Forensics
”La disciplina che si occupa della prevenzione, dell'identificazione, dello studio delle informazioni contenute nei computer o nei sistemi informativi in generale, al fine di evidenziare l'esistenza di prove utili allo svolgimento dell'attività investigativa”
Introduzione
L'applicazione della computer forensics non è limitata solo ai computer ma viene applicata su qualsiasi dispositivo tecnologico costituito da una parte fisica e da una parte logica contenete le informazioni digitali.
Computer Forensics
Introduzione
Il laboratorio di Analisi
Helix
Analisi su Windows
Analisi su Linux
Catena di custodia
Laboratorio di Analisi
Gli strumenti che adotteremo per effettuare l'analisi
Punti chiave sono due:
- La ridondanza: necessaria in quanto il forenser non può permetersi di perdere nemmeno un dato in suo possesso.
- La velocità: necessaria in quanto si lavora con un grosso quantitativo di dati.
Laboratorio di Analisi
La scelta del sistema operativo da adottare per eseguire un analisi forense ricade su Linux.
Vantaggi di Linux:
- Ampio supporto di file system (più di 30), mentre Windows gestisce solo ISO 9660, NTFS e FAT e Mac OSX gestisce solo HFS, ISO 8660,NTFS, USF e FAT.
- Architettura Unix-like: ognu cosa è un file, ci permette le stesse operazioni a livelli diversi (file, file system, device...) utilizzando gli stessi tool.
- Costi di licenza nulli
Laboratorio di Analisi
Svantaggi di Linux
- Confusione: ci sono centinaia di distribuzioni linux. F.I.R.E. : una delle prime distribuzioni, il sito non viene aggiornato dal 2004.
IR-Italy : progetto italiano nato in collaborazione tra l'università di Milano e il polo didattico si Crema, ci sono poche informazini sul suo funzinamento.
Helix : attualmente la migliore distribuzione linux orientata alla computer forensics aggiornata regolatmente.
Computer Forensics
Introduzione
Il laboratorio di Analisi
Helix
Analisi su Windows
Analisi su Linux
Catena di custodia
Helix
E' una distribuzione linux incentrata alla computer forensics
Contiene titti i tool già aggiornati e comprende un software che gira sotto windows.
La Parte Windows
Helix
Helix
Helix
Helix
Helix
Helix
System info: ci fornisce le informazioni riguardanti la configurazione del sistema
Running process: ci fornisce l'elenco di tutti i processi attivi
Wiaudit: fornisce una panoramica molto precisa dell'hardware, del sistema operativo, comprese le patch installate configurazioni del sistema e del firewall.
PC Inspector: permette il recupero di file da file system FAT e NTFS e permette di lavorare su supporti danneggiati.
PC ON/OFF : accensione e sospensione sistema ultime 3 settimane
Helix
PST password viewer: estrae password dal client di posta.
Messanger password: estrae password da msn, ICQ, GAIM.
Network password viewer: sniffa passwor di rete.
Mozilla cookie viewer: visualizza i cookies di firefox.
IE cookie viewer: visualizza i cookies di IE.
Protected Storage viewer: estrae password salvate all'interno di IE.
USB Deview: visualizza tutti i supporti USB che sono stati collegati al computer.
Helix
La parte Linux
Helix
Adepto: scopre tutti i media collegati, gestisce la catena di custodia.
Retriver: estrae e cataloga tutte le immagini e i video dei dispositivi collegati.
Autopsy: esegue analisi di file system senza doverli montare.
Reg viewer: permette analisi del file di registro.
Wiresharck: sniffing di rete.
Xfprot: antivirus.
TrueCrypt: permette di criptare interi dischi rigidi.
Opchrack: recupera le password.
Helix
Meld: ferifica differenze tra file e cartelle.
Linen: crea file immagini di device.
HFS volume browser: permette di visualizzare il contento di volumi HFS.
Comments