Traffic optimization

423 post pubblicati dal 29 Dicembre 2007 - Oggi è stato pubblicato 1 post

Computer forensics, volete saperne di più?

16/01/08 9:25 PM - Autore: Luigi
Questo articolo è stato archiviato nella categoria Software e ci sono 0 Commenti

L’informatica forense e la scienza che studia, l’individuazione, la conservazione e l’estrazione dei dati da presentare in sede giuridica. Al momento del sequestro dei supporti informatici è di estrema importanza poter certificare che non sono avvenute modifiche sul supporto originale, ecco perché vengono utilizzati algoritmi di hashing tipo: MD5 oppure SDHA1. Solitamente le analisi non vengono effettuate sul supporto originale ma ne viene fatta una copia speculare bit-bit su un altro supporto.

(estratto da http://it.wikipedia.org/wiki/Informatica_forense)

Le fasi che si susseguono in un analisi forense sono le seguenti:

- Copia bit-bit del supporto da analizzare ( può essere un disco magnetico, piuttosto di un hd esterno etc…)

- Creazione della chiave di hash che validerà la nostra copia( utilizzati algoritmi sopra citati)

- Analisi dei dati contenuti

- Estrazione dei dati utili in campo tecnico per atto probatorio

Supporti

In questo primo articolo ci concentreremo soprattutto sulla prima fase, riguarda la copia bit-bit di un qualsiasi supporto. Non analizzeremo tools di tipo commerciale benché ne esistano di più svariato genere, ma ci concentreremo su tools messi a disposizioni da una qualsiasi versione GNU/Linux.

I due strumenti che volevo presentarvi sono dd e dcfldd. Partiamo con l’introdurre (solitamente lo si trova su tutte le distribuzioni GNU/linux installato come pacchetto di default) il primo strumento, dd.

Al contrario dei tools di backup, non comprime o ottimizza le informazioni gestite ma si occupa solo di fare una copia speculare del supporto originale mantenendo inalterata anche la dimensione.

Le opzioni di base che potete utilizzare, sono:

bs=n

indica la grandezza del blocco da copiare, la minima è 512 byte
count=n

copia solo n blocchi

if = <nome_file> o <device_sorgente>

indica il nome del file o il device sorgente da copiare

of= <output_file>

indica l’elemento in cui salvare la copia

noerror

all’atto di copia, se si verificano errori, indica al programma di non proseguire

sync

in un unione con noerror permette in caso di errore di non prendere in considerazione e quindi non

copiare il blocco nel file destinazione.

skip=BLOCKS

non copia i primi k bytes

Ora vediamo qualche semplice esempio di utilizzo:

- immaginiamo di voler fare una copia speculare di un hard-disk, si può procedere nel seguente modo

dd if=/dev/hda of=/mnt/hdaBackup.dd bs=1024

Naturalmente /dev/hda rappresenta il device che volete copiare.

La seconda fase è quella di validare la nostra copia, a fini giuridici, facendo nel seguente modo:

- supponiamo di scegliere come algoritmo di hashing MD5, allora dobbiamop procedere digitando:

md5sum /mnt/hdaBackup.dd > /mnt/hdaBackup.md5

Una volta validata possiamo proseguire con l’estrazione dei dati e quindi l’analisi del nostro supporto.

Il secondo tool che volevo presentarvi è un evoluzione di dd lo potete scaricare a questo

link: http://dcfldd.sourceforge.net/ , è stato progettato dal Department of Defense Computer Forensics, si contraddistingue dal precedente per il fatto che riesce a validare ogni singolo blocco copiato (in fase di clonazione, quindi simultaneamente alla copia) e l’intera immagine finale del nostro supporto.

Vediamone un esempio:

- stavolta immaginiamo di voler copiare un chiave USB dovremo procedere nel seguente modo:

dcfldd if=/dev/sdb conv=syn,noerror hashwindow=4M hashlog=/mnt/sdbBackup.img.md5 of=/mnt/sdbBackup.img

Vediamo di capire cosa abbiamo fatto:

indichiamo di non copiare il blocco preso in considerazione se avviene un errore,

calcoliamo l’hash ad ogni blocco di 4 Mb e nel contempo salviamo un file di log.

Dopodiché anche in questo caso passiamo ad estrarre i dati anlizzandone il contenuto.

Come avete visto da questo piccola intro sull’informatica forense, si può mettere in piedi un mini laboratorio utilizzando tutti strumenti che si trovano, oramai in tutte le distribuzioni GNU/Linux, sotto licenza freeware, senza dover affidarsi a costosissimi software proprietari.

Spero che questa prima parte sia servita a darvi lo spunto per approfondire questo argomento che negli ultimi anni sta riscuotendo sempre più interesse.

Happy Hacking

Iscriviti al mio feed

Invia articolo ad un amico

Articoli che potrebbero interessarti:

  1. VIDEO REVIEW: MSI win UI100 computer ultraportatile tutto da scoprire Per chi volesse saperne di più sul computer ultraportatile msi win ui100, basta che segua questa video recensione semplice ed...
  2. Windows XP - Volete un sostituto di windows explorer con cui poter fare di tutto? Oggi volevo presentarvi un software che vi permetterà di sostituire windows explorer aggiungendo tante caratteristiche innovative e sorprendenti. AccelMan è...

Ricevi gratis i futuri articoli (via e-mail) di Scanews inserendo il tuo indirizzo qui sotto:

Stampa questo articolo Stampa questo articolo

Vota questo articolo:

1 Stella2 Stelle3 Stelle4 Stelle5 Stelle (No Ratings Yet)
Loading ... Loading ...
Puoi lasciare un messaggio, oppure fare un trackback.

Rispondi al commento

Hacking - Google hack navigare senza restrizioni
Scarica gratis dal WEB tutte le canzoni che vuoi …
Chiudi
Invia e-mail