Atti_3 - Ordine degli Ingegneri della provincia di Roma
Atti_3 - Ordine degli Ingegneri della provincia di Roma
Atti_3 - Ordine degli Ingegneri della provincia di Roma
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Helix<br />
<strong>Or<strong>di</strong>ne</strong> <strong>degli</strong> <strong>Ingegneri</strong> <strong>della</strong> Provincia <strong>di</strong> <strong>Roma</strong><br />
Commissione Informatica e Telecomunicazioni<br />
Helix3 è un LiveCD basato su Linux per l’Incident<br />
Response, l’aquisizione dei <strong>di</strong>schi e dei dati volatili, la<br />
ricerca <strong>della</strong> cronologia <strong>di</strong> internet e dei documenti.<br />
L’ultima versione rilasciata è a pagamento.<br />
Il caricamento del CD su un sistema Windows consente<br />
<strong>di</strong> avere a <strong>di</strong>sposizione un ampio campionario <strong>di</strong><br />
strumenti utili all’analisi forense, anche ‘live’ (recupero<br />
password, istanti <strong>di</strong> accensione/spegnimento del PC,<br />
recupero <strong>di</strong> file cancellati.<br />
Se si effettua invece il boot da CD, si avvia un sistema<br />
linux basato su knoppix che non usa mai un sistema <strong>di</strong><br />
swapping e non monta in automatico alcun <strong>di</strong>sco.<br />
Quando lo fa, <strong>di</strong> default è in sola lettura.<br />
Tra I tool presenti ci sono: tool <strong>di</strong> acquisizione immagini<br />
(anche formato encase), Autopsy, RegViewer,<br />
Wireshark, due antivirus, etc.
<strong>Or<strong>di</strong>ne</strong> <strong>degli</strong> <strong>Ingegneri</strong> <strong>della</strong> Provincia <strong>di</strong> <strong>Roma</strong><br />
Commissione Informatica e Telecomunicazioni<br />
Autopsy Forensic browser<br />
Autopsy Forensic Browser è un’interfaccia<br />
grafica a un set <strong>di</strong> utilità forensi utilizzabili da<br />
linea <strong>di</strong> comando (The Sleuth Kit o TSK) e ai<br />
coman<strong>di</strong> UNIX standard. E’ open source.<br />
Consente <strong>di</strong> effettuare l’analisi <strong>di</strong> volumi e <strong>di</strong> file<br />
system <strong>di</strong> sistemi sia UNIX che Windows.<br />
Consente <strong>di</strong> analizzare e navigare la struttura dei<br />
file all’interno delle immagini, i metadati e<br />
in<strong>di</strong>rizzare <strong>di</strong>rettamente i blocchi.<br />
Consente <strong>di</strong> fare ricerche per keyword, verificare<br />
i dettagli e l’integrità delle immagini.<br />
Consente <strong>di</strong> creare una ‘file activity timeline’<br />
basata sui timestamp del file system.<br />
E’ in grado anche <strong>di</strong> effettuare l’or<strong>di</strong>namento dei<br />
file per tipologia e produrre i report delle analisi<br />
effettuate.
<strong>Or<strong>di</strong>ne</strong> <strong>degli</strong> <strong>Ingegneri</strong> <strong>della</strong> Provincia <strong>di</strong> <strong>Roma</strong><br />
Commissione Informatica e Telecomunicazioni<br />
Computer Aided INvestigation Env.<br />
Analogamente a Helix, CAINE offre, su un<br />
LIVECD basato su Ubuntu, un ambiente<br />
completo per l’analisi forense organizzato<br />
per integrare strumenti software esistenti<br />
all’interno <strong>di</strong> un’interfaccia grafica <strong>di</strong> facile<br />
utilizzo.<br />
Collection Tools:<br />
AIR, Guymager<br />
Analysis Tools:<br />
Autopsy, Ophcrack, Foremost,<br />
Stegdetect…<br />
Other tools:<br />
Hex e<strong>di</strong>tor, Word processor, MD5, VLC,<br />
wipe…<br />
Wintaylor: interfaccia <strong>di</strong> accesso a<br />
numerosi tool <strong>di</strong> indagine forense su<br />
sistemi Windows
<strong>Or<strong>di</strong>ne</strong> <strong>degli</strong> <strong>Ingegneri</strong> <strong>della</strong> Provincia <strong>di</strong> <strong>Roma</strong><br />
Commissione Informatica e Telecomunicazioni<br />
EnCase<br />
EnCase è un applicativo per la<br />
‘computer forensic’ prodotto da<br />
Guidance Software e utilizzato per<br />
analizzare I supporti <strong>di</strong>gitali nelle<br />
investigazioni civili/penali, etc<br />
E’ considerato uno strumento<br />
standard ‘de facto’, in quanto<br />
<strong>di</strong>ffusamente adottato da polizia e<br />
agenzie.<br />
E’ un prodotto closed-source, e<br />
include strumenti per<br />
l’acquisizione, il recupero dei file,<br />
la ricerca <strong>di</strong> stringhe e il parsing<br />
dei file.
<strong>Or<strong>di</strong>ne</strong> <strong>degli</strong> <strong>Ingegneri</strong> <strong>della</strong> Provincia <strong>di</strong> <strong>Roma</strong><br />
Commissione Informatica e Telecomunicazioni<br />
AccessData FTK Imager<br />
FTK® Imager è uno strumento per<br />
l’acquisizione e la visualizzazione <strong>di</strong><br />
immagini forensi. FTK Imager può creare<br />
copie esatte dei dati dei computer senza<br />
alcuna alterazione dell’originale. Inoltre è<br />
possibile:<br />
• visualizzare file e cartelle all’interno<br />
delle immagini<br />
• creare immagini forensi dei <strong>di</strong>schi fissi<br />
locali, floppy, ZIP, CD, DVD, cartelle o file<br />
in<strong>di</strong>viduali<br />
• esportare file e cartelle contenuti<br />
nell’immagine forense<br />
• convertire le immagini forensi da un<br />
formato all’altro<br />
• generare report sull’hash per singoli file<br />
e intere immagini <strong>di</strong>sco (*)<br />
(*) fonte: http://www.accessdata.com/
<strong>Or<strong>di</strong>ne</strong> <strong>degli</strong> <strong>Ingegneri</strong> <strong>della</strong> Provincia <strong>di</strong> <strong>Roma</strong><br />
Commissione Informatica e Telecomunicazioni<br />
NetAnalysis<br />
NetAnalysis è il software ‘leader’ in ambito forense per<br />
l’estrazione e l’analisi delle tracce lasciate dall’internet<br />
browser.<br />
HstEx è lo strumento <strong>di</strong> estrazione <strong>della</strong> cronologia, anche<br />
cancellata, associato a NetAnalysis, e può recuperare gli<br />
artefatti <strong>di</strong>rettamente da un file immagine EnCase o ISO.<br />
E’ un prodotto commerciale closed-source (*)<br />
(*) fonte: http://www.<strong>di</strong>gital-detective.co.uk/products.asp
<strong>Or<strong>di</strong>ne</strong> <strong>degli</strong> <strong>Ingegneri</strong> <strong>della</strong> Provincia <strong>di</strong> <strong>Roma</strong><br />
Commissione Informatica e Telecomunicazioni<br />
Virtualizzazione<br />
Live View è uno strumento per l’analisi forense basato su Java che crea una<br />
macchina virtuale VMware partendo da un file immagine ISO o da un <strong>di</strong>sco fisico. (*)<br />
Questo permette all’esaminatore <strong>di</strong> eseguire un ‘boot’ dell’immagine o del <strong>di</strong>sco<br />
guadagnando interattività con la macchina, una prospettiva a livello utente<br />
dell’ambiente, tutto senza mo<strong>di</strong>ficare l’immagine stessa o il <strong>di</strong>sco.<br />
Poiché tutte le mo<strong>di</strong>fiche effettuate al <strong>di</strong>sco vengono scritte su un file separato,<br />
l’esaminatore può invertire gli eventuali cambiamenti apportati e tornare allo stato<br />
originale. Il risultato finale è che non è necessario creare delle ulteriori copie ‘a<br />
perdere’ del <strong>di</strong>sco o dell’immagine per eseguire l’analisi.<br />
Live View consente <strong>di</strong> effettuare l’avvio <strong>di</strong>:<br />
* Immagini dell’intero <strong>di</strong>sco<br />
* immagini <strong>della</strong> partizione <strong>di</strong> avvio<br />
* Dischi fisici (via USB o Firewire)<br />
* Immagini in formato <strong>di</strong>fferente tramite l’uso <strong>di</strong><br />
strumenti <strong>di</strong> ‘mounting’ <strong>di</strong> altre parti<br />
Che contengono I seguenti sistemi operativi:<br />
* Windows 2008, Vista, 2003, XP, 2000, NT, Me, 98<br />
* Linux (limited support)<br />
(*) fonte: http://liveview.sourceforge.net/