domenica 19 febbraio 2006

Analisi computer forensics con Windows

PREMESSA : QUESTO è un taccuino scritto all'inizi del mio interesse per la COMPUTER FORENSCIS.... però ritengo interessante pubblicarlo lo stesso 
Ecco come sarebbe stato se avessi avuto un hard disk da analizzare 
Ho cancellato la partizione del mio hard disk esterno, collegato al portatile con cavo usb. 
Ho perso tutti i dati, naturalmente, quindi non mi rimaneva che formattare l'hard disk, ma ho pensato di simulare l'acquisizione di un hard disk simile. 
Ho subito lanciato il comando: 

dd.exe if=\\.\E: of=\\forensics\images\image.dd conv=noerror --md5sum --verifymd5 --md5out=\\forensics\images\image.dd.md5 --log=\\forensics\images\audit.log 

così creo l'immagine del disco E e scrivo la firma MD5. 
La stessa cosa la potevo fare usando il più intuitivo software FTK Imager (che fa sempre parte della distribuzione Helix Knoppix) che firma il file immagine con MD5 e Sha1 (la sicurezza non è mai troppa). 
A questo punto ho provato a lanciare il programma foremost: 

foremost -a -i c:\forensics\images\image.dd -o c:\imgrep 

col parametro -a si beccano pure i file cancellati. Attenzione che la directory di output (c:\imgrep) sia vuota. 
Il foremost, mi crea una serie di cartelle col nome dell'estensione del file, es. AVI per i files avi, JPG per i jpg, ecc. ecc. 
Però sono tutti file frazionati e senza il loro nome originale es. pippo.jpg è diventato 165423.jpg (bo?) 
I files mp3 o avi sono a pezzettini...insomma non sono soddisfatto. 
Provo allora a montare l'immagine, al fine di avere un volume virtuale per poi lanciare Drive Rescue 1.9d (freeware di Alexander Grau). 
Per montare l'immagine provo Filedisk mounter di Bo Branten, ma non funziona. 
Allora scovo un programmino interessante: 
Mount Image Pro che meravigliosamente crea una voce nel menù contestuale (secondo tasto del mouse) che cliccando sul file image.img (ho dovuto rinominare image.dd in image.img per far apparire la voce di menù di Mount Image Pro). 
Improvvisamente cliccando su Risorse del computer vedo il nuovo nato: 
Disco F (non formattato). 
Adesso lancio il Drive Rescue, che per recuperare i files perduti deve prima creare i drives logici e poi, cluster per cluster, recuperare i dati persi....una cosa lunghissima.... 
Non riesco mai a portare a termine il tutto...perciò decido di usare FTK Imager, che è in grado di recuperare i files persi (cliccate sulla cartella Orphans). 
Ok files recuperati, visualizzati e catalogati. 
Ho provato a ripetere il processo sul disco E formattato (formattazione veloce) ed ho visto che si possono recuperare files anche da dischi formattati : - ) (lo sapevo ma vederlo...) 
La cosa bella di tutto ciò è che è stato usato il sistema operativo Windows XP e non Linux, usando i tool per windows che si trovano sulla distro Helix Knoppix e tutto è andato bene. 
Avevo provato a montare l'immagine col mount di Helix Knoppix (boot cd) Linux ma nada de nada, ho provato anche col Linux embedded CygWin, ma il risultato non è cambiato. 
Insomma se avessi realizzato anche le schede per la catena di custodia avrei compiuto un'analisi forense completa. 
Nanni Bassetti Bari