Soluzione test di Computer Forensics
Il bravo Mario Pascucci ha pubblicato la soluzione al suo test/esercizio di computer forensics QUI :)
Il caro amico Denis Frati ha risolto meglio di tutti i partecipanti...quindi COMPLIMENTI!!!!
Il caro amico Denis Frati ha risolto meglio di tutti i partecipanti...quindi COMPLIMENTI!!!!
Ma vediamo come ho agito io, superficialmente e non dedicandomi a fondo, peccato, ma quando c'è agonismo mi faccio prendere dalla fretta 
, un difetto che mi porto dietro da quando ero piccolo, mi sa che mi converrebbe un corso di Yoga
, un difetto che mi porto dietro da quando ero piccolo, mi sa che mi converrebbe un corso di Yoga Ok, vediamo le mie soluzioni:
Lancio FTK Imager da Windows è vedo subito che:
La partizione visibile si chiama: data-hide seriale 48FD-A890
img_0085.jpg
img_0090.jpg
img_0112.jpg
img_0133.jpg
linux_virus.pdf
Ho beccato la partizione nascosta (Volume Label: nascosto1 Seriale: 48FD-AE42) è l'ho estratta con FTK Imager e anche col dd tagliandola dal settore 1972530 per un numero di settori pari 1976014
ricavando un'immagine di 1Gb circa (964Mb).
Con FTK Imager le JPG dei circuiti elettronici e della casa al buio si vedono subito e si salvano:
IMG_0154.jpg, 155,156,477
i file system sono entrambi:
FAT32
Della partizione data-hide ci sono 11,8 Mb occupati e 949Mb liberi
Linux_virus.pdf creato il 21/10/2008 12.10,59 modificato il 06/09/2008
23.08
IMG_0133.JPG creato il 21/10/2008 12.08 modificato il 19/08/2007 19.08
IMG_0112.JPG creato il 21/10/2008 12.08 modificato il 15/08/2007 12.08
IMG_0090.JPG creato il 21/10/2008 12.08 modificato il 12/08/2007 12.08
IMG_0085.JPG creato il 21/10/2008 12.08 modificato il 12/08/2008 12.08,
nascosto111,1 Mb spazio occupato e 951Mb libero
IMG_0477.JPG Creato:21/10/2008 12.26,57 modificato: 21/10/2008 12.26,46
IMG_0156.JPG Creato:21/10/2008 12.26,57 modificato: 21/10/2008 12.26,40
IMG_0155.JPG Creato:21/10/2008 12.26,56 modificato: 21/10/2008 12.26,38
IMG_0154.JPG Creato:21/10/2008 12.26,56 modificato: 21/10/2008 12.26,34
Chiaramente usando il carving si sarebbero beccati anche gli altri file, che mi avrebbero messo in allarme, sulla presenza di un'ulteriore partizione (la famigerata nascosto2), ma sono stato ligio alle regole e non ho usato il carving, se non dopo aver dato la soluzione iniziale.
La partizione visibile si chiama: data-hide seriale 48FD-A890
img_0085.jpg
img_0090.jpg
img_0112.jpg
img_0133.jpg
linux_virus.pdf
Ho beccato la partizione nascosta (Volume Label: nascosto1 Seriale: 48FD-AE42) è l'ho estratta con FTK Imager e anche col dd tagliandola dal settore 1972530 per un numero di settori pari 1976014
ricavando un'immagine di 1Gb circa (964Mb).
Con FTK Imager le JPG dei circuiti elettronici e della casa al buio si vedono subito e si salvano:
IMG_0154.jpg, 155,156,477
i file system sono entrambi:
FAT32
Della partizione data-hide ci sono 11,8 Mb occupati e 949Mb liberi
Linux_virus.pdf creato il 21/10/2008 12.10,59 modificato il 06/09/2008
23.08
IMG_0133.JPG creato il 21/10/2008 12.08 modificato il 19/08/2007 19.08
IMG_0112.JPG creato il 21/10/2008 12.08 modificato il 15/08/2007 12.08
IMG_0090.JPG creato il 21/10/2008 12.08 modificato il 12/08/2007 12.08
IMG_0085.JPG creato il 21/10/2008 12.08 modificato il 12/08/2008 12.08,
nascosto111,1 Mb spazio occupato e 951Mb libero
IMG_0477.JPG Creato:21/10/2008 12.26,57 modificato: 21/10/2008 12.26,46
IMG_0156.JPG Creato:21/10/2008 12.26,57 modificato: 21/10/2008 12.26,40
IMG_0155.JPG Creato:21/10/2008 12.26,56 modificato: 21/10/2008 12.26,38
IMG_0154.JPG Creato:21/10/2008 12.26,56 modificato: 21/10/2008 12.26,34
Chiaramente usando il carving si sarebbero beccati anche gli altri file, che mi avrebbero messo in allarme, sulla presenza di un'ulteriore partizione (la famigerata nascosto2), ma sono stato ligio alle regole e non ho usato il carving, se non dopo aver dato la soluzione iniziale.
Cosa si poteva fare?
Usare sigfind dello Sleuthkit per avere tutte le firme che individuano la partizione, ottenendo il risultato in settori, ecc. ecc. seguendo la risoluzione di Denis.... 
Spesso la memoria e la fretta ci tradiscono, chiaramente, sono cose che "devono/possono" accadere solo nei game e non nella realtà (si spera), dove si ha più tempo e più concentrazione e confronto con gli altri.....
Spesso la memoria e la fretta ci tradiscono, chiaramente, sono cose che "devono/possono" accadere solo nei game e non nella realtà (si spera), dove si ha più tempo e più concentrazione e confronto con gli altri.....Anche col carving si poteva risolvere e partendo dall'offset del file e conoscendo l'inizio della partizione nascosto2 si poteva, anche col semplice fls o con ifind ed icat risolvere...
Bhè ottimo esercizio didattico....di nuovo complimenti a Mario!
Commenti