Il sottoscritto, insieme a Denis Frati, ha sviluppato un tool che faciliterà la ricerca dei files per tipologia o meglio per estensione (es. .doc o .jpg).
Infatti per cercare tutti i files di un certo tipo e poi salvarli diventa abbastanza complicato o manuale.
Grazie allo Sleuthkit ed Autopsy si possono cercare i files con una certa estensione, nel file system, ma poi bisogna esportarli manualmente nella cartella REPERTI, stesso dicasi per i files cancellati ed infine col FOREMOST si effettua un carving, con conseguente duplicazione tra i files “carvati”, di quelli già estratti in precedenza (attivi e cancellati), infine si potrebbe effettuare una ricerca per stringhe/keywords sul set di files che si sono salvati usando Sleuthkit e foremost.
Tutte queste operazioni portano via moltissimo tempo e vanno fatte manualmente.
Ecco che abbiamo pensato a scrivere questo bash script SFDUMPER.SH che fa tutte le operazioni su descritte automaticamente ed inoltre elimina i file carvati doppioni dei files cancellati e attivi estratti con lo Sleuthkit.
Lo script è interattivo, lavora sulla partizione che chiede di scegliere, partendo da un file immagine o direttamente dal dispositivo (es. /dev/sdb).
Download ed informazioni su:
http://sfdumper.sourceforge.net
|