Di seguito tutti gli interventi pubblicati sul sito, in ordine cronologico.
Ciao a tutti amici di CFI,
tempo fa si è discusso di creare un'associazione CFI per promuovere alcune cose.
Il progetto è risultato abbastanza arduo da concretizzare, dunque a Giugno, il sottoscritto, Walter Paolicelli e Rocco Gianluca Massa, si sono incontrati per parlare di un
new deal dell'associazione World Wide Crime
(
http://www.worldwidecrime.it) in essere già da qualche anno, con tanto di statuto, direttivo, corsi e seminari effettuati ecc. ecc.
Morale della favola? Sono entrato nel direttivo ed insieme a Walter e Gianluca, abbiamo messo giù dei punti :
http://nuke.worldwidecrime.it/Associarsi/tabid/78/Default.aspxche ricordano molto gli intenti che avevamo per CFI.
Non è cambiato niente dall'idea reggente il progetto CFI associazione, gli scopi sono + o - gli stessi, con un occhio di riguardo alla "delocalizzazione" degli eventi, per cercare spargerli su tutto il territorio invece che nelle solite DUE città.
La quota annuale associativa è di soli 15 euro e stiamo per progettare un primo evento di presentazione....che dire speriamo che questo gemellaggio dia soddisfazione a tutti quelli che sentono il bisogno di formazione ed aggregazione su certe tematiche specifiche.
Grazie a tutti
Se si formatta un disco o una pendrive usb, per esempio NTFS, sia con formattazione lenta sia con quella veloce, viene ricreata la MFT (Master File Table), giusto?
I file non vengono cancellati, spariscono alla vista, solo perchè non v'è più un indice, una MFT, che dice al file system dove sono e come si chiamano, ergo usiamo il carving ,(tecnica che non tiene conto del file system), per recuperarli...peccato che si perdono i nomi ed i metadati (data ed ora,e cc.)...giusto?
Non c'è più modo per riavere i nomi dei file, perchè non c'è più MFT che li conserva, essa è stata sovrascritta dalla nuova MFT e tutte le MFT si allocano all'inizio del disco.
Ma come fa RECUVA o R-Studio a recuperare i nomi dei file, ora e date???
L'ho provato su una chiavetta formattata 2 volte, una veloce ed una lenta e poi anche formattando da Linux e comunque riesco a ritrovare alcuni file con il loro nome:
Ho provato con R-Studio ed anche lui ci riesce...solo che ho notato che recupera alcuni metafile della MFT tipo $MFTMirr, $MFTReconstructed, $AttrDef, $Bitmap, $Upcase, $MFT, $Logfile, $Boot che non sono a "0".
Quindi la spiegazione è che in qualche maniera questi metafile non sono stati sovrascritti con quelli nuovi del nuovo filesystem NTFS quando si formatta...però è strano!
Allora ho voluto provare a "scavare", per capire meglio ed ecco cosa ho ricavato:
strings -a -t d -e l /dev/sdb (ricavo le stringhe contenute nel dispositivo)
...
...
42281714 Dl3.jpg
42282738 Dl4.jpg
42282858 15062008013.jpg
42283762 190820~2.JPGjpg0
42283882 19082008023.jpg
42284786 190820~3.JPGjpg0
42284906 19082008024.jpg
42285810 NANNIR~1.JPGa640
42285930 nanniricciola640.jpg
42286834 NANNIL~1.JPGjpg0
42286954 nannileccia.jpg
...
etc.
Guardo con l'editor esadecimale l'offset in byte 42286954 corrispondente a quello riferito alla stringa: nannileccia.jpg
xxd -s 42286954 -l 512 /dev/sdb
2853f6a: 6e00 6100 6e00 6e00 6900 6c00 6500 6300 n.a.n.n.i.l.e.c.
2853f7a: 6300 6900 6100 2e00 6a00 7000 6700 8000 c.i.a...j.p.g...
2853f8a: 0000 4800 0000 0100 0000 0000 0400 0000 ..H.............
2853f9a: 0000 0000 0000 9f01 0000 0000 0000 4000 ..............@.
2853faa: 0000 0000 0000 0040 0300 0000 0000 8e3f .......@.......?
2853fba: 0300 0000 0000 8e3f 0300 0000 0000 22a0 .......?......".
2853fca: 0165 2800 0100 ffff ffff 8279 4711 0000 ..........e(........yG...
2853fda: 0000 0000 0000 0000 0000 0000 0000 0000 ................
2853fea: 0000 0000 0000 0000 0000 0000 0000 0000 ................
2853ffa: 0000 0000 0b00 0000 0000 0000 0000 0000 ................
285400a: 0000 0000 0000 0000 0000 0000 0000 0000................
Provo a cerca se corrisponde ad un i-node (prova idiota lo so! ma visto che ci siamo )
(42286954 - 0)/512 = 82591 (dato che la partizione inizia dal settore 0 ed il cluster size è di 512 bytes)
ifind -f ntfs -o 0 -d 82591 /dev/sdb
Inode not found
Quindi i nomi file ci sono sulla pendrive, ma non sono contenuti in metafile allocati (giustamente dico io), ma i programmi come Recuva, Get Data Back o R-Studio riescono a riassociare questi nomi file buttati nello spazio del disco formattato con i file presenti e quindi ricostruire l'associazione file - metadato.
Come facciano...bho?
Con Autopsy chiaramente non risultano file cancellati e con una ricerca per DATA UNIT, inserendo il valore 82591, si ottiene la visualizzazione grezza di quel cluster, contenente la stringa "nannileccia.jpg".
Bhè spero sia argomento interessante ;)
Attendo Vs. suggerimenti
18/10/2009 CONTRIBUTO DI Evgueni Tchijevski
Prova:
-formattato la chiavetta con ntfs :mft entry 1024 byte e cluster da 1024 byte
-aggiunto alcune foto sulla chiavetta
-formattato di nuovo la chiavetta in ntfs
- aggiungo nel file conf di foremost la seguente riga
mft y 1024 FILE0
(in effetti sarebbe stato più corretto aggiungere anche FILE*)
1024 perchè mi serve tutta l'entry mft e la sua dimensione come detto è 1024
faccio il carving sulla chiavetta.
ottengo un sacco di entry mft ed alcune immagini. per brevità riporto quelli che sono considerati nel caso specifico.
(dal file audit.txt)
80: 01302442.mft 1024 B 666850304
.....
116: 01854266.jpg 469 KB 949384192
.....
apro l'entry mft con xxd
soundwave@mrblack:~/lavoro/forense/foremost/foremost-1.5.6/output/mft$ xxd 01302442.mft
0000000: 4649 4c45 3000 0300 7283 4000 0000 0000 FILE0...r.@.....
0000010: 0100 0100 3800 0100 5801 0000 0004 0000 ....8...X.......
0000020: 0000 0000 0000 0000 0300 0000 4000 0000 ............@...
0000030: 0200 0000 0000 0000 1000 0000 6000 0000 ............`...
0000040: 0000 0000 0000 0000 4800 0000 1800 0000 ........H.......
0000050: 40fb dd12 9450 ca01 d0cc 1679 4544 ca01 @....P.....yED..
0000060: 40f4 f312 9450 ca01 40fb dd12 9450 ca01 @....P..@....P..
0000070: 2000 0000 0000 0000 0000 0000 0000 0000 ...............
0000080: 0000 0000 0601 0000 0000 0000 0000 0000 ................
0000090: 0000 0000 0000 0000 3000 0000 7000 0000 ........0...p...
00000a0: 0000 0000 0000 0200 5800 0000 1800 0100 ........X.......
00000b0: 2300 0000 0000 0100 40fb dd12 9450 ca01 #.......@....P..
00000c0: 40fb dd12 9450 ca01 40fb dd12 9450 ca01 @....P..@....P..
00000d0: 40fb dd12 9450 ca01 0058 0700 0000 0000 @....P...X......
00000e0: 0000 0000 0000 0000 2000 0000 0000 0000 ........ .......
00000f0: 0b03 5900 6f00 6b00 6f00 6100 6d00 6900 ..Y.o.k.o.a.m.i.
0000100: 2e00 6a00 7000 6700 8000 0000 4800 0000 ..j.p.g.....H...
0000110: 0100 0000 0000 0100 0000 0000 0000 0000 ................
0000120: d501 0000 0000 0000 4000 0000 0000 0000 ........@.......
0000130: 0058 0700 0000 0000 f457 0700 0000 0000 .X.......W......
0000140: f457 0700 0000 0000 32d6 019d 250e 0000 .W......2...%...
0000150: ffff ffff 8279 4711 0000 0000 0000 0000 .....yG.........
0000160: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0000170: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0000180: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0000190: 0000 0000 0000 0000 0000 0000 0000 0000 ................
ora facendo parsing della entry si ottengono le seguenti info:
strandard information attribute (è riferito alla entry mft)
file creation ( 40fb dd12 9450 ca01) lun, 19 ottobre 2009 08.13.43 UTC
file alteration ( d0cc 1679 4544 ca01) sab, 03 ottobre 2009 16.20.50 UTC
mft alteration ( 40fb dd12 9450 ca01) lun, 19 ottobre 2009 08.13.43 UTC
file read ( 40fb dd12 9450 ca01) lun, 19 ottobre 2009 08.13.43 UTC
file attribute:
file creation lun, 19 ottobre 2009 08.13.43 UTC
file alteration lun, 19 ottobre 2009 08.13.43 UTC
file read lun, 19 ottobre 2009 08.13.43 UTC
un po' di info sulle policy del file Security ID, permission etc...
File allocation size: 0058 0700 ->481280 byte
Filename- >Yokoami.jpg
L'attribute $Data non è residente all'interno dell'$MFT
quindi i dati sono in cluster puntati dalle info contenute:
cioè: number of cluster d6 01 -> 01d6 -> 470 (verifica- >470* 1024 =481280 byte stessa dimensione degli attributi elencati presedentemente)
offset del primo cluster: 9d250e (0e259d- > 927133*1024= 949384192 -guarda caso l'offset del file 01854266.jpg)
quindi 949384192/512- >1854266 (numero del settore).
Quindi ricapitolando. Si possono ottenere le info da una entry mft non più presente nella tabella MFT.
Ora sta a capire il perchè queste info stanno in giro sul disco.
Da quello che ho capito, potrebbe dipendere da allocazioni non residenti di entry mft, da entry presenti all'interno di $LogFile. altre opzioni?
Appena ho un attimo di tempo, cerco di automatizzare il parsing con uno script (se qualcuno ha voglia e tempo per aiutarmi, benvenga :)
my 2cents :)
Evgueni
------------------------------------
CONTRIBUTO DI NANNI BASSETTI 19/10/2009:
Se faccio una ricerca simile:
strings -t d /dev/sdb | grep -i file0
....
....
72192 FILE0
73216 FILE0
74240 FILE0
75264 FILE0
40154592 FILE0
40155152 FILE0
40158688 FILE0
40159248 FILE0
40162784 FILE0
...
...
(i puntini stanno per eccetera eccetera)
Insomma sembra esserci un "buco" tra i circa 70Kb per poi ricominciare ad apparire verso i circa 38Mb di questa pendrive da 128Mb.
Può essere che la MFT faccia due copie di se stessa?
CONTRIBUTO DI BRON 20/10/2009:
Si effettivamente esistono DUE copie di un parte della MFT
vedi : http://www.easeus.com/resource/ntfs-disk-structure.htm
Anche se non propriamente documentate da MS esiste molto reverse-eng sulle strutture.
CONTRIBUTO DI Evgueni Tchijevski 20/10/2009
*MFT Optimization for NTFS Volumes*
When a volume is formatted with NTFS, a Master File Table (MFT) and other special file system metadata files are created. The MFT is an important data structure for NTFS, consisting of many 1K MFT entries that define all items in the file system. All information about a file—including its size, time and date stamps, permissions, and data content—is stored within or described by MFT entries.
In Windows 2000 and earlier versions of Windows NT, the MFT was typically placed at the start of the disk space available to the file system. In Windows XP, the NTFS format utilities place the MFT 3 GB further into the disk space, which has been found to improve system performance by 5 to 10 percent.
Quindi a questo punto non mi stupisco più di trovare entry mft in mezzo al disco.
Dopo una formattazione semplicemente viene ricreato il file $MFT (e tutti gli altri file di sistema) subito dopo il boot secotor che punta ad un'area (MFT table) "a caso" nel disco.
A metà disco invece viene creato il file $MFTMirr, che contiene 4 (o 16) entry per il ripristino (nel caso il file $MFT venga danneggiato) del file $MFT.
Il file $MFT contiente una entry di se stesso proprio per essere utilizzato nell'MFTMirr (che è la copia di $MFT) in caso di fault.
----------------------------------------------
Nanni Bassetti
con il patrocinio di:
organizza il seminario sul tema
SCENA DEL CRIMINE:
INDAGINI, PROFILING, COMPUTER FORENSICS
SABATO 28 NOVEMBRE 2009 ore 9:00
::: HOTEL SAN DOMENICO AL PIANO:::
- VIA ROMA, 15 - MATERA -
PROGRAMMA
ore 08,30
Iscrizione e registrazione partecipanti
ore 09,00
Saluti
Avv. Emilio Nicola Buccico
Sindaco di Matera – Già Presidente del CNF
Introduce e modera
Dott. Pietro Errede
Magistrato
ore 10,15
Tecniche d’investigazione scientifica
Approfondimento su:
“Il processo imperfetto. La verità sul caso Cogne”
Ten. Col. Luciano Garofano
Comandante del reparto d’investigazioni scientifiche RIS di Parma
Finalmente siamo riusciti a generare la Linux Live Distro per Computer Forensics CAINE 1.0.
Abbiamo applicato delle patch utili e migliorative, grazie al contributo dell'amico Maxim Suhanov.
La distro si è arricchita di parecchi tools ed aggiornamenti, improntata sempre alla massima usabilità ed al reporting.
Che dire di più...andate sul sito ed ENJOY IT!
http://www.caine-live.net
Di
Admin (del 04/11/2009 @ 20:28:46, in
Annunci, linkato 2155 volte)