Di seguito gli interventi pubblicati in questa sezione, in ordine cronologico.
Per divertirmi mi sono chiesto, cosa succederebbe ad un'immagine JPG o ad un MP3 se inserissi del codice esadecimale o del testo al loro interno, senza un orientamento ben preciso, insomma una steganografia manuale. Quindi ho deciso di provare a tradurre in esadecimale una frase:
$ echo "ciao mondo! Uffa sempre questa come frase esempio :)" | xxd -p
6369616f206d6f6e646f2120556666612073656d70726520717565737461 20636f6d65206672617365206573656d70696f203a290a
Ottenendo la conversione in esadecimale della frase, poi aprendo con un editor esadecimale una JPG ho provato ad incollare il suddetto codice, partendo dall'offset 11 (in decimale), salvo l'immagine modificata e provo a visualizzarla...tutto ok! L'immagine non presenta alterazioni visibili. :)
Se faccio l'operazione inversa: $ echo "6369616f206d6f6e646f2120556666612073656d70726520717565737461 20636f6d65206672617365206573656d70696f203a290a" | xxd -r -p ciao mondo! Uffa sempre questa come frase esempio :)
Quindi ho pensato di automatizzare il procedimento di steganografia ed è nato bsteg.sh che riporto qui:
#!/bin/bash # BrutalStego - by Nanni Bassetti - http://www.nannibassetti.com - nannib@libero.it # a simple steganographic tool for Linux echo "Insert the message to hide:" read ms... Continua a leggere...
Annuncio l'uscita di CAINE v0.3
- Aggiunti: libewf-20080501, afflib-3.3.4. - Aggiornato TSK 3.0 (ricompilato). - Sistema aggiornato con l’ultimo kernel. - Corretto un bug a SFDumper di adattamento al sistema CAINE
Adesso CAINE ha lo Sleuthkit ed Autopsy ricompilati per il riconoscimento delle immagini AFF e formato ENCASE.
http://www.caine-live.net/page5/page5.html
Il mio amico e collega di CFItaly, Denis Frati, curerà il lato tecnico di un corso di introduzione alla Computer Forensic in quel di Torino.
Tutti i dettagli sul sito di Denis Frati. Correte ad informarvi!
Oggi sono molto contento, perchè sia il Linux Day di Reggio Calabria dove hanno partecipato i CFIini:
Gianni Amato, Loris Borgese, Achille Foti
è andato benissimo, da quel che mi dicono, vi è stata una platea interessata ed interattiva...
Il Linux Day di Modena con: Nanni Bassetti, Denis Frati, Giancarlo Giustini e Giordano Lanzi è andato lo stesso benissmo, abbiamo conosciuto il professor Michele Colajanni, ... Continua a leggere...
Ciao a tutti,
ecco il mio nuovo nato FKLook trattasi di uno script bash per Linux, che vi permette di cercare le keyword in una directory piena zeppa di file e copiare tutti quelli che la contengono in una directory di vostra scelta, in modo tale da avere un repository di file selezionati in base alla keyword.
Testatelo!
ciao
# /bin/bash/ # File Keywords searching tool by Nanni bassetti http://www.nannibassetti.com - nannib@libero.it echo "###################################################################" echo "FKLOOK - by Nanni Bassetti http://www.nannibassetti.com - nannib@libero.it" echo "by this script you can search for a keyword in many files" echo "and it copies only the files those match with the keyword, in a separated directory you chose" echo "###################################################################" echo " " echo "Write the output directory where you to save the files (eg. /media/myfiles):" read outdi data=$(date | sed 's/ //g' | sed 's/://g' | sed 's/[[:alpha:]]//g') mkdir $outdi$data outdir=$outdi$data echo "This is the directory for your repository: ".$outdir echo "Write directory contains the files where you want to looking for the keyword:" read indir echo "Write the keyword search:" read key grep -aR -i $key $indir/*.* > $outdir/filelist.txt fn="$(cat $outdir/filelist.txt | awk -F ":" '{print $1}'|sed 's/*//')" cp $indir/$fn $outdir 2>/dev/null cd $outdir ls -l
Il tempo libero serve anche a sperimentare e quando si ha la passione per la computer forensics, son dolori....
Tramite Nigilant32 (presente nella parte Live di Helix 2) faccio l'immaginedella Ram del mio PC, mentre è in uso, e la salvo sul file RAM.IMG.
ram.img - dump della mia ram 1.3Gb
Tramite editor esadecimale, vedo che tra le tante stringhe, contenute nel file, ne prendo una a casaccio per fare il mio test, la stringa è "awatarami". Cerco con strings e il parametro -t d (che mi genera anche l'offset in decimale) ottenendo:
... Continua a leggere...
Segnalo un buon articolo scritto dall'amico Alessio Grillo:
Nell’ambito di una simulazione di indagine su un dispositivo di memorizzazione di massa, effettuata ai fini dell’elaborazione di una tesi di laurea dal titolo “Computer Forensics e software Open Source”, è stato possibile mettere a punto una tecnica per il recupero dei file ODT che generalmente non vengono estrapolati in modo corretto dal famoso tool di data carving Foremost. In fase di simulazione, infatti, sono stati salvati sul dispositivo numerosi file, tra i quali diversi di tipo OpenOffice con estensione ODT. Dopo la formattazione del supporto si è proceduto al recupero dei dati eliminati prima con le tradizionali tecniche filesystem dependant... Continua a leggere...
Ecco qui la versione di FUNDL - File Undeleter, tool basato su lo Sleuthkit per Linux, finalmente per Windows 32:
DOWNLOAD
In sostanza si tratta di un ripping dell'ambiente CygWin, che ho fatto con le mie manine, portandomi appresso i file necessari per far funzionare il tutto. Sfrutta lo Sleuthkit (TSK) col nuovo FLS che risolve i problemi di recupero dei file orfani....insomma con questo si recuperano tutti i files cancellati! Si parte con START.BAT
Il percorso del file immagine deve essere sempre scritto così:
/cygdrive/LETTERA_VOLUME/Dir_file_immagine/file.dd
LETTERA_VOLUME sarebbe C o D ecc. ecc.
Fatemi sapere se funzia bene Grazie!
CAINE: A new open source live distribution for digital forensics
Sviluppata da: Giancarlo Giustini, Mauro Andreolini, Michele Colajanni
E-mail: ing.giustini@gmail.com, mauro.andreolini@unimore.it, michele.colajannig@unimore.it
Department of Information Engineering University of Modena and Reggio Emilia
SITO WEB: http://www.caine-live.net/
Nella versione in sviluppo è stato inserito anche Selective File Dumper (SFDumper)
Qual'è la diversità di CAINE? L'idea NUOVA è sulla creazione del report automatico, dopo aver effettuato tutte le operazioni, di acquisizione, analisi, comandi da terminale ecc., l'interfaccia permette di creare un report con tutti i log files delle operazioni fatte ed in più permette di aggiungere delle note ed una personalizzazione.
Ma non solo questo....CAINE si differenzia dalle altre distro, per la facilità d'uso, l'uso di un'unica GUI (interfaccia grafica) che permette il lancio dei vari tool ed una buona usabilità del tutto.
E' poco dispersiva, facile da usare, svincolando così l'operatore da ciò che spaventa tanti, ossia la difficoltà di operare con Linux e con le sue Terminal Windows
Questo è quanto mi ha colpito di più...ma magari Giancarlo ha da aggiungere qualcosa che mi è sfuggito ;)
La distro è stata presentata alla OSSConf2008 SITO: http://www.caine-live.net/
|