Giovanni Bassetti Immagine
 Blog personale di Nanni Bassetti... di Admin
  
"
Un computer sicuro è un computer spento e gettato in fondo al mare, con l'hard disk sbriciolato

N.B.
"
 

\\ Home Page : Articolo
Soluzione test di Computer Forensics
Di Admin (del 04/01/2009 @ 18:51:43, in Computer Forensics, linkato 5085 volte)

Il bravo Mario Pascucci ha pubblicato la soluzione al suo test/esercizio di computer forensics QUI :)

Il caro amico Denis Frati ha risolto meglio di tutti i partecipanti...quindi COMPLIMENTI!!!!

Ma vediamo come ho agito io, superficialmente e non dedicandomi a fondo, peccato, ma quando c'è agonismo mi faccio prendere dalla fretta : - D, un difetto che mi porto dietro da quando ero piccolo, mi sa che mi converrebbe un corso di Yoga : - D

Ok, vediamo le mie soluzioni:

Lancio FTK Imager da Windows è vedo subito che:
La partizione visibile si chiama: data-hide seriale 48FD-A890
img_0085.jpg
img_0090.jpg
img_0112.jpg
img_0133.jpg
linux_virus.pdf


Ho beccato la partizione nascosta (Volume Label: nascosto1 Seriale: 48FD-AE42) è l'ho estratta con FTK Imager e anche col  dd tagliandola dal settore 1972530 per un numero di settori pari 1976014
ricavando un'immagine di 1Gb circa (964Mb).

Con FTK Imager le JPG dei circuiti elettronici e della casa al buio si vedono subito e si salvano:
IMG_0154.jpg, 155,156,477

i file system sono entrambi:
FAT32
Della partizione data-hide ci sono 11,8 Mb occupati e 949Mb liberi
Linux_virus.pdf creato il 21/10/2008 12.10,59  modificato il 06/09/2008
23.08
IMG_0133.JPG creato il 21/10/2008 12.08 modificato il 19/08/2007 19.08
IMG_0112.JPG creato il 21/10/2008 12.08  modificato il 15/08/2007 12.08
IMG_0090.JPG creato il 21/10/2008 12.08  modificato il 12/08/2007 12.08
IMG_0085.JPG creato il 21/10/2008 12.08  modificato il 12/08/2008 12.08,

nascosto1
11,1 Mb spazio occupato e 951Mb libero
IMG_0477.JPG Creato:21/10/2008 12.26,57 modificato: 21/10/2008 12.26,46
IMG_0156.JPG Creato:21/10/2008 12.26,57 modificato: 21/10/2008 12.26,40
IMG_0155.JPG Creato:21/10/2008 12.26,56 modificato: 21/10/2008 12.26,38
IMG_0154.JPG Creato:21/10/2008 12.26,56 modificato: 21/10/2008 12.26,34

Chiaramente usando il carving si sarebbero beccati anche gli altri file, che mi avrebbero messo in allarme, sulla presenza di un'ulteriore partizione (la famigerata nascosto2), ma sono stato ligio alle regole e non ho usato il carving, se non dopo aver dato la soluzione iniziale.

Cosa si poteva fare?

Usare sigfind dello Sleuthkit per avere tutte le firme che individuano la partizione, ottenendo il risultato in settori, ecc. ecc. seguendo la risoluzione di Denis.... : - ) Spesso la memoria e la fretta ci tradiscono, chiaramente, sono cose che "devono/possono" accadere solo nei game e non nella realtà (si spera), dove si ha più tempo e più concentrazione e confronto con gli altri.....

Anche col carving si poteva risolvere e partendo dall'offset del file e conoscendo l'inizio della partizione nascosto2 si poteva, anche col semplice fls o con ifind ed icat risolvere... : - )

Bhè ottimo esercizio didattico....di nuovo complimenti a Mario! 

Articolo Articolo  Storico Storico Stampa Stampa
Ci sono 54 persone collegate

< febbraio 2026 >
L
M
M
G
V
S
D
      
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
  
             

Cerca per parola chiave
 

Titolo
Annunci (68)
CHI SONO (4)
Computer Forensics (108)
SICUREZZA INFORMATICA (7)
TuttoStorto (16)

Catalogati per mese:
Marzo 2018
Aprile 2018
Maggio 2018
Giugno 2018
Luglio 2018
Agosto 2018
Settembre 2018
Ottobre 2018
Novembre 2018
Dicembre 2018
Gennaio 2019
Febbraio 2019
Marzo 2019
Aprile 2019
Maggio 2019
Giugno 2019
Luglio 2019
Agosto 2019
Settembre 2019
Ottobre 2019
Novembre 2019
Dicembre 2019
Gennaio 2020
Febbraio 2020
Marzo 2020
Aprile 2020
Maggio 2020
Giugno 2020
Luglio 2020
Agosto 2020
Settembre 2020
Ottobre 2020
Novembre 2020
Dicembre 2020
Gennaio 2021
Febbraio 2021
Marzo 2021
Aprile 2021
Maggio 2021
Giugno 2021
Luglio 2021
Agosto 2021
Settembre 2021
Ottobre 2021
Novembre 2021
Dicembre 2021
Gennaio 2022
Febbraio 2022
Marzo 2022
Aprile 2022
Maggio 2022
Giugno 2022
Luglio 2022
Agosto 2022
Settembre 2022
Ottobre 2022
Novembre 2022
Dicembre 2022
Gennaio 2023
Febbraio 2023
Marzo 2023
Aprile 2023
Maggio 2023
Giugno 2023
Luglio 2023
Agosto 2023
Settembre 2023
Ottobre 2023
Novembre 2023
Dicembre 2023
Gennaio 2024
Febbraio 2024
Marzo 2024
Aprile 2024
Maggio 2024
Giugno 2024
Luglio 2024
Agosto 2024
Settembre 2024
Ottobre 2024
Novembre 2024
Dicembre 2024
Gennaio 2025
Febbraio 2025
Marzo 2025
Aprile 2025
Maggio 2025
Giugno 2025
Luglio 2025
Agosto 2025
Settembre 2025
Ottobre 2025
Novembre 2025
Dicembre 2025
Gennaio 2026
Febbraio 2026

Gli interventi pił cliccati

Titolo

Nanni Bassetti
Onphalos romanzo
INDAGINI DIGITALI
CFITALY.NET
SFDumper
CAINE Live Distro
Scripts4CF
Forensics Blog
My GitHub
My Videos
John Lehr's blog
GovForensics.it
Paolo Reale
DFI News
ONIF
Tools Open Source and free



Titolo
Support Wikipedia




Titolo
Autori
Il perché
Privacy & Copyright

Feed XML RSS 0.91 Feed RSS 0.91
Feed XML Atom 0.3 Feed Atom 0.3

15/02/2026 @ 15:25:29
script eseguito in 29 ms


Valid XHTML 1.0 / CSS