| Autore |
Messaggio |
AXLWAR
Membro
|
# Scritto: 29 Gen 2007 23:13
Rispondi
Ciao a tutti. avrei una domanda riguardo le varie distribuzioni di analisi forense. In particolare Helix e mi sembra anche IRITALI. premetto che da poco mi sono affacciato a questo mondo e non sono neanche praticissimo di linux, quindi se mi dite che queste domande non me devo proprio porre perchè sono fuori strada e che è meglio che mi metta a studiare o a raccogliere patate lo capisco....
Il mount dei media non dovrebbe essere di sola lettura? mi è sembrato fosse anche in scrittura. Potreste spiegarmi la logica?
La versione windows in pratica a che serve?Ho visto che permette tante cose utili ma è conforme alla procedura di analisi forense? se faccio un'immagine dd da win di una partizione è valida? le analisi di altri tipi (log, cache, immagini...) è valida a quei fini?
L'inserimento di una chiavetta usb in windows modifica il sistema. Questa cosa nell'analisi forense come è considerata? posso inserire una chiavetta, fare l'analisi da helix via win e salvare i log su chiavetta? è una procedura valida?
Capisco la risposta: "ecco il solito che non vuole usare linux." non è così. sto solo cercando di capire la logica tra le diverse distribuzioni e le versioni windows. ad esempio perchè lo stesso non si fa con ERD COmmander?
|
Anconelli
Moderatore
|
# Scritto: 30 Gen 2007 14:19
Rispondi
Ciao e benvenuto sul forum.
Helix non monta le partizioni all'avvio(ci mancherebbe!). Se ti riferisci alle icone sul desktop sono una comoda visualizzazione delle partizioni trovate all'avvio, ancora da montare.
Puoi constatarlo attraveso il comando "mount" che ti mostra tutte le unità montate.
Anche montando i dischi attraverso le icone in lettura il mount è ro (read only).
Per montare in lettura/scrittura devi utilizzare la shell come root e montare la/le partizioni senza parametri.
La parte di Windows è dedicata in gran parte alle procedure di Incident Response. Ciò non vuol dire che non possa essere utilizzata in analisi di CF.
Cercando di modificare al minimo il sistema si è soliti, ad esempio, creare un dump della memoria fisica o un'immagine live del disco.
L'importanza fondamentale consiste nel tener traccia di ogni operazione effettuata (helix lo fa).
Ovviamente le operazioni a macchina accesa sono molto più delicate ma permettono di ricavare informazioni volatili che andrebbero altrimenti perse.
|
AXLWAR
Membro
|
# Scritto: 30 Gen 2007 14:55
Rispondi
Chiarissimo, Grazie!
|
Alca
Membro
|
# Scritto: 29 Ott 2008 10:17
Rispondi
Salve, come mai ho montato il disco da shell senza parametri su HELIX 3 e comunque è montato solo in "read-only"? Potreste postare la stringa esatta? GRAZIE
|
denis_1971
Moderatore
|
# Scritto: 2 Nov 2008 23:39 - Modificato da: denis_1971
Rispondi
Helix, come le altre distro per la forensics, è fatta in modo che il mount avvenga di default in read-only.
Se vuoi montare in scrittura lo devi specificare
# mount -t tipo-file-system -o rw /dev/dispositivo /punto-mount
per esempio monto in scrittura un disco usb con file system ext3 su cui scrivere l'immagine acquisita
# mount -t ext3 -o rw /dev/sdb1 /tmp/destinazione
se desidero farlo su ntfs
# mount -t ntfs-3g -o rw ecc....ecc....
personalmente lo sconsiglio, sebbene la scrittura su ntfs sia supportata, fuse (il modulo che se ne occupa) è stato realizzato con un lavoro di reverse su ntfs, di cui non sono rese pubbliche le specifiche.
Nella duplicazione di grosse immagine potrebbero (sottolineo il condizionale) presentarsi problemi.
|
Alca
Membro
|
# Scritto: 3 Nov 2008 00:14
Rispondi
Il problema era che il disco NTFS era stato staccato da WINDOWS "in errore"... e linux me lo dava "ancora in uso".
Io sotto HELIX l'ho montato così ntfs-3g /dev/sd* /media/sd* ho sbagliato? Funziona tutto. Faremi sapere.
|
denis_1971
Moderatore
|
# Scritto: 4 Nov 2008 16:28
Rispondi
usualmente in tali casi si riceve un messaggio di erroe nel quale viene suggerito l'uso dell'opzione "force" per forzare il montaggio del disco.
Per mia personale esperienza è una pratica pericolosa, mi sono giocato la partizione di ripristino del portatile che non ha più bootato il sistema addetto al ripristino della configurazione originale.
Se la partizione non contiene un sistema da avviare potrebbe non essere un problema, ma perchè scrivere su un disco che potrebbe, eventualmente, essere soggetto a problemi?
In particolare se l'uso era quello di destinazione per un'immagine forense mi sembra una pratica rischiosa. In questo caso l'avrei prima agganciato ad un win per fargli fare il controllo di coerenza del file system e solo dopo lo avrei utilizzato per salvarvi l'immagine.
mio pensiero, non la verità assoluta
|
jspippo
Membro
|
# Scritto: 16 Mar 2009 09:35
Rispondi
Salve, scusate l'intrusione.
Mi son registrato da poco e devo fare i complimenti per il sito che è veramente utile, specie con il forum che consente uno scambio di opinioni in tempo reale.
Il mio problema riguarda appunto i dischi montati con NTFS. Non riesco a scriverci sopra.
La mia situazione è questa : ho una macchina on Helix installato, monto l'hard disk in scrittura e lettura come ntfs, accedo da root terminal, provo a copiarci qualcosa con cp, ma mi dice che è protetto da scrittura.
Faccio le stesse cose su un disco formattato in fat, tramite gparted e mi copia i file. Come mai questo comportamento? ma c'è la piena compatibilità con i dischi NTFS?
grazie a tutti
|
denis_1971
Moderatore
|
# Scritto: 16 Mar 2009 14:25
Rispondi
quale comando usi e quale versione di helix usi.
fino alla 1.9 montavi in scrittura con
# mount -t ntfs-3g ecc.....
sulla 2008r1 dovresti usare
# $ sudo ntfs-3g /device-path /your-mount-point
se non erro. Non la uso spesso, ma Caine ne ha studiato e mutuato le policy che sono quelle descritte dall'ultima linea di comando.
|
jspippo
Membro
|
# Scritto: 16 Mar 2009 18:29
Rispondi
Si ho provato il comando ma mi da errore.
Ma non è che bisgona installare la libreria di gestione delle partizioni ntfs? come fuse o cosa simile?
Non sono ancora molto esperto di linux...
In rete ho visto un'altro comando:
ntfsmount /mnt/ntfs -o dev=/dev/hda1, è giusto? non avuto ancora tempo di provarlo.
# $ sudo ntfs-3g /device-path /your-mount-point
grazie
|
denis_1971
Moderatore
|
# Scritto: 16 Mar 2009 22:16
Rispondi
helix ha già tutto ciò che serve, immagino tu abbia usato il "sudo", vero?
Altra cosa, se hai:
-sda disco
--sda1 prima partizione ntfs
--sda2 seconda partizione ntfs
quando indichi il device sorgente devi usare l'identificativo della partizione, se usi quello del disco (/dev/sda) devi specificare nelle opzioni l'offset di inizio partizione, definito in bytes
|
jspippo
Membro
|
# Scritto: 17 Mar 2009 08:00
Rispondi
Si, lo facevo con sudo, ma lo scrivevo male, ora funziona. Grazie
|
