mmls - www.cybercrimes.it Cybercrimes.it


- Forums - Rispondi - Statistiche - Registrati - Cerca -

www.cybercrimes.it Cybercrimes.it / Computer Forensics / mmls

Autore	Messaggio
Robertoqw Membro	# Scritto: 22 Ago 2007 08:33 Rispondi Ringrazio Anconelli e denis per le risposte molto professionali ottenute sul "al file carving"! Ora ho un nuovo problema! Per ottenere la lista dei contenuti della tabella delle partizioni partendo dall'immagine ho provato ad usare mmls ma ogni volta mi restituisce questo errore: Invalid sector address (dos_load_prim_table: Starting sector too large for image) qualcuno può dirmi perché???
denis_1971 Moderatore	# Scritto: 22 Ago 2007 09:32 Rispondi forse se posti anche la stringa di comando, con le opzioni utilizzate, e la struttura delle partizioni contenute nell'immagine qualcuno riesce a consigliarti meglio. autopsy ti semplifica un po' la vita occupandosi lui di implementare in modo corretto i comandi dello sleuth kit, per cominciare è forse più semplice, anche se conoscere il funzionamento dei singoli tools permette di comprendere quanto la GUI nasconde
Robertoqw Membro	# Scritto: 22 Ago 2007 09:45 Rispondi Si hai ragione, ho scritto il post un po in fretta perché sono a lavoro, cmq sudo mmls -t dos diskmul.dd Lo so che autopsy mi semplifica la vita, ma è proprio quello che non voglio fare! :) In realtà devo scrivere la mia tesi di laurea in Informatica e il titolo, manco a dirlo è "Computer Forensics" quindi i miei post hanno solo uno scopo didattico e siccome questo forum mi sembra molto serio vi disturberò un po! Grazie denis!
denis_1971 Moderatore	# Scritto: 22 Ago 2007 11:24 Rispondi ho fatto un paio di prove con l'immagine di due chiavi usb e mi sono un poco sorpreso perchè: 1) non mi riconosce in automatico il tipo di partizione; 2) anche specificandolo ottengo un messaggio di errore, differente dal tuo $ mmls -t dos immagine_usb2.dd Invalid magic value (File is not a DOS partition (invalid primary magic) (Sector: 0)) questo con lo sleuth kit installato su ubuntu 7.04, più tardi provo con helix
Nanni Bassetti Moderatore	# Scritto: 22 Ago 2007 12:58 Rispondi Caro Roberto, non capisco la tua voglia di "complicarsi la vita", se esitste un'interfaccia che raggiunge l'obbiettivo perchè usare il tool primitivo? Che magari non funziona per un semplice switch non settato a dovere.... Se leggi tutti i post di questo forum + quelli del mio http://www.nannibassetti.com/cf vedrai che abbiamo discusso spesso sul fatto di non puntare sulla difficoltà degli strumenti, ma sulla filosofia investigativa. Altrimenti perchè usare l'accendino per accendere il fuoco? Proviamo a strofinare i legnetti....magari non ci riesci per una serie di variabili non settate a dovere: umidità della legna, umidità dell'aria, sfregamento sbagliato, ecc. ecc. Ma una volta che riuscirai ad accendere il fuoco coi legnetti, cosa avrai imparato? Ad usare uno strumento antico per raggiungere il tuo scopo....A questo punto, il mio modesto parere, è quello di imparare ad investigare sul dispositivo digitale, usando i mezzi più semplici possibili, perchè scovare la digital evidence è già difficile e time consuming, figuriamoci se dobbiamo perder tempo pure ad intrecciare le dita per scrivere decine di paramentri su linea di comando....IMHO ;-)
denis_1971 Moderatore	# Scritto: 22 Ago 2007 15:49 - Modificato da: denis_1971 Rispondi penso che roberto abbia necessit' di mostrare il funzionamento, come dire...a basso livello, dei tools di forensics per motivi di studio, non ha necessit' "produttive" che gli impongano di ottimizzare i tempi di indagine. comunque venendo al quesito postoci da roberto: ho provato ad usare mmls dal cd di helix v.1.8 (devo ancora masterizzarmi la 1.9..vergogna) ed il risultato ottenuto e` stato identico a quanto restituitomi nella prova precedente. naturalmente usando autopsy non si risolve nulla, i tools su cui la gui lavora sono gli stessi, quindi ciccia, anzi posso solo dire di aver avuto conferma di del tutto perdonate le dimensioni dell'immagine, ma con helix non sono riuscito a ridimensionarla..non ci ho neanche perso troppo tempo ;-)
Robertoqw Membro	# Scritto: 22 Ago 2007 17:11 Rispondi Esatto! Non ho necessità produttive! Il mio studio dell'analisi forense si riferisce soprattutto al file system, i volumi ecc. Seguendo le orme del libro "File System Forensic Analysis" di Brian Carrier. Non mi va di utilizzare una GUI per i miei esempi.
Nanni Bassetti Moderatore	# Scritto: 22 Ago 2007 20:25 Rispondi ok ok capito! :-) Ho provato anch'io con mmls e con autopsy (tutto aggiornato) e il messaggio di errore parla di "immagine troppo grande"...quindi considerando che la mia pen drive è di 1Gb ed il limite della Fat32 è 4Gb non dovrebbe essere quello il problema.... Però se la vediamo come volume e non come disco Autopsy la riconosce bene ....quindi che vi devo dire? forse è un problema di come è gestista la flash memory....mha? ciao
denis_1971 Moderatore	# Scritto: 23 Ago 2007 07:20 Rispondi le prove che avevo fatto io erano con pendrive da 128 Mb e 256 Mb
Robertoqw Membro	# Scritto: 23 Ago 2007 14:02 Rispondi !!!! ci siamo !!!!! Dopo aver sbattuto la testa per ore sul muro credo di aver capito!!! Il problema è l'acquisizione dell'immagine!!! Per acquisire la pendrive io scrivevo dd if=/dev/sda1 of=disk.dd e mi acquisiva normalmente l'immagine ma non funzionava mmls. Il problema è che mmls funziona solo sui volumi fisici, quindi acquisendo il volume logico LVM di sda1 non funz. Ok, ho provato ad acquisire tutto l'sda, quindi tutto il volume fisico cioé dd if=/dev/sda of=disk.dd e come per magia funziona mmls!!! che ne dite?
denis_1971 Moderatore	# Scritto: 23 Ago 2007 14:46 Rispondi effettivamente hai ragione!! complimenti!!
Nanni Bassetti Moderatore	# Scritto: 23 Ago 2007 18:13 Rispondi cmq io avevo usato mmls direttamente sul volume fisico e non sull'immagine: mmls /dev/sda e mi dava quell'errore....
Robertoqw Membro	# Scritto: 23 Ago 2007 20:06 Rispondi Denis ma sei un collega di Ivrea!!! Ti ho scritto una e-mail su webmail. Mi fa piacere! A presto.
Robertoqw Membro	# Scritto: 23 Ago 2007 20:08 Rispondi Dimenticavo ... Grazie Denis, Grazie Nanni per il tempo speso a provare mmls. Adesso posso andare avanti nell'analisi "a basso livello". Spero di potervi disturbare in seguito.
gepop Membro	# Scritto: 21 Mar 2009 12:12 Rispondi ciao a tutti, ho anch'io qualche problema con mmls per prima cosa creo l'immagine di un disco (pendrive o qualunque altro esso sia) con dd dopodiché provo ad usare il comando mmls image_disk.dd e l'output restituitomi è: Cannot determine partition type ok.. proviamo con mmls -t dos e l'output è: Invalid sector address (dos_load_prim_table: Starting sector too large for image) non so più che pesci pigliare, ho provato a usare anche l'opzione -o cambiando offset ma non ottengo alcun risultato Help me!!!
denis_1971 Moderatore	# Scritto: 21 Mar 2009 14:47 - Modificato da: denis_1971 Rispondi come puoi leggere sopra mmls va usato (con diritti di root,, quindi da root o con sudo) sui volumi fisici, non logici, quindi non sulle singole partizioni. # sudo mmls /dev/sda funzionerà #sudo mmls /dev/sda1 non funzionerà Lo stesso dicasi per le immagini, mmls non funzionerà per quelle delle singole partizioni.
gepop Membro	# Scritto: 21 Mar 2009 15:08 Rispondi grazie 1000 anche se avevo provato già con la pendrive(/dev/sdb invece di sdb1). Non avrà funzionato proprio perchè c'era una singola partizione.
denis_1971 Moderatore	# Scritto: 21 Mar 2009 16:27 Rispondi no, non ci siamo capiti. Su un drive hai normalmente uno spazio non allocato all'inizio, contenente l'mbr e le informazioni relative alle partizioni (tabella delle partizioni), poi seguono le partizioni. tale struttura è (dovrebbe essere) sempre presente anche nel caso tu abbia una sola partizione, per esempio una penna usb appena acquistata. fdisk mi individua il device /dev/sdb # fdisk -ul Disco /dev/sdb: 130 MB, 130023424 byte 16 heads, 32 sectors/track, 496 cylinders, totale 253952 settori Units = settori of 1 * 512 = 512 bytes Disk identifier: 0x00000000 Dispositivo Boot Start End Blocks Id System /dev/sdb1 * 32 253439 126704 6 FAT16 dove la prima partizione comincia al settore 32, mentre nello spazio precedente vi è l'mbr e la tabella della partizioni. mmls (sul device sdb) ti da la stessa indicazione, con maggiore accuratezza, non facendo solo affidamento alle informazioni della tabella delle partizioni $ sudo mmls /dev/sdb DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors Slot Start End Length Description 00: Meta 0000000000 0000000000 0000000001 Primary Table (#0) 01: ----- 0000000000 0000000031 0000000032 Unallocated 02: 00:00 0000000032 0000253439 0000253408 DOS FAT16 (0x06) 03: ----- 0000253440 0000253951 0000000512 Unallocated al contrario mmls sulla partizione sdb1 non funziona $ sudo mmls /dev/sdb1 Cannot determine partition type
gepop Membro	# Scritto: 23 Mar 2009 10:08 Rispondi adesso mi è un pò più chiaro, grazie ancora :) Comunque non temete, avrò modo di disturbarvi ancora!