The Sleuth Kit Informer

Numero 20



http://www.sleuthkit.org/informer
http://sleuthkit.sourceforge.net/informer

Brian Carrier
carrier at sleuthkit dot org

Numero 20
15 Maggio 2005

Traduzione : Maurizio Anconelli

Contenuti

Introduzione

Questo numero di The Sleuth Kit Informer si riferisce ai nuovi tools e funzionalità aggiunti alla versione 2.00 di The Sleuth Kit (TSK). Il primo articolo descrive ome rimuovere Host Protected Areas (HPA) dai dischi ATA utilizzando il tool disk_sreset il secondo descrive le nuove funzionalità di rilevamento automatico per file e volumi.

Novità

La versione 2.00 di TSK è stata rilasciata il 15 Marzo 2005. Sono presenti nuove funzionalità quali il supporto per dischi ed immagini divise in più parti, il rilevamento automatico della tipologia e svariati nuovi tools (img_stat, mmstat, and disk_sreset). Contemporaneamente è stata rilasciata la versione 2.04 di Autopsy, capace di supportare le nuove funzionalità di TSK.

http://www.sleuthkit.org/

L'8 Aprile 2005 è stata rilasciata la version 2.01 di TSK. Sono incluse un paio di correzioni di problemi introdotti con le nuove funzionalità della versione 2.00. Contemporaneamente è stato rilasciato Autopsy 2.05 al fine di rimuovere alcuni bug.

Florian Buchholz e Courtney Falk del CERIAS computer forensics research group presso la Purdue University hanno rilasciato il tool per la creazione di timeline basato su Java Zeitline.Pùò importare dati da'fls -m' o 'ils -m' (come fa il tool mactime) e fornisce una vista grafica degli eventi così da poterli raggruppare, filtrare ed ordinare.

http://www.cerias.purdue.edu/homes/forensics/timeline.php

Le proposte per la quinta conferenza annuale Digital Forensic Research Workshop (DFRWS) devono essere presentate entro il primo Giugno. Siete incoraggiati a presentare proposte per quanto riguarda tecniche di analisi, strumenti e proposte di studio.

http://www.dfrws.org/

Le proposte per l'Annual Computer Security Applications Conference (ACSAC) del 2005 devono essere presentate entro il 29 Maggio. E' stata inserita la Computer Forensics negli argomenti di interesse e si stanno quindi ricercando presentazioni sull'applicazione e sviluppo dei sistemi.

http://www.acsac.org/

Il mio libro File System Forensic Analysis è stato pubblicato nella seconda metà di Marzo. Sul sito web è disponibile un capitolo d'esempio sulle partizioni DOS e Apple.

http://www.digital-evidence.org/fsfa/

Call For Papers

The Sleuth Kit Informer sta cercando articoli su strumenti open source e tecniche per l'investigazione digitale (computer / digital forensics) ed incident response. Sono apprezzati, ma non richiesti, articoli che parlano di The Sleuth Kit e Autopsy. Argomentazioni d'esempio includono (ma non sono limitate a):

  • Tutorials strumenti open source

  • Esperienze e commenti sull'utilizzo di strumenti open source

  • Nuove tecniche di investigazione con tools open source

  • Test e risultati di tools open source

http://www.sleuthkit.org/informer/cfp.html

Rimuovere le Host Protected Areas (HPA) in Linux

Di Brian Carrier

Introduzione

La versione 2.00 di TSK comprende un nuovo tool chiamato disk_sreset che, eseguito in Linux, rimuove una Host Protected Area (HPA) da un disco ATA. Questa è il seguito del numero17 di The Sleuth Kit Informer, che si è occupato di come rilevare una HPA attraverso il tool disk_stat (che è stato rinominato diskstat). Come riassunto, una HPA è un'area dell'hard disk che i vendors possono utilizzare per inserire dati di supporto e può essere utilizzata anche per nascondere dati ad un investigatore. I settori contenuti nell'HPA sono disposti dopo i settori che possono essere utilizzati dagli utenti.

Esistono tre comandi ATA che sono utilizzati per riconoscere ed eliminare un HPA. Uno è IDENTIFY_DEVICE che riporta il massimo settore del disco indirizzabile dall'utente. Utilizzando un normale tool di acquisizione, non è possibile leggere attraverso gli indirizzi riportati da questo comando. Un altro comando è READ_NATIVE_MAX che riporta il numero totale dei settori sul disco.(se non esiste una Device Configuration Overlay (DCO) , nel qual caso esistono altri settori nascosti dopo questo valore). Se i settori riportati da IDENTIFY_DEVICE e READ_NATIVE_MAX sono differenti, significa che esiste una HPA. Per alcune utili figure relative e per una descrizione del DCO fare riferimento a File System Forensic Analysis .

Per rimuovere l'HPA, dobbiamo eseguire il comando ATA SET_MAX_ADDRESS, che imposta il massimo settore indirizzabile dall'utente. Lo stesso comando è utilizzato per creare un HPA. Per rimuovere l'HPA dobbiamo eseguire il comando con l'indirizzo ritornato da READ_NATIVE_MAX, che è il massimo settore del disco. Questo permetterà a voi ed ai vostri strumenti di leggere i settori precedentemente inaccessibili. Il comando SET_MAX_ADDRESS ha un'opzione che configura il cambiamento come permanente o temporaneo. Se solo temporaneo, l'HPA esisterà ancora dopo lo spegnimento dell'hard disk.

Lanciando il nuovo tool disk_sreset in TSK, viene prima confermata l'esistenza dell'HPA. Se così è, verrà rimossa l'HPA usando l'impostazione temporanea, così da ripristinare l'HPA dopo lo spegnimento o il reset del disco.

Procedura di Acquisizione

Vediamo come disk_stat e disk_sreset possono essere utilizzati durante l'acquisizione del disco. Assumiamo che andremo ad effettuare l'acquisizione del disco attraverso un sistema Linux e che il disco da acquisire sia in /dev/hdb.

Il primo passo è l'acquisizione dei dettagli del disco. Possiamo rilevare alcuni dei parametri di base attraverso disk_stat che mostrerà l'esistenza di un HPA e quanti siano i settori accessibili dall'utente. Per quanto riguarda il nostro disco d'esempio vediamo:

# disk_stat /dev/hdb
Maximum Disk Sector: 120103199
Maximum User Sector: 118006047
** HPA Detected (Sectors 118006048 - 120103199) **

Possiamo osservare che è presente un HPA che inizia nel settore 118,006,048. Prima di acquisire i dati presenti nell'HPA, estrarremo i dati accessibili. Questo permetterà di acquisire i dati anche se la rimozione dell'HPA causasse problemi e ci permetterà di avere un file separato per i “dati nascosti”.

# dd if=/dev/hdb of=/mnt/hdb_img.dd bs=8k
7375378+0 records in
7375378+0 records out

Un veloce riscontro rivela che 7,375,378 records di 8KB ciascuno sono eqivalenti a 118,006,048 settori utilizzabili dall'utente. Ora rimuoviamo l'HPA attraverso disk_sreset. E' da tener presente che alcuni dispositivi di blocco di scrittura ATA possono bloccare questo comando poichè modifica la configurazione del disco (anche se disk_sreset lo modifica solo temporaneamente). 

# disk_sreset /dev/hdb
Rimuove l'HPA da 118006048 a 120103199 fino al prossimo riavvio

Possiamo ora acquisire i dati rimanenti utilizzando dd. Spostiamoci all'inizio dell'HPA e acquisiamo i dati in un nuovo file:

# dd if=/dev/hdb of=/mnt/hdb_hpa.dd bs=8k skip=7375378
131072+0 records in
131072+0 records out

Possiamo importare il file hdb_img.dd nel nostro consueto programma di analisi (come The Sleuth Kit o Autopsy) ed analizzare il volume ed il file systems. Il file hdb_hpa.dd può essere analizzato per determinare che tipo di dati contenga, che sia un filesystem o qualche altra struttura di dati.

Riferimenti

Brian Carrier. "Detecting Host Protected Areas (HPA) in Linux." The Sleuth Kit Informer numero17. Novembre 2004. Disponibile in: http://www.sleuthkit.org/informer/sleuthkit-informer-17.html.

Brian Carrier. "File System Forensic Analysis." Addison Wesley. 2005. Disponibile in: http://www.digital-evidence.org/fsfa/.

Automatic Type Detection

Di Brian Carrier

Dalla versione 2.00, The Sleuth Kit (TSK) rileva il tipo di file system, di volume, ed il formato dell'immagine, così da non dover specificareli ogni volta dalla linea di comando o durante l'importazione dei file in Autopsy. Questo breve articolo descrive il processo generale ed i motivi per i quali i tools potrebbero avere problemi a deteminare il tipo.

L'implementazione di base della funzionalità di autorilevamento consiste nella prova di ciascun system, volume system, o tipo di file immagine. Vengono testati i rimanenti tipi anche se un modello viene rilevato con successo. Se è rilevato più di un modello viene generato un errore ed è indispensabile specificare il tipo presunto.Come esempio è possibile provare il file immagine per il test10 sul mio sito di Digital Forensic Tool Testing. Il file immagine contiene partizioni con filesystem multipli, come NTFS e UFS o NTFS e Ext2fs.

E' da notare che la tabella della partizione DOS ed i boot sector di FAT e NTFS hanno 0x55AA negli ultimi due bytes e di conseguenza devono essere effettuati test addizionali per determinare se il file è l'immagine di un disco con partizioni DOS o l'immagine di una partizione con un filesystem FAT o NTFS. Il codice di mmls, ad esempio, esegue un controllo per essere sicuro di non processre un filesystem FAT o NTFS.

La versione 2.01 di TSK modifica alcuni dei test che venivano effettuati quando veniva rilevato un tipo di volume system (media management) dell'immagine di un disco. Per prevenire l'identificazione di un filesystem FAT o NTFS come partizione DOS da parte di mmls,sono presenti controlli che cercano dei valori validi per un boot sector FAT, come la grandezza di un cluster. Alcuni dei test nella versione 2.00 erano troppo rigorosi e rilevavano partizioni DOS come immagini di partizioni FAT e di conseguenza forzavano l'utente a specificare un tipo.La versione 2.01 ha allentato alcuni di questi test.

Il sistema di rilevazione della tipologia cambierà nel tempo per ricavare più accuratamente i vari tipi di file volumi. Se incontraste dischi o partizioni producenti messaggi d'errore quando non dovrebbero, fatemi pervenire il messaggio d'errore e cercherò di rendere meno rigorosi i test relativi.

Riferimenti

Brian Carrier. "NTFS Autodetect Test #1." Digital Forensic Tool Testing (DFTT) Image #10. Gennaio 2005. Disponibile su http://dftt.sourceforge.net/test10/index.html.

Copyright © 2005 by Brian Carrier. All Rights Reserved
This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.
Creative Commons License

Per informazioni contattare staff@cybercrimes.it
Il logo cybercrimes.it e le immagini relative sono di proprietà del sito.
La documentazione presente nel sito è soggetta alla licenza Creative Commons ed è quindi liberamente riproducibile riportando il nome dell'autore originale.

>>>Forum<<<

Google
Web
cybercrimes.it

Lo Staff di Cybercrimes.it

Anconelli Maurizio

Adduci Massimo



ISFCE


hackin9

Hard Disk Forensics e Specifiche ATA