Cybercrimes.it - Computer Forensics & Crimine Informatico

The Sleuth Kit Informer

Numero 22

http://www.sleuthkit.org/informer
http://sleuthkit.sourceforge.net/informer

Brian Carrier
carrier at sleuthkit dot org

Numero 22
15 Marzo 2005

Traduzione : Maurizio Anconelli

Contenuti

Introduzione
Novità
Call For Papers
Limitazioni correnti di disk_stat
Librerie TSK

Introduzione

Nel numero 22 di The Sleuth Kit Informer, ci occupiamo di alcune caratteristiche e limitazioni del tool disk_stat e della struttura delle librerie TSK . L'ultimo articolo è orientato verso gli sviluppatori che sono interessati ad utilizzare TSK come parte dei propri progetti.

Novità

Dall'ultima uscita di Informer non c'è stata alcuna nuova release o modifica nè di TSK nè Autopsy, ma a breve dovrebbe essere rilasciata una nuova versione di TSK contenente bug fixes e possibilmente il supporto per nuovi formati di file.

Le nuove versioni dei tool e di Informer dovrebbero essere più consistenti in futuro, ora che ho più tempo da dedicarvi. Ho New releases of the tools and the Informer should be more consistent in the future now that I have some more time to work on them. Ho discusso la mia tesi di dottorato e sono tornato al mondo reale. Ho accettato un lavoro presso la Basis Technology (http://www.basistech.com) come Direttore di Digital Forensics e lavorerò al progetto e sviluppo di nuovi tool per l'investigazione digitale.

Call For Papers

The Sleuth Kit Informer sta cercando articoli su strumenti open source e tecniche per l'investigazione digitale (computer / digital forensics) ed incident response. Sono apprezzati, ma non richiesti, articoli che parlano di The Sleuth Kit e Autopsy. Argomentazioni d'esempio includono (ma non sono limitate a):

Tutorials strumenti open source
Esperienze e commenti sull'utilizzo di strumenti open source
Nuove tecniche di investigazione con tool open source
Test e risultati di tool open source

http://www.sleuthkit.org/informer/cfp.html

Limitazioni correnti di disk_stat

Di: Brian Carrier

Con il crescere della capacità degli hard disk, mi aspetto nuovi dubbi sul comportamento del tool disk_stat. Questo articolo indirizza alcuni di questi dubbi.

Come promemoria, disk_stat è un tool che mostra le statistiche di un disco ATA (sotto Linux) e rileva le Host Protected Area (HPA) esistenti. Dettagli su questo processo sono trattati nel numero 17 di Informer ed è possibile trovare ulteriori dettagli nel libro File System Forensic Analysis. Ci sono alcune limitazioni di disk_stat documentate nel file TODO di The Sleuth Kit, ma le elencherò comunque. Tutte queste limitazioni saranno risolte nelle future versioni di TSK.

La prima limitazione è che non è attualmente possibile rilevare i Device Configuration Overlays (DCO). Un DCO può esistere contemporaneamente ad una HPA ed entrambe possono essere utilizzate per nascondere dati ai tool di acquisizione ed analisi.

Il secondo limite di disk_stat è che funziona unicamente con dischi ATA minori di 128 GB. Esistono diversi nuovi comandi ATA per dischi che sono più grandi di 128 GB, ma la versione corrente di disk_stat supporta unicamente i vecchi. Di conseguenza non può analizzare dischi più grandi, anche se nelle nuove versioni ciò sarà possibile.

Il terzo limite è che non funziona con dischi collegati attraverso adattatori USB o Firewire. Quando viene utilizzato un adattatore esterno, il drive appare come SCSI e di conseguenza è necessario traslare i comandi ATA preposti al rilevamento delle HPA. Ciò non è attualmente implementato.

In conclusione, disk_stat può essere effettivamente utilizzato per rilevare le HPA su dischi ATA minori di 128 GB. Ora che i dischi di grandi dimensioni stanno diventando più comuni, è stata data una priorità alta alla risoluzione di questo problema.

Librerie TSK

Di: Brian Carrier

Molti hanno familiarità con i tools a linea di comando o con l'interfaccia grafica (Autopsy) agli stessi di The Sleuth Kit. Esiste tuttavia un'ulterire (poco documentata) interfaccia ai tools che interessa gli sviluppatori di programmi per l'investigazione digitale. Questo articolo fornisce una panoramica ad alto livello delle librerie C fornite con The Sleuth Kit (presumendo una certa familiarità con la programmazione e le librerie). Questo per aiutare chi volesse sviluppare nuovi tools di investigazione basati su TSK.

Osservando i tools a linea di comando di TSK, si può notare che sono abbastanza semplici, poichè analizzano semplicemente gli argomenti forniti e li passano ad una delle librerie. Il lavoro viene effettivamente svolto dalle librerie, che esistono per i formati delle immagini dei dischi, per i volumi di sistema e per i filesystem.

La libreria per i formati di immagine dei dischi (libimgtools.a) fornisce un livello di astrazione verso i vari formati di file. Attualmente supporta unicamente immagini raw singole e frammentate, ma le future versioni di TSK supporteranno anche i formati Expert Witness e Advanced Forensic Format (AFF). La libreria per i formati di immagine fornisce un'interfaccia in sola lettura ai file immagine dei dischi e permette ai programmi di leggere i dati da posizioni arbitrarie nel file. I programmi che utilizzano la libreria non hanno bisogno di conoscere il formato immagine utilizzato.

La libreria di gestione del volume (media management), ovvero libmmtools.a, analizza i vari tipi di partizione supportati da TSK. Esistono due interfaccie primarie. La prima apre un file immagine e rileva il tipo di volume di sistema. La seconda è una funzione di movimento che identifica i volumi nel disco e processa una funzione di callback per ogni volume. La funzione di callback è unica per i programma che la utilizza ed accede al layout ed alla tipologia di ogni volume. Questa struttura permette al programma chiamante di ottenere informazioni su ciascun volume. Ad esempio, il tool mmls utilizza una funzione di callback che stampa a schermo il layout di ciascun volume.

La terza libreria è la più vasta ed è utilizzata per il filesystem (libfstools.a). Il design è similare alla libreria di gestione del volume, ovvero un programma apre il disco o l'immagine di una partizione e quindi ha accesso ad una serie di funzioni di movimento verso i dati, i metadata, i nomi dei file, il contenuto dei file ed i livelli di journal. In molti casi, il front-end ai tools a linea di comando non hanno alcun codice di filesystem specifico. Diamo un'occhiata a ciascuno di questi livelli.

La funzione data walk identifica i blocchi o i cluster in un dato range e processa un callback su ciascuno di essi. La funzione di callback ha accesso al contenuto del blocco o del cluster ed al relativo stato di allocazione. Il tool dls,ad esempio, utilizza la funzione data walk e fornisce i dati dei blocchi e dei cluster non allocati.

La funzione metadata walk identifica le strutture dei metadati in un determinato range e processa una funzione di callback per ciascuna. La funzione di callback ha accesso alla dimensione del file, ai dati MAC, agli indirizzi dei blocchi e dei cluster, ed altro. Il tool ils, ad esempio, utilizza la funzione metadata walk e mostra a video la maggior parte dei dati. Quando viene passato a ils l'argomento '-m' , una differente funzione di callback è utilizzata affinchè i dati vengano mostrati nell'ordine necessario a costruire una timeline utilizzando i mactime.

La funzione file name walk identifica il nome dei file in una directory e processa una funzione di callback su ciascun nome di file. La funzione di callback ha accesso al nome del file ed ai metadata corrispondenti. Il tool fls, ad esempio, utilizza questa funzione e mostra i nomi e gli indirizzi dei metadata per una directory.

La funzione file walk identifica le posizioni sul disco dove sono posizionati i contenuti di un file e processa una funzione di callback su ciascuno dei blocchi o cluster. La funzione di callback ha accesso al contenuto ed agli indirizzi del file. Il tool icat, ad esempio, utilizza la funzione file walk e mostra il contenuto del file.

La libreria di file system library può anche mostrare informazioni univoche sui file (es. istat) e sui file systems (es. fsstat) verso una locazione arbitraria (solitamente lo schermo) . La libreria permette anche di processare un journal Ext3 utilizzando le funzioni di movimento e callback.

In conclusione, le migliaia di linee di codice in TSK sono facilmente accessibili da altri tool. La struttura di base delle librerie di filesystem esiste dalle prime versioni del The Coroner's Toolkit sviluppato da Wietse Venema e Dan Farmer e da allora sono state largamente implementate.