Dd e Autopsy

Da Hacknowledge.

In questa sede esamineremo gli strumenti usati spesso dagli specialisti della computer forensics in ambiente Unix.

[modifica] dd

Lo strumento principe nella computer forensics, compreso in ogni installazione di sistemi Unix-like, è dd. Una volta che si è sottoposto a sequestro un computer è infatti indispensabile fare una copia fedele bit per bit dei suoi dischi, creando un file binario (immagine) che contenga questi dati. In questo modo è poi possibile portare il file immagine sui computer riservati per compiere indagini su di esso. dd consente proprio di creare una copia fedele bit per bit di un dispositivo di memorizzazione. Viene richiamato da riga di comando con le opzioni if (nella quale bisogna specificare il dispositivo di input di cui si vuole fare una copia fedele) e of (nella quale si specifica il dispositivo di output o il file immagine a cui inviare la copia). Ad esempio, è possibile fare una copia bit per bit del contenuto dell'hard disk IDE primario di un sistema in un file immagine chiamato disk.img tramite il comando 

dd if=/dev/hda of=disk.img

A questo punto il file disk.img conterrà una copia perfetta di /dev/hda. Una prova dell'autenticità della copia ottenuta con dd, che serve in sede giuridica per dimostrare l'assenza di manomissioni e di prove falsate, si può avere controllando l'md5sum del dispositivo e confrontandolo con quello dell'immagine ottenuta: 

md5sum /dev/hda
md5sum disk.img

Se i due hash MD5 ottenuti coincidono, allora il file disk.img è una copia perfetta del disco. Se un solo bit dovesse essere stato modificato su disk.img, gli hash non combaceranno più.

[modifica] Autopsy

Autopsy è uno strumento per la computer forensics estremamente potente per sistemi Unix, inclusa anche in molte distribuzioni live di Linux e in BackTrack. L'applicazione consiste di un server, da avviare sulla macchina sul quale è presente il file immagine sul quale effettuare le indagini. Ci si può collegare al server attraverso un qualsiasi browser web. Il server di default è in ascolto sulla porta 9999 ed accetta connessioni da localhost (è quindi possibile accedere via browser digitando nell'URL http://localhost:9999 ). Questi parametri sono modificabili e configurabili, prima di eseguire Autopsy è quindi buona norma dare un'occhiata alla man page. L'opzione -i del server di Autopsy specifica il dispositivo o il file immagine da esaminare. A questo punto è possibile fare analisi sull'immagine fatta in precedenza del disco tramite il pannello web, che sarà qualcosa simile:

Immagine:File1.gif

Qui è possibile visualizzare tutte le informazioni sul dispositivo, compresi i file eventualmente cancellati (se recuperabili) e le relative date di creazione, modifica e cancellazione.

Estratto da "http://blacklight.gotdns.org/wiki/index.php/Dd_e_Autopsy"
Strumenti personali