Donny wrote:
> Penso di fare un programma che quoti Maurizio ad ogni risposta
> [...]
...
Quasi-quasi...
TENENDOSI STAMPATO IN CICO QUEL CHE HA SCRITTO MAURIZIO, caso vuole che in questi giorni stia revisionando un mattone su un argomento correlato... e che proprio questa mattina sia arrivato ad alla parte in cui c'e' un elenco di tool che potrebbero fare al caso tuo!
In primo luogo ti segnalo dove trovare un CD live Linux con alcuni di questi programmi:
http://www.iritaly.org/
Purtroppo pare che sia rimasto solo il download dalla nostra uni, che a quanto ricordo fa veramente pena.
Disk Investigator
http://www.theabsolute.net/sware/dskinv.html
(Freeware for Win95, Win98, WinME, WinNT, Win2000, WinXP)
Viene utilizzato per eseguire analisi sui dischi. In particolare è in grado di rilevare file nascosti e recuperare dati cancellati. Il tool bypassa il sistema operativo e legge direttamente i raw drive sectors del disco. Visualizza e cerca raw directories, files, clusters, e system sectors. Consente in oltre di effettuare il wiping dei dischi.
Autopsy v1.6
http://www.sleuthkit.org/index.php
(GNU General Public License for Unix)
Autopsy è una iniziativa open source alternativa ai normali programmi di forensic Windows-based.
Il tool è un browser HTML in grado di visualizzare l’immagine di dischi compromessi, è in grado di supportare sia file system Unix che Windows al fine di rilevare file cancellati, creare time line delle attività sul disco ed eseguire ricerche per parole. É un tool di analisi remota non intrusivo, nessun time stamp dei file viene modificato durante l’analisi.
Tutti i file generati da Autopsy sono legati a un valore MD5 che può essere verificato durante l’analisi. È possibile effettuare ricerche per inode e visualizzare i file da esso puntati.
Autopsy contiene un server HTML scritto in Perl che ne permette l’uso condiviso su più piattaforme compatibili. I client possono accedere a una lista ristretta Access Control List (ACL) e se necessario crittare il canale di comunicazione con SSH.
Test Disk v4.2
http://www.cgsecurity.org/index.html?testdisk.html
(GNU Public License for Dos, Unix e BSD)
Consente di analizzare i dischi compromessi ed effettuarne l’undelete delle partizioni.
I file system supportati sono:
- FAT12 FAT16 FAT32
- Linux
- Linux SWAP (version 1 e 2)
- NTFS (Windows NT)
- BeFS (BeOS)
- UFS (BSD)
- Netware
- ReiserFS
Task v1.5
http://www.atstake.com/research/tools/task/
(IBM Public License Version 1.0 for Linux, MacOS X, Open & FreeBSD, Solaris)
Progetto Open-Source, per l’analisi completa di file system Windows e Unix. Usato per la forensic di immagini acquisite da sistemi compromessi (Post-Mortem-Analisy), o Live system analisy.
Permette di analizzare immagini generate con “dd” (Unix tool), identifica NTFS, FAT, FFS, EXT2FS file system. Può essere usato con Autopsy graphical interface.