“Ciao Mario… buon viaggio… Saluta Suor Teresa“.
“Bye Mario… have a nice trip.. Greets Sister Teresa“.
Questo POST nasce come commento al recente articolo scritto per IISFA e pubblicato sulla newsletter. Parliamo di “copia” della “copia” ovvero della cosidetta copia di “backup” delle evidenze vitale nel caso in cui il supporto su cui è contenuta la nostra copia per le analisi si guasti.
A corredo vi è anche il commento del caro amico l’Avvocato Antonino Attanasio che, codice “alla mano”, precisa che al termine della Consulenza/Perizia il tutto deve essere consegnato e il superfluo distrutto.
Qualunque sia la decisione sulla destinazione delle copie, ho voluto focalizzare la mia attenzione sugli strumenti per farle. Alla fine è solo una copia ma quello che conta è che il “backup” sia consistente ovvero sia uguale all’originale.
Fino a qualche anno fa parlavamo di GB, ora parliamo di TB. Questi dati, per questioni di semplicità, vengono copiati solitamente via “CIFS” su sistemi “NAS” (la cui velocità dipende dalle meccaniche). Quindi, a meno che non abbiate a disposizione una rete da 10Gb con un NAS da un centinaio di meccaniche direi che la soluzione più veloce è usare il NAS solo come appoggio (“parcheggiate” li le evidenze in attesa di elaborazione).
“Ma che software usare?”
Non entro nel merito in questo post ma deve fare quello che mi aspetto che faccia: una copia consistente ovvero uguale alla sorgente.
“E’ possibile che durante una copia via rete si corrompa qualcosa?”
Si, è possibile in quanto mi è capitata spesso e solo da poco ho capito il motivo: lo SWITCH da 1Gb andava in surriscaldamento dopo 40 minuti di copia.
“Copie su nastro?”
E’ un’alternativa lenta ma da tenere in considerazione. Le capienze dei nastri con LTO5 arrivano oltre 1TB (non considerate la compressione) con costi per i nasti accettabili. I dati possono essere scritti in forma CRIPTATA (cosa da non sottovalutare) e si fa carico il programma di BACKUP di verificare la consistenza dei dati scritti. Il tutto poi viene gestito attraverso un “DataBase” ed è quindi tutto molto più semplice quando devo recuperare qualcosa.
Naturalmente tutto a discapito di:
Le soluzioni ci sono e sono diverse ma… qualcuno si è mai posto tale problema?
Friend: “Hi Litiano, how are you? are you fine?”
LP: “Sure, i am ok… I am testing a new Software this week. Any news?”
Friend: “I have a GOSSIP for you….”
LP: “Really? Let me know….”
Friend: “Do know XXX, they have a new work on YYY”
Friend: “You know, they are development an’open source program!!!”
LP: “….hehehe…let me guess… they are using Encase for the case….”
Friend: “YES, how you know?”
I KNOW MY CHICKEN.
Why not use the options in the index search?
Let me explain some example.
STEAMMING.
Stemming extends a search to grammatical variations on a word.
If you search for “fish” you will found: “fish“ or/and “fishing“.
Be aware: IT WORK ONLY FOR ENGLISH LANGUAGE.
PHONIC.
Phonic searchfor a word that sounds like the word you are searching. It starts with the same letter.
If you search for “diagnosi” you will found: “diagnosi“ or/and “disconnessa” or/and “diciamogli” or/and
“diagnosticato”
SYNONYM.
Synonym look for synonym.
Be aware: IT WORK ONLY FOR ENGLISH LANGUAGE.
FUZZY.
Fuzzy will find a word even if it is misspelled. It can be useful when you are searching text that may contain typographical errors.
If you search for “liberata” you will found: “liberata“ or/and “libertà” or/and “liberataa” or/and “liberaaa“
I have a old 512MB US-PEN (unknown manufacturer). Every time i check the HASH it change in two different values for a short time (40 sec). After it, i got always the same value. The controller is unknown.
I calculate the HASH with md5sum (HELIX v1.9).
This is the technical details of the USB-PEN:
About this POST: FTK3 Report TIPS (or bug?) these are the fixs (or knowledge) by ACCESSDATA SUPPORT.
Issue 1: More files are getting exported than were intended.
“This happened because in the ‘Selected Categories’ you had File Items checked, and Checked Items checked. This told FTK to export all files. To stop this behavior, put the checkmark only in ‘Checked Items’. FTK was doing exactly what the options told it to do”.
Issue 2: Record Date not showing in the report.
“This likely occurred because the column settings were not chosen in the File Properties options window. You’ll need to make certain that the correct column template is chosen by selecting ‘Columns’ in the report wizard, File Properties category”.
Issue 3: Unable to crate a report after deleting the old report from within FTK.
“I was unable to duplicate this issue. Things worked just fine when I deleted an old report to put the new report in the same location. It looks as though it is a rights issue for some reason. We may need to discuss this issue over the phone”.
Special thanks to Mike (AccessData Support).
Fuzzy Hashing allow the discover of files that may not be locate using the traditional hashing methods. Here you can download a good document from Access Data.
This is an example of how it work on FTK3
On a case in FTK3 right click on a file (17.jpg) and select “Find Similar Files”:
after few mins you will get what you are looking for:
But, is the same files???
Different HASH means different files…. but not always.
Look better (and find the difference):
The “carved image” has lost a part so the HASH is different but the image is the same.
You can use this method when you have a piece of a pictures. It work VERY well with TEXT files. Try.
Hi all,
today we want to make a simple report of 13 files with FTK3.
We start the WIZARD with only two options: “Case Information” and “File Properties“.
We have 13 checked Files:
Let’s go:
The creation report start…. and it start to export files…… 489459 files !!!!
AFTER 5 HOURS:
Something of wrong??
For every file (on NTFS FILE SYSTEM) extract this with the report wizard:
Look:
This is the Record date on FTK3 GUI:
And this is the REPORT:
Where’s the “Record Date“?
You want to change the report. So, you make your change:
…and then the report quit.
“So?”
Before generate another report: delete the folder.
UPDATE 24/02/2011: TICKET IN WORKING (from AD).
I am working with FTK3 in a distributed environment. I had some trouble so i hope this post can help someone.
GENERAL
PATH where you can find LOG files (WindowsXP):
C:\Documents and Settings\All Users\Application Data\AccessData
FTK3 ORACLE
If you need a fast way to set the amount of memory used by Oracle, set these keys and restart the service:
FTK3 ENGINE
When you install “Access Data Processing Engine” for a distribuited processing, DO IT in “CONSOLE 0″ and verify to see this screenshot:
If the SERVICES don’t start, install “.NET Framework 3.5Sp1“:
If the FRAMEWORK is installed and it don’t start again, kill all process bind on port 34097:
If the “Access Data Processing Engine” work, you can fine these process:
DISK SPACE WARNING:
Often on the Worker (Client with ADPE engine) space size fall down very fast. Monitor it!!!
Do you need to trace the activity in a Windows PC? You don’t know where to start?
This is an example (OLAF 2011):
This is the XLS
TIPS:
This week test a full version of Safecopy2 (PINPOINT – commercial) and Robocopy (Microsoft -freeware). My goal is to copy as fast as possible 17GB of file ( 537315 files) from a folder to a network share and check the integrity of the copy.
Robocopy don’t check the integrity of the copy so i must make 3 additional step:
Safecopy do automatic these step.
This is the log of Robocopy:
As you can see: 537313 Copied, 2 Failed
The HASH verify:
With Safecopy2:
In the *.csv file you can find all information about the files.
So? What’s the better?
Look the pictures… find the time spent and the time to fix any problems. For me, i prefer Safecopy2.
Question: “Why i need a tool to copy files around my Laboratory?“
Answer: “You never backup your EVIDENCE???“
You are in front of a Linux shell and you need to split your TeraByte of evidence in a FATA32 Hard Disk. You don’t have time to think.
This work for version: 6.12.3 (HELIX3PRO last version 2010).
dc3dd if=/dev/sda progress=on hashconv=after hash=md5,sha1 hashwindow=2GB splitformat=000 split=2GB log=/…path…/logfile.txt bs=512 iflag=direct conv=noerror,sync of=/…path…/IMAGE
It make:
To verify the work:
dc3dd if=/dev/sda progress=on hashconv=after hash=md5,sha1 hashwindow=2GB splitformat=000 split=2GB verylog=/…path…/verfile.txt bs=512 iflag=direct conv=noerror,sync vfjoin=/…path…/IMAGE.000
BUT:
I recommend that you start by downloading dc3dd 7.0. You will find that this version does what you say you want to do, with a simplified command line.
You may obtain the software here: http://sourceforge.net/projects/dc3dd/
Richard Cordovano
Software Engineer (Contractor – General Dynamics)
Department of Defense Cyber Crime Center (DC3)
….and here:
my friend Angelo from Morogoro (Tanzania) will teach how to use a Computer.
Special Thanks to: Litiano, Rossana, ISP and GRUPPOMAFALDA.
Oggi, mentre ascoltavo incredulo le parole che mi venivano dette dall’altra parte del telefono, mi sono tornati in mente alcuni dei nostri scontri. E’ un vero peccato che solo le cose peggiori tornano alla mente dopo anni ma non sempre è così. Certe tue espressioni, le tue barzellette e la mitica password “PIPPOLONA” da te tanto usata sono ancora vive nel nostro ufficio.
Buon viaggio.
E’ passato un anno e non abbiamo dimenticato la Missione di Morogoro (TANZANIA).
Gruppo Mafalda
Insieme si può
Ultimamente, leggo da diverse fonti che si parla molto (con toni anche accesi) della condivisione delle informazioni. E’ un buon argomento che divide chi le informazioni le “deve scrivere”. Chi lo fa come “lavoro” (consulenti) di solito ha ben poco tempo per farlo e condivide informazioni solo con i colleghi che ben conosce. Ci sono poi le persone che lo fanno per puro piacere di condivisione e chi invece si aspetta un ritorno. Qualsiasi sia la ragione, l’importante è “non aspettarsi nulla“.
Per quanto mi riguarda, veniamo alla vera ragione del post, da poco per coloro i quali partecipano ai corsi oragnizzati dall’IISFA esiste un sito di e-learning per la preparazione della certificazione CIFI. Come docente, una volta ultimato il mio argomento rimango a disposizione per i miei “alunni” che possono utilizzare la piattaforma IISFA per formulare ulteriori domande anche non specifiche per la parte da me trattata.
Tra un “CASE” e l’altro è sempre doveroso “upgradare” gli strumenti utilizzati per l’analisi. Può succedere che la nuova versione richieda di fare un UPGRADE anche del formato dei dati estratti (le evidenze individuate). Di solito va tutto per il meglio ma è sempre così? NO.
Utilizzando X-WAYS FORENSICS nel bel mezzo di un CASE ottengo un errore che si ripropone sistematicamente durante l’accesso ad un settore. Di solito in questi casi, se non vi è un modo di “isolare” il settore l’unica alternativa è provare con una versione aggiornata del programma. L’aggiornamento di X-WAYS è molto veloce e semplice. All’apertura del CASE, XW, si accorge che è stato fatto con una versione “vecchia” e suggerisce l’upgrade. Situazione già vista più volte e quindi si va a “cuor leggero”.
Terminato l’upgrade si accede al CASE come nella normalità dei casi. Peccato che ogni volta che cerco di visualizzare gli attributi di un file mi ritorni l’errore:
Cannot open “\WINDOWS\XXX.XXX”. 100FF0001 – 9
Situazione che si ripete con altri vecchi CASE ma che viene aggirata rifacendo l’analisi da zero. Quindi? Perdere il lavoro fatto non è una bella cosa quindi ho aperto un TICKET e sono in attesa. Nel frattempo consiglio a tutti i seguenti STEP prima di eseguire un aggiornamento:
1) Conservare sempre la versione del programma usato.
2) Indicare sempre nelle Consulenza/Perizia la versione del progamma usato.
3) Prima di fare un UPGRADE fate una copia della directory del CASE.
4) Nel caso ci siano problemi, prima di allarmarvi, andate nel FORUM del SUPPORT per vedere se il problema è noto e casomai aprite un TIKET.
Nel mio caso, il problema si manifesta passando dalla versione 15.6 alla 15.8 Sr-2.
Attendo.
UPDATE (17/11/2010) Dopo un paio di MAIL con Fleischmann siamo arrivati alla conclusione che l’unico modo per capire quanto successo è “mandargli su tutto”. Cosa non fattibile in quanto si tratta di materiale riservato. Se qualcuno incontra lo stesso problema lo segnali quanto prima.
Goal: acquire a WD 160GB 2,5″ SATA
Product: FTK IMAGER (3.0.0.1433) vs TABLEAU TD1 FORENSIC DUPLICATOR (2.20)
FTK (best compression level 9): 74GB (TIME: not relevant)
TABLEAU TD1 (default setting): 97GB (TIME: 1 hour)
Note: in the tableau TD1 (firmware 2.20) you cannot change the compression level.
Ottimizzare il tempo a disposizione è un “must” per qualsiasi Consulente in qualsiasi settore. La mia esigenza è trovare il modo più veloce possibile per capire se ad un disco può essere stata applicata una operazione di “WIPING” (cancellazione sicura dei dati). Magari attraverso un “batch” lanciato anche dalla “donna delle pulizie” (figura mitologica presente in tutti i migliori CED che invidio molto in quanto è libera di andare ovunque).
Il problema può essere semplice o complesso in base al programma/hardware di WIPING utilizzato. Se si usa lo standard “tutti zeri” (0×00) o “tutti uni” (0×11) il metodo è efficace mentre è totalmente inutile per lo standard DoD che nella parte finale scrive sequenze casuali di byte.
“Quindi?”
Beh, si lancia il comando “analyze disk” del programma X-WAYS e si aspetta un po’…. (5 Orette per un SEAGATE da 1,5TB).
Ho eseguito una serie di TEST utilizzando il WIPE del TABLEAU TD1 (“tutti zeri” e DoD). X-Ways altro non fa che cercare tutte le occorrenze di un byte.
Questo è una parte dell’output:
Hex Dec Chr No
00 0 . 14918341888074
01 1 . 139396781
02 2 . 84620690
03 3 . 68363223
04 4 . 79860649
05 5 . 48006780
06 6 . 49252715
07 7 . 48615683
08 8 . 70152537
09 9 . 37388312
0A 10 . 41895801
0B 11 . 33109412
0C 12 . 50989404
0D 13 . 38351949
0E 14 . 31693272
Il disco è stato precedentemente “WIPPATO” e poi usato per un 20% della sua capienza. Il test è stato ripetuto tre volte e ha dato gli stessi risultati, la stringa “00″ ha un valore 10^4 – 10^5 volte superiore rispetto alle altre.
L’unico TEST eseguito per il DoD ha dato esito negativo.
“Quindi è attendibile?”
Dipende dal contesto. E’ sicuramente un metodo per capire se dobbiamo investigare meglio oppure no. Il passo successivo potrebbe essere quello di individuare i settori contingui che hanno la stessa “marcatura” (Encase in questo caso aiuta).
“Ma vale la pena passare le ore a estrarre il contenuto dei settori?”
Dipende da cosa cerco, dalle abitudini dell’utente e se il disco è di sistema o no. Se il soggetto è stato intercettato durante il download di materiale “non legale” e ci accorgiamo che i dischi esterni sono praticamente vuoti a fronte di una “marea” di CD/DVD (dove magari la prova è li che attende) allora magari si.
Ritengo comunque che questa analisi sia da mettere fra le operazioni di DEFAULT che si devono eseguire su ogni evidenza prima ancora di conoscere il quesito.
E se uno usa il DoD?
Lui ha molto tempo a disposizione ma io no.