Questo POST nasce come commento al recente articolo scritto per IISFA e pubblicato sulla newsletter. Parliamo di “copia” della “copia” ovvero della cosidetta copia di “backup” delle evidenze vitale  nel caso in cui il supporto su cui è contenuta la nostra copia per le analisi si guasti.

A corredo vi  è anche il commento del caro amico l’Avvocato Antonino Attanasio che, codice “alla mano”, precisa che al termine della Consulenza/Perizia il tutto deve essere consegnato e il superfluo distrutto.

Qualunque sia la decisione sulla destinazione delle copie, ho voluto focalizzare la mia attenzione sugli strumenti per farle. Alla fine è solo una copia ma quello che conta è che il “backup” sia consistente ovvero sia uguale all’originale.

Fino a qualche anno fa parlavamo di GB, ora parliamo di TB. Questi dati, per questioni di semplicità, vengono copiati solitamente via “CIFS” su sistemi “NAS” (la cui velocità dipende dalle meccaniche). Quindi, a meno che non abbiate a disposizione una rete da 10Gb con un NAS da un centinaio di meccaniche direi che la soluzione più veloce è usare il NAS solo come appoggio (“parcheggiate” li le evidenze in attesa di elaborazione).

“Ma che software usare?”

Non entro nel merito in questo post ma deve fare quello che mi aspetto che faccia: una copia consistente ovvero uguale alla sorgente.

“E’ possibile che durante una copia via rete si corrompa qualcosa?”

Si, è possibile in quanto mi è capitata spesso e solo da poco ho capito il motivo: lo SWITCH da 1Gb andava in surriscaldamento dopo 40 minuti di copia.

“Copie su nastro?”

E’ un’alternativa lenta ma da tenere in considerazione. Le capienze dei nastri con LTO5 arrivano oltre 1TB (non considerate la compressione) con costi per i nasti accettabili. I dati possono essere scritti in forma CRIPTATA (cosa da non sottovalutare) e si fa carico il programma di BACKUP di verificare la consistenza dei dati scritti. Il tutto poi viene gestito attraverso un “DataBase” ed è quindi tutto molto più semplice quando devo recuperare qualcosa.

Naturalmente tutto a discapito di:

• Costo del Lettore (eccessivo).
• Velocità del processo (parliamo di molte ore).
• Dubbio: copia semplice o doppia copia?

Le soluzioni ci sono e sono diverse ma…  qualcuno si è mai posto tale problema?

Why not use the options in the index search?

Let me explain some example.

STEAMMING.
Stemming extends a search to grammatical variations on a word.
If you search for “fish” you will found: “fish“ or/and  “fishing“.

Be aware: IT WORK ONLY FOR ENGLISH LANGUAGE.

PHONIC.
Phonic searchfor a word that sounds like the word you are searching. It starts with the same letter.
If you search for “diagnosi” you will found: “diagnosi“ or/and  “disconnessa” or/and “diciamogli” or/and
“diagnosticato”

SYNONYM.
Synonym look for synonym.

Be aware: IT WORK ONLY FOR ENGLISH LANGUAGE.

FUZZY.
Fuzzy  will find a word even if it is misspelled. It can be useful when you are searching text that may contain typographical errors.
If you search for “liberata” you will found: “liberata“ or/and “libertà” or/and “liberataa” or/and “liberaaa“

About this POST: FTK3 Report TIPS (or bug?) these are the fixs (or knowledge) by ACCESSDATA SUPPORT.

Issue 1: More files are getting exported than were intended.

“This happened because in the ‘Selected Categories’ you had File Items checked, and Checked Items checked. This told FTK to export all files. To stop this behavior, put the checkmark only in ‘Checked Items’. FTK was doing exactly what the options told it to do”.

Issue 2: Record Date not showing in the report.

“This likely occurred because the column settings were not chosen in the File Properties options window. You’ll need to make certain that the correct column template is chosen by selecting ‘Columns’ in the report wizard, File Properties category”.

Issue 3: Unable to crate a report after deleting the old report from within FTK.

“I was unable to duplicate this issue. Things worked just fine when I deleted an old report to put the new report in the same location. It looks as though it is a rights issue for some reason. We may need to discuss this issue over the phone”.

Special thanks to Mike (AccessData Support).

Hi all,

today we want to make a simple report of 13 files with FTK3.

TIPS (or BUG) 1:

We start the WIZARD with only two options:  “Case Information” and “File Properties“.

We have 13 checked Files:

Let’s go:

The creation report start…. and it start to export files…… 489459 files !!!!

AFTER 5 HOURS:

Something of wrong??

TIPS (or BUG) 2:

For every file  (on NTFS FILE SYSTEM) extract this  with the report wizard:

Look:

This is the Record date on FTK3 GUI:

And this is the REPORT:

Where’s the “Record Date“?

TIPS (or BUG) 3:

You want to change the report. So, you make your change:

…and then the report quit.

“So?”

Before generate another report: delete the folder.

UPDATE 24/02/2011: TICKET IN WORKING (from AD).

Target:

• FILE: Microsoft Excel 2003
• Password for open: 10 Character
• Password for read/write:  15 Character (character + digit)

Method:

• Software: DNA3 (last version December 2010)
• Password/Sec: 2Millions (everage)
• Number of Hosts: 6 Computers
• Duration: 3Days

This week test a full version of Safecopy2 (PINPOINT – commercial) and Robocopy (Microsoft -freeware). My  goal is to copy as fast as possible 17GB of file ( 537315 files) from a folder to a network share and check the integrity of the copy.

Robocopy don’t check the integrity of the copy so i must make 3 additional step:

• HASH ALL SOURCE FILES
• ROBOCOPY
• HASH ALL DESTINATION FILES
• COMPARE THE HASH (you can use a tool like FASTSUM)

Safecopy do automatic  these step.

This is the log of Robocopy:

As you can see:  537313 Copied, 2 Failed

The HASH verify:

With Safecopy2:

In the *.csv file you can find all information about the files.

So? What’s the better?

Look the pictures… find the time spent and the time to fix any problems. For me, i prefer Safecopy2.

Question: “Why i need a tool to copy files around my Laboratory?“

Answer:  “You never backup your EVIDENCE???“

Tra un “CASE” e l’altro è sempre doveroso “upgradare” gli strumenti utilizzati per l’analisi. Può succedere che la nuova versione richieda di fare un UPGRADE anche del formato dei dati estratti (le evidenze individuate). Di solito va tutto per il meglio ma è sempre così? NO.

Utilizzando X-WAYS FORENSICS nel bel mezzo di un CASE ottengo un errore che si ripropone sistematicamente durante l’accesso ad un settore. Di solito in questi casi, se non vi è un modo di “isolare” il settore l’unica alternativa è provare con una versione aggiornata del programma. L’aggiornamento di X-WAYS è molto veloce e semplice. All’apertura del CASE, XW, si accorge che è stato fatto con una versione “vecchia” e suggerisce l’upgrade. Situazione già vista più volte e quindi si va a “cuor leggero”.

Terminato l’upgrade si accede al CASE come nella normalità dei casi. Peccato che ogni volta che cerco di visualizzare gli attributi di un file mi ritorni l’errore:

Cannot open “\WINDOWS\XXX.XXX”. 100FF0001 – 9

Situazione che si ripete con altri vecchi CASE ma che viene aggirata rifacendo l’analisi da zero. Quindi? Perdere il lavoro fatto non è una bella cosa quindi ho aperto un TICKET e sono in attesa. Nel frattempo consiglio a tutti i seguenti STEP prima di eseguire un aggiornamento:

1) Conservare sempre la versione del programma usato.
2) Indicare sempre nelle Consulenza/Perizia la versione del progamma usato.
3) Prima di fare un UPGRADE fate una copia della directory del CASE.
4) Nel caso ci siano problemi, prima di allarmarvi, andate nel FORUM del SUPPORT per vedere se il problema è noto e casomai aprite un TIKET.

Nel mio caso, il problema si manifesta passando dalla versione 15.6 alla 15.8 Sr-2.

Attendo.

UPDATE (17/11/2010) Dopo un paio di MAIL con Fleischmann siamo arrivati alla conclusione che l’unico modo per capire quanto successo è “mandargli su tutto”. Cosa non fattibile in quanto si tratta di materiale riservato. Se qualcuno incontra lo stesso problema lo segnali quanto prima.

Ottimizzare il tempo a disposizione è un “must” per qualsiasi Consulente in qualsiasi settore. La mia esigenza è trovare il modo più veloce possibile per capire se ad un disco può essere stata applicata una operazione di “WIPING” (cancellazione sicura dei dati). Magari attraverso un “batch” lanciato anche dalla “donna delle pulizie” (figura mitologica presente in tutti i migliori CED che invidio molto in quanto è libera di andare ovunque).

Il problema può essere semplice o complesso in base al programma/hardware di WIPING utilizzato. Se si usa lo standard “tutti zeri” (0×00) o “tutti uni” (0×11) il metodo è efficace mentre è totalmente inutile per lo standard DoD che nella parte finale scrive sequenze casuali di byte.

“Quindi?”

Beh, si lancia il comando “analyze disk” del programma X-WAYS e si aspetta un po’…. (5 Orette per un SEAGATE da 1,5TB).

Ho eseguito una serie di TEST utilizzando il WIPE del TABLEAU TD1 (“tutti zeri” e DoD). X-Ways altro non fa che cercare tutte le occorrenze di un byte.

Questo è una parte dell’output:

Hex Dec Chr No
00 0 . 14918341888074
01 1 . 139396781
02 2 . 84620690
03 3 . 68363223
04 4 . 79860649
05 5 . 48006780
06 6 . 49252715
07 7 . 48615683
08 8 . 70152537
09 9 . 37388312
0A 10 . 41895801
0B 11 . 33109412
0C 12 . 50989404
0D 13 . 38351949
0E 14 . 31693272

Il disco è stato precedentemente “WIPPATO” e poi usato per un 20% della sua capienza. Il test è stato ripetuto tre volte e ha dato gli stessi risultati, la stringa “00″ ha un valore 10^4 – 10^5 volte superiore rispetto alle altre.

L’unico TEST eseguito per il DoD ha dato esito negativo.

“Quindi è attendibile?”

Dipende dal contesto. E’ sicuramente un metodo per capire se dobbiamo investigare meglio oppure no. Il passo successivo potrebbe essere quello di individuare i settori contingui che hanno la stessa “marcatura” (Encase in questo caso aiuta).

“Ma vale la pena passare le ore a estrarre il contenuto dei settori?”

Dipende da cosa cerco, dalle abitudini dell’utente e se il disco è di sistema o no. Se il soggetto è stato intercettato durante il download di materiale “non legale” e ci accorgiamo che i dischi esterni sono praticamente vuoti a fronte di una “marea” di CD/DVD (dove magari la prova è li che attende) allora magari si.

Ritengo comunque che questa analisi sia da mettere fra le operazioni di DEFAULT che si devono eseguire su ogni evidenza prima ancora di conoscere il quesito.

E se uno usa il DoD?
Lui ha molto tempo a disposizione ma io no.