Nov 182011
 

FIXED (21/11/2011):

The PostgreSql start as “Local Service” and use this RIGHT to do all in the PC. In the share where you put the “CASE FOLDER” you must set: SYSTEM – FULL CONTROL

 

Folder: \\10.X.XX.25\case

 

ACL SHARING:

TICKET CLOSE.

 

 

 

————————————————————————————————————————

ISSUE (18/11/2011)

 

Environment:

  • OS: Windows 7 64BIT
  • DB: POSTGRESQL (64BIT) 9.0
  • MS Framework 4.0
  • New install and  all in one PC.

 

ISSUE:

When i create a NEW CASE with UNC path i get an error:

 

 

UNC PATH: \\10.XX.XX.25\case

 

 

Solution: USE ABSOLUTE PATH!!!

 

BUT on DPE  i got this error:

 

Workaround: after the case is create with absolute path, change it in UNC. It work at 100%.

Sep 142011
 

Dopo 3 mesi di piena attività mi concedo finalmente una pausa per aggiornare il BLOG con i nuovi appuntamenti e ripartiamo con la nuova versione di FTK (3.4.1) che annuncia modifiche sostanziali dato il cambio di DB. Da Oracle a PostgreSQL gia portato nella 3.4.

TEST:

1) Confronto diretto fra la versione 3.3 e 3.4.1 per capire come si comporta in nuovo DB.

2) Upgrade dei “vecchi case” dalla versione 3.3 alla 3.4.1 per capirne il gradi di affidabilità.

4) “New Futures” della versione 3.4.1

 

 

May 052011
 

A day (bad day) you decided to re-install your version of FTK3.X

“What you need to do for survive?

For FTK3 there isn’t any problem… for Oracle can be a hell.

First of all:  by add/remove Wizard remove FTK3/Local Engine and Oracle.

Second step for prevent error 27557:

->Delete this key of registry: HKEY_LOCAL_MACHINE\Software\ORACLE\

->Delete this Directory: C:\Program Files\Oracle\

->Delete this Directory: C:\Oracle (Default Installation)

->Under this key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Delete all keys that start with: Oracle….

-> If you are using an’ISO image mounted with “Daemon Tools” disable the physical CD/DVD ROM:

.

.

.

->If you got again the Error 27557 then check the logs<-

Apr 162011
 

FTK IMAGER 3.0.1

A nice fix:

Resolved file name issue that caused E01 files that were created in FTK Imager
to fail during import into EnCase. (56047)”

News:

“Improved handling of Apple partition maps (54804)”

FTK 3.3

Nice to know:

“FTK 3.3 does not carve container files. Safari cache.db files are container files. (54453)”.

“The processing Engine has to be manually stopped on 3.1 before 3.2 can be run and vice-versa.  They can be installed at the same time, but only one can run at a time.  FTK will get an error in the processing dialog if the wrong DPE is running. (21233)”.

“The Oracle database must be installed on a machine whose name begins with a letter (a-z and A-Z)number”.

“When exporting folders and their contents, you should always select the folder to be exported from the file list view instead of from the explore tree in order to export the contents correctly. (53627)”.

FTK now carves SQLite databases in order to recover deleted data that they might contain. Due to this change, users will likely see duplicate files if they choose to carve SQLite databases in addition to expanding them. (54453, 55292)”.

News:

“Upon completion of an export job, the export destination folder will now automatically
open up in Windows Explorer to show you the files / folders exported. (55773)”.

“Enhanced export functionality to handle export destination paths of more than 248
characters in length. (54302)”.

“The New Case Wizard and Additional Analysis dialog box now allow the user to “Do not find find deleted items”. Deleted files will be discovered and processed by default. (44322)”.

“At the root of each case folder you will now find a file called EvidenceHistory.log”

“New columns added in the file list view for MS Office metadata properties of “Last SavedBy” and “Author”. (54704)”.

FIX:

“Case Reviewers are no longer able to see or to know how many items have been marked privileged. (52836)”.

“FTK does not support processing evidence images of HFS+ file systems that have a sector size greater than 512 bytes. (52734)”.


Apr 032011
 

Questo POST nasce come commento al recente articolo scritto per IISFA e pubblicato sulla newsletter. Parliamo di “copia” della “copia” ovvero della cosidetta copia di “backup” delle evidenze vitale  nel caso in cui il supporto su cui è contenuta la nostra copia per le analisi si guasti.

A corredo vi  è anche il commento del caro amico l’Avvocato Antonino Attanasio che, codice “alla mano”, precisa che al termine della Consulenza/Perizia il tutto deve essere consegnato e il superfluo distrutto.

Qualunque sia la decisione sulla destinazione delle copie, ho voluto focalizzare la mia attenzione sugli strumenti per farle. Alla fine è solo una copia ma quello che conta è che il “backup” sia consistente ovvero sia uguale all’originale.

Fino a qualche anno fa parlavamo di GB, ora parliamo di TB. Questi dati, per questioni di semplicità, vengono copiati solitamente via “CIFS” su sistemi “NAS” (la cui velocità dipende dalle meccaniche). Quindi, a meno che non abbiate a disposizione una rete da 10Gb con un NAS da un centinaio di meccaniche direi che la soluzione più veloce è usare il NAS solo come appoggio (“parcheggiate” li le evidenze in attesa di elaborazione).

“Ma che software usare?”

Non entro nel merito in questo post ma deve fare quello che mi aspetto che faccia: una copia consistente ovvero uguale alla sorgente.

“E’ possibile che durante una copia via rete si corrompa qualcosa?”

Si, è possibile in quanto mi è capitata spesso e solo da poco ho capito il motivo: lo SWITCH da 1Gb andava in surriscaldamento dopo 40 minuti di copia.

“Copie su nastro?”

E’ un’alternativa lenta ma da tenere in considerazione. Le capienze dei nastri con LTO5 arrivano oltre 1TB (non considerate la compressione) con costi per i nasti accettabili. I dati possono essere scritti in forma CRIPTATA (cosa da non sottovalutare) e si fa carico il programma di BACKUP di verificare la consistenza dei dati scritti. Il tutto poi viene gestito attraverso un “DataBase” ed è quindi tutto molto più semplice quando devo recuperare qualcosa.

Naturalmente tutto a discapito di:

  • Costo del Lettore (eccessivo).
  • Velocità del processo (parliamo di molte ore).
  • Dubbio: copia semplice o doppia copia?

Le soluzioni ci sono e sono diverse ma…  qualcuno si è mai posto tale problema?

Mar 192011
 

Why not use the options in the index search?

Let me explain some example.

STEAMMING.
Stemming extends a search to grammatical variations on a word.
If you search for “fish” you will found: fish or/and  “fishing“.

Be aware: IT WORK ONLY FOR ENGLISH LANGUAGE.

PHONIC.
Phonic searchfor a word that sounds like the word you are searching. It starts with the same letter.
If you search for “diagnosi” you will found: diagnosi or/and  “disconnessaor/and “diciamogli” or/and
diagnosticato

SYNONYM.
Synonym look for synonym.

Be aware: IT WORK ONLY FOR ENGLISH LANGUAGE.

FUZZY.
Fuzzy  will find a word even if it is misspelled. It can be useful when you are searching text that may contain typographical errors.
If you search for “liberata” you will found: liberata or/and “libertà” or/and “liberataa” or/and “liberaaa

Mar 062011
 

About this POST: FTK3 Report TIPS (or bug?) these are the fixs (or knowledge) by ACCESSDATA SUPPORT.

Issue 1: More files are getting exported than were intended.

“This happened because in the ‘Selected Categories’ you had File Items checked, and Checked Items checked. This told FTK to export all files. To stop this behavior, put the checkmark only in ‘Checked Items’. FTK was doing exactly what the options told it to do”.

Issue 2: Record Date not showing in the report.

“This likely occurred because the column settings were not chosen in the File Properties options window. You’ll need to make certain that the correct column template is chosen by selecting ‘Columns’ in the report wizard, File Properties category”.

Issue 3: Unable to crate a report after deleting the old report from within FTK.

“I was unable to duplicate this issue. Things worked just fine when I deleted an old report to put the new report in the same location. It looks as though it is a rights issue for some reason. We may need to discuss this issue over the phone”.

Special thanks to Mike (AccessData Support).

Feb 262011
 

Fuzzy Hashing allow the discover of files that may not be locate using the traditional hashing methods. Here you can download a good document from Access Data.

This is an example of how it work on FTK3

On a case in FTK3 right click on a file (17.jpg) and select “Find Similar Files”:

after few mins you will get what you are looking for:

But, is the same files???

Different HASH means different files…. but not always.

Look better (and find the difference):

The “carved image” has lost a part so the HASH is different but the image is the same.

You can use this method when you have a piece of a pictures. It work VERY well with TEXT files. Try.

Feb 192011
 

Hi all,

today we want to make a simple report of 13 files with FTK3.

TIPS (or BUG) 1:

We start the WIZARD with only two options:  “Case Information” and “File Properties“.

We have 13 checked Files:

Let’s go:

The creation report start…. and it start to export files…… 489459 files !!!!

AFTER 5 HOURS:

Something of wrong??

TIPS (or BUG) 2:

For every file  (on NTFS FILE SYSTEM) extract this  with the report wizard:

Look:

This is the Record date on FTK3 GUI:

And this is the REPORT:

Where’s the “Record Date“?

TIPS (or BUG) 3:

You want to change the report. So, you make your change:

…and then the report quit.

So?

Before generate another report: delete the folder.

UPDATE 24/02/2011: TICKET IN WORKING (from AD).

Feb 132011
 

I am working with FTK3 in a distributed environment. I had some trouble so i hope this post can help someone.

GENERAL

PATH where you can find LOG files (WindowsXP):

C:\Documents and Settings\All Users\Application Data\AccessData

FTK3 ORACLE

If you need a fast way to set the amount of memory used by Oracle, set these keys and restart the service:

FTK3 ENGINE

When you install “Access Data Processing Engine” for a distribuited processing, DO IT in “CONSOLE 0″ and verify to see this screenshot:

If the SERVICES don’t start, install “.NET Framework 3.5Sp1“:

If the FRAMEWORK is installed and it don’t start again, kill all process bind  on port 34097:

If the “Access Data Processing Engine” work,  you can fine these process:

DISK SPACE WARNING:

Often on the Worker (Client with ADPE engine) space size fall down very fast. Monitor it!!!

Jan 302011
 

Do you need to trace the activity in a Windows PC? You don’t know where to start?

This is an example (OLAF 2011):

This is the XLS

TIPS:

  • Work on UTC format.
  • USE a REGISTRY TIMELINE (you can use AD “Registry View”).
  • For FIREFOX and IE you can use “Netanalysis” (you can build SQL query).
  • For The Event View you can use “Event Log Explorer”.
  • For FILE SYSTEM: use X-WAYS Forensics (use FILTERS).
Jan 212011
 

This week test a full version of Safecopy2 (PINPOINTcommercial) and Robocopy (Microsoft -freeware). My  goal is to copy as fast as possible 17GB of file ( 537315 files) from a folder to a network share and check the integrity of the copy.

Robocopy don’t check the integrity of the copy so i must make 3 additional step:

  • HASH ALL SOURCE FILES
  • ROBOCOPY
  • HASH ALL DESTINATION FILES
  • COMPARE THE HASH (you can use a tool like FASTSUM)

Safecopy do automatic  these step.

This is the log of Robocopy:

As you can see:  537313 Copied, 2 Failed

The HASH verify:

With Safecopy2:

In the *.csv file you can find all information about the files.

So? What’s the better?

Look the pictures… find the time spent and the time to fix any problems. For me, i prefer Safecopy2.

Question: “Why i need a tool to copy files around my Laboratory?

Answer:  “You never backup your EVIDENCE???

Dec 312010
 

You are in front of a Linux shell and you need to split your TeraByte of evidence in a FATA32 Hard Disk. You don’t have time to think.

This work for version: 6.12.3 (HELIX3PRO  last version 2010).

dc3dd if=/dev/sda progress=on hashconv=after hash=md5,sha1 hashwindow=2GB splitformat=000 split=2GB log=/…path…/logfile.txt bs=512 iflag=direct conv=noerror,sync of=/…path…/IMAGE

It make:

  • Multiple files of 2GB
  • HASH: all chunk with MD5 and SHA1
  • HASH: TOTAL IMAGE (MD5 and SHA1)
  • Create a LOG file.

To verify the work:

dc3dd if=/dev/sda progress=on hashconv=after hash=md5,sha1 hashwindow=2GB splitformat=000 split=2GB verylog=/…path…/verfile.txt bs=512 iflag=direct conv=noerror,sync vfjoin=/…path…/IMAGE.000

BUT:

I recommend that you start by downloading dc3dd 7.0. You will find that this version does what you say you want to do, with a simplified command line.

You may obtain the software here: http://sourceforge.net/projects/dc3dd/

Richard Cordovano
Software Engineer (Contractor – General Dynamics)
Department of Defense Cyber Crime Center (DC3)

Nov 142010
 

Tra un “CASE” e l’altro è sempre doveroso “upgradare” gli strumenti utilizzati per l’analisi. Può succedere che la nuova versione richieda di fare un UPGRADE anche del formato dei dati estratti (le evidenze individuate). Di solito va tutto per il meglio ma è sempre così? NO.

Utilizzando X-WAYS FORENSICS nel bel mezzo di un CASE ottengo un errore che si ripropone sistematicamente durante l’accesso ad un settore. Di solito in questi casi, se non vi è un modo di “isolare” il settore l’unica alternativa è provare con una versione aggiornata del programma. L’aggiornamento di X-WAYS è molto veloce e semplice. All’apertura del CASE, XW, si accorge che è stato fatto con una versione “vecchia” e suggerisce l’upgrade. Situazione già vista più volte e quindi si va a “cuor leggero”.

Terminato l’upgrade si accede al CASE come nella normalità dei casi. Peccato che ogni volta che cerco di visualizzare gli attributi di un file mi ritorni l’errore:

Cannot open “\WINDOWS\XXX.XXX”. 100FF0001 – 9

Situazione che si ripete con altri vecchi CASE ma che viene aggirata rifacendo l’analisi da zero. Quindi? Perdere il lavoro fatto non è una bella cosa quindi ho aperto un TICKET e sono in attesa. Nel frattempo consiglio a tutti i seguenti STEP prima di eseguire un aggiornamento:

1) Conservare sempre la versione del programma usato.
2) Indicare sempre nelle Consulenza/Perizia la versione del progamma usato.
3) Prima di fare un UPGRADE fate una copia della directory del CASE.
4) Nel caso ci siano problemi, prima di allarmarvi, andate nel FORUM del SUPPORT per vedere se il problema è noto e casomai aprite un TIKET.

Nel mio caso, il problema si manifesta passando dalla versione 15.6 alla 15.8 Sr-2.

Attendo.

UPDATE (17/11/2010) Dopo un paio di MAIL con Fleischmann siamo arrivati alla conclusione che l’unico modo per capire quanto successo è “mandargli su tutto”. Cosa non fattibile in quanto si tratta di materiale riservato. Se qualcuno incontra lo stesso problema lo segnali quanto prima.

Nov 132010
 

Goal: acquire a WD 160GB 2,5″ SATA

Product: FTK IMAGER (3.0.0.1433) vs TABLEAU TD1 FORENSIC DUPLICATOR (2.20)

FTK (best compression level 9): 74GB (TIME: not relevant)
TABLEAU TD1 (default setting): 97GB (TIME: 1 hour)

Note: in the tableau TD1 (firmware 2.20) you cannot change the compression level.

Nov 082010
 

Ottimizzare il tempo a disposizione è un “must” per qualsiasi Consulente in qualsiasi settore. La mia esigenza è trovare il modo più veloce possibile per capire se ad un disco può essere stata applicata una operazione di “WIPING” (cancellazione sicura dei dati). Magari attraverso un “batch” lanciato anche dalla “donna delle pulizie” (figura mitologica presente in tutti i migliori CED che invidio molto in quanto è libera di andare ovunque).

Il problema può essere semplice o complesso in base al programma/hardware di WIPING utilizzato. Se si usa lo standard “tutti zeri” (0×00) o “tutti uni” (0×11) il metodo è efficace mentre è totalmente inutile per lo standard DoD che nella parte finale scrive sequenze casuali di byte.

“Quindi?”

Beh, si lancia il comando “analyze disk” del programma X-WAYS e si aspetta un po’…. (5 Orette per un SEAGATE da 1,5TB).

Ho eseguito una serie di TEST utilizzando il WIPE del TABLEAU TD1 (“tutti zeri” e DoD). X-Ways altro non fa che cercare tutte le occorrenze di un byte.

Questo è una parte dell’output:

Hex Dec Chr No
00 0 . 14918341888074
01 1 . 139396781
02 2 . 84620690
03 3 . 68363223
04 4 . 79860649
05 5 . 48006780
06 6 . 49252715
07 7 . 48615683
08 8 . 70152537
09 9 . 37388312
0A 10 . 41895801
0B 11 . 33109412
0C 12 . 50989404
0D 13 . 38351949
0E 14 . 31693272

Il disco è stato precedentemente “WIPPATO” e poi usato per un 20% della sua capienza. Il test è stato ripetuto tre volte e ha dato gli stessi risultati, la stringa “00″ ha un valore 10^4 – 10^5 volte superiore rispetto alle altre.

L’unico TEST eseguito per il DoD ha dato esito negativo.

“Quindi è attendibile?”

Dipende dal contesto. E’ sicuramente un metodo per capire se dobbiamo investigare meglio oppure no. Il passo successivo potrebbe essere quello di individuare i settori contingui che hanno la stessa “marcatura” (Encase in questo caso aiuta).

“Ma vale la pena passare le ore a estrarre il contenuto dei settori?”

Dipende da cosa cerco, dalle abitudini dell’utente e se il disco è di sistema o no. Se il soggetto è stato intercettato durante il download di materiale “non legale” e ci accorgiamo che i dischi esterni sono praticamente vuoti a fronte di una “marea” di CD/DVD (dove magari la prova è li che attende) allora magari si.

Ritengo comunque che questa analisi sia da mettere fra le operazioni di DEFAULT che si devono eseguire su ogni evidenza prima ancora di conoscere il quesito.

E se uno usa il DoD?
Lui ha molto tempo a disposizione ma io no.

Sep 202010
 

Lavorando con un BlackBerry ho avuto l’esigenza di trasferire alcuni file presenti nella MEDIA CARD nel mio PC. Il mio BB è configurato per criptare qualsiasi file (MEDIA o ALLEGATI). Senza entrare nel dettaglio: non viene criptato il file system ma solamente i file presenti con una chiave propria del bb (criptati e a file fine aggiunta l’estensione “.rem“). Una volta che si disabilita la “criptazione” i file non vengono automaticamente decriptati ma rimangono criptati. Tutti i nuovi file vengono scritti in chiaro come da impostazione corrente.

E per recuperare i file in chiaro?

Modificare l’estensione non serve a nulla. La criptazione viene tolta se il file viene riscritto. Se avete quindi 100 Immagini criptate (“.rem“) le dovete copiare eventualmente all’interno di una nuova cartella da BB (con le sue utility). In questo modo i nuovi file sono scritti in chiaro.
Esportati i file in chiaro li potete cancellare…. ma… si possono recuperare con il “DATACARVING”. Infatti il BB non dispone (nativamente) di una utility che consente di “wippare” gruppi di cartelle o file. Ha solo la possibilità di “wippare” TUTTA la memory card.

Morale: anche se in un BB sapete che hanno attivato la “criptazione” per la media card, potete eseguire un’operazione di “DATACARVING”.

Lascio alla “comunità” la risposta alla domanda: E la criptazione dei dati interni?