PROBLEM: MountImagePro (3.X and 4.X) is unable to mount evidence files .E01 from Tableau TD1 Forensic Duplicator.
Workaround: convert the evidence file .E01 in .E01 or RAW With FTK IMAGER.
Status: working with GETDATA to solve the issue.
PROBLEM: MountImagePro (3.X and 4.X) is unable to mount evidence files .E01 from Tableau TD1 Forensic Duplicator.
Workaround: convert the evidence file .E01 in .E01 or RAW With FTK IMAGER.
Status: working with GETDATA to solve the issue.
Fra una pausa e l’altra (o anche fra la fine di una Consulenza e l’ìnizio di un’altra) aggiorno il Software di Analisi. Di solito i giorni successivi passo il mio tempo nei FORUM per capire “dove sbaglio”. Oggi tocca a DNA (Distribuited Network Attack) un “brutaforce” distribuito su diversi Computer in rete. In passato non ho mai avuto risultati “sbalorditivi” da questo tool ma a me piace per come è stata pensata l’architettura.
La versione precedente (3.5.4) non ha mai dato problemi.
Oggi ho fatto l’upgrade. Tutto bene sul “supervisor” (il “distributore di lavoro” che lo assegna ai vari “Worker”) ma risultati diversi con i “worker”…. ovvero la “bassa manovalanza”.
Su due dei quattro Computer che ho a disposizione il SERVIZIO di AD va in FAULT:
Faulting application worker_service.exe, version 0.0.0.0, faulting module worker_service.exe, version 0.0.0.0, fault address 0x000113a5.
Sui due PC dove il servizio funziona, ho installato anche la suite FTK.
Che manchi qualche componente che la “Release note” non riporta?
Dove sbaglio???
PS: ci vediamo a Roma il 23 (LUMSA).
PS2: ci vediamo al Cybercop 2010 a Milano (sotto altre vesti quest’anno).
PS3: qualcuno ha un indirizzo mail “segreto” di Jonathan Zdziarski dove risponde?
UPDATE (23/10/2010): nessuna NEWS, quindi apro un TICKET.
UPDATE (26/10/2010): Il 24 mi hanno contattato con il suggerimento: re-installa e cancella la cartella. Nulla è cambiato. Andiamo avanti.
UPDATE (27/10/2010): Il 26 mi hanno suggerito: re-installa e cancella la cartella e le “entry” nel Registry. Nulla è cambiato. Andiamo avanti.
Avrei voluto intitolare il post: “Errata Corrige”.
Giusto ieri durante il corso avevo più volte sottolineato il fatto che i prodotti di Access Data non visualizzano la data di ultima modifica dei metadati relativi ad un File System NTFS.
Bene, sembra che le cose cambieranno visto che la nuova versione di FTK IMAGER 2.7.0 lo indica.
UPDATE(09/03/2010): A questo punto: “Errata Corrige”.
Non leggersi le “release note” e installare subito (alla “utonto”) ogni tanto porta a compiere errori. E’ dalla versione 2.6.1.62 che viene riportata la data di modifica dei METADATA.
(THANKS TO KENDO)
Testando FTK 3.0.4 sono incappato nel problema che segue: importare un Hash Md5 all’interno della Library di FTK.
Il problema è risaputo (inizio 2009) fin dalla versione 2.X e il WORKAROUND funziona egregiamente.
Vediamo i passi da fare.
1) Create un File con estensione “.CSV” inserendo i vari Hash del tipo:
———————–INIZIO—————————
MD5
7938F1D1D333811510D6C8D8B530BEBD
8938F1D1D333811510D6C8D8B530B786
———————–FINE—————————
L’ultima riga deve rimanere vuota.
2) Importate il file da “KFF MANAGER”
3) Create un nuovo GRUPPO (oltre ai due di default: AD_Alert e AD_Ignore)
4) Assegnate al nuovo gruppo il NOME usato per importare il file “.CSV”
5) Rieseguite il KFF con l’opzione “Recheck previously processed items” se volete testare la presenza dei nuovi HASH.
Il workaround è ben indicato in alcuni post del FORUM.
Approfitto del post per suggerire ai “colleghi” che, alla prima difficoltà invece di postare domande a destra e a manca cercate sempre le vostre risposte nei FORUM del PRODUTTORE.
E’ da alcune settimana che mi sono “messo in testa” di installare FTK 3.0.4 su un PC (HP) con Windows 7 (64BIT). L’installazione non è andata a buon fine subito. La prima fase di installazione “unattend” di Oracle va in errore con codice: “27557″. Se lanciate “a mano” l’installazione di ORACLE questa va a buon fine (ma non ve ne fate nulla inquanto mancano tette le personalizzazioni…).
Morale: sembra che lo script per l’installazione “silente” abbia dei problemi.
Sul forum vi sono diversi POST che segnalano l’anomalia già da tempo e le soluzioni fornite da AD sono abbastanza “sul vago” (considerazione strettamente personale).
Con tutto rispetto la proposta: “elimina tutte le voci di registro, i file, cartelle e reinstalla” non mi sembra professionale (considerazione sempre strettamente personale).
Comunque sia, stamattina sul forum si sono accorti che ancora le cose non vanno:
“It is my understanding that this only happens on 64 bit windows 7 and 2008 R2. We’ve alerted the developers that this error has also been seen in Italian.”
Bene… attendo fiducioso (la diretta la trasmetto via TWITTER).
————————————————————————————-
Update 05/01/2010:
“Our developers are working on a solution to this issue for both German and Italian.”
————————————————————————————-
Update 13/01/2010:
Assieme ad altri colleghi stiamo sempre aspettando che AD sistemi le cose. Al momento non si “muove nulla”.
————————————————————————————-
Update 15/01/2010:
Di propria iniziativa il supporto Tecnico di AD mi ha scritto mandandomi i LINK per scaricare una patch e verificare se il tutto funziona. Domattina la installo. Devo ammettere che apprezzo molto l’iniziativa. Vediamo se riusciamo a far parte del gruppo di BETA-TESTING.
In questi giorni in cui mi sto divertendo a “giocare” con Windows 7 ne escono delle “belle”. L’idea è di avere una postazione di analisi con Windows 7 per utilizzare appieno 4 processori e 6G di RAM. La realtà è quella di rimanere con XP. Ma siamo solo agli inizi.
Vediamo in breve alcune “issue” aperte:
Domani vediamo che mi combina X-WAYS via RDP…
Se qualcuno vuole approfondire le varie problematiche, consiglio di seguire i problemi direttamente dai forum dei produttori.
UPDATE: 24/12/2009
Nessun problema di incompatibilità di X-Ways Forensics 15.4 con Windows 7 a 64 bit anche da remoto via RDP.
Prima di perdere la pazienza perchè dopo aver installato tutto (certificato e HASP SRM Runtime cmdline) vi accorgete che il programma non funziona) fate cosi:
Al successivo riavvio, inserite il DONGLE e magicamente Windows 7 installarà in automatico i file.
Procedura banale ma che sembra essere l’unico Work-Around funzionante.
Mi sono messo per gioco a testare i prodotti della PASSWARE (1.3 Free/Demo) per l’identificazione di file “criptati” e la loro decodifica. Naturalmente i file TRUECRYPT non vengono riconosciuti. Nemmeno i file criptati con quella “vecchia” applicazione “KREMLIN” che mi è sempre piaciuta (anche se una versione ha un “buco” enorme…).
Funzionano bene per i file protetti con le applicazioni di OFFICE e di WINZIP. Per i file “OFFICE 2007″ il protocollo usato per la criptazione è l’AES e quindi si utilizza il classico “brutaforce”.
Comunque sia… se si vuole nascondere qualcosa è sempre meglio usare TRUECRYPT su un portatile isolato con acceso un JAMMER WIFI ricordandosi di andare a cancellare la lista dei documenti recenti e i LINK sparsi fra registro e desktop. Non dimenticate di “Wippare” pagefiles e lo spazio libero su disco ad ogni spegnimento…
Ho iniziato nel 2000 ad occuparmi di CF grazie all’aiuto del mio caro amico Antonio che mi ha fornito il materiale e i “casi” su cui iniziare a lavorare. Assieme a lui ho fatto molta strada e sono arrivato fino a qui. Ora ho deciso di concludere la mia esperienza diretta nella CF lasciando il mio posto ad altri. Rimangono ancora alcuni mesi per chiudere le ultime consulenze e poi mi dedicherò solo a me stesso e alle persone che mi stanno accanto.
Ciao.
Litiano Piccin
E’ una notizia che circola da tempo ma potrebbe essere utile se vi capita. Se aprite una evidenza acquisita con una versione di FTK IMAGER inferiore alla 2.6 (ora attualmente siamo alla 2.6.1) e durante la fase di acquisizione avete compilato tutti i campi “sforando” la lunghezza massima (per campo) di 12 caratteri vi compare un errore che potete tranquillamente “ignorare”.
Aggiornate FTK IMAGER all’ultima versione per evitare l’antipatico avvertimento.
Quello che sto per descrivere non è un bug e ma è un avviso ai colleghi. Il Software della PARABEN SIMCARDSEIZURE nel suo REPORT descrive una informazione estratta dalla SIM che “messa in un certo modo” può portare un consulente a commettere un errore.
La prima cosa da “fissare” per bene in mente è che il numero di cellulare della SIM CARD NON VIENE SEMPRE SCRITTO NELLA SIM CARD (non è obbligatorio). Trovate tutta la documentazione in merito qui: http://www.3gpp.org/ftp/specs/html-info/1111.htm e scaricate il file: “CP-36 8.14.0 2007-06-1“ (grazie alla segnalazione di Mario Pascucci).
La pagina di riferimento è la “104″ e il campo “imputato” è questo: EF(MSISDN)
Per avere idea di cosa sia quel campo: qui il riferimento.
Il campo è OPZIONALE (… questo la dice lunga…) e quindi può essere ignorato.
Veniamo al REPORT generato dal programma SIMSEIZURE.
Il “campo di interesse” è il seguente: “Phone number: 3485XXXX” e come mi hanno confermato i tecnici del supporto della PARABEN, questa informazione è l’MSISDN:
“The SIM Card Seizure program extracts the information from the MSISDN.
The number it is showing is the number that is showing up on the SIM Card.”
Fino a qui nulla da dire, il programma non altera assolutamente nulla e non apporta informazioni che non siano corrette. Il problema nasce nella loro interpretazione. Tale informazioni stanno nella sezione “GSM SIM CARD” e ad una lettura non attenta potrebbero portare il consulente ad affermare che quel numero è quello della SIM CARD.
Tale campo, non sempre è “compilato” e su alcuni telefoni lo stesso utente può inserire un valore a piacimento quale il numero di cellulare della propria “fidanzata” (se proprio non lo vuole mettere nella rubrica).
Come comportarsi?
Il numero di cellulare associato alla SIM è una informazione che ha il gestore telefonico. Tale informazionie può essere richiesta direttamente al gestore tramite l’autorità giudiziaria competente. Se avete questo dubbio vi invito a seguire questa strada.
Ho concluso da qualche giorno un grosso lavoro di basso “profilo” ma su un numero elevato di evidenze. Una delle attività è stata di visionare qualche migliaio di filmati. In questi casi o ci si prende tutto il tempo per visionarli uno alla volta o ci si “attrezza”.
Pur lavorando con “DB di HASH di filmati noti” non si velocizza per nulla il lavoro inquanto qualsiasi cosa deve comunque essere posta al “vaglio” dell’occhio. Ci sono però due strumenti utili: X-WAYS Forenisc e VidReport di Paul Sanderson. Mi soffermo su quest’ultimo inquanto con Paul ho collaborato per il miglioramento di questo strumento.
VirReport è un normale player di filmati (usa i CODEC che avete installato) con delle funzionalità superiori. Ha la possibilità di estrarre tutti i frames o un range di frames o frames ad intervalli predefiniti dall’utente. Fino a quì nulla di veramente utile.
La cosa che ho trovato stupenda è la seguente:
date in pasto al programma una directory contenente tutti i filmati che avete e lanciate l’opzione “Html Report” selezionando una directory di destinazione. Il programma si incarica di selezionare da tutti i filmati un range di fotogrammi e di farne un report HTML per ogni file. Da mille filmati vi trovate con mille pagine html da “sfogliare”.
In una nottata ho estratto circa 800 filmati pari a 3G di materiale.
In questa maniera individuate i filmati di “interesse” già con un “Report” da allegare alla vostra consulenza nel quale, oltre alle informazioni sul tipo di file, vi trovate i vari fotogrammi numerati con un timestamp riferito al filmato stesso.
Naturalmente non esiste nulla di “magico”. Se il prog. trova un filmato con un HEADER danneggiato si blocca e rimane in uno stato di “freeze” persistente. A questo già da tempo Paul sta cercando di porre rimedio.
Vi sono altri progetti “storici” per trattare il più velocemente possibile i filmati quali C4M di Trevor ma anche quì l’occhio deve comunque scorrere tutto il film o parti di esso.
Per il momento, ringrazio PAUL.
Dalla versione 6.13 di Encase ora i dispositivi della TABLEAU vengono riconosciuti e riportati nel LOG/REPORT di Encase.
La cosa può essere molto utile per chi deve leggere ed eventualmente valutare la “bontà” della copia. Sempre che si abbia il buon “senso” di allegare i file di “log/report” alla consulenza.
Qualche info in più:
Identify storage devices as “Write Blocked” in the EnCase® reports. |
Automatically expose the Host Protected Area (HPA) of a storage device. |
Manually remove the Device Configuration Overlay (DCO) region of a storage device. |
In queste notti mi sono imbattuto in un Computer con Windows Vista pre Sp1 (senza il Service Pack 1 installato). Non è immediato capire l’ultima volta che il Sistema Operativo è stato spento.
http://www.caine-live.net/
Con questo chiudiamo il problema “SWAP”. Bravo Giancarlo.
E’ stata una settimana dura per un gruppo di persone di “differenti fazioni” che alla fine hanno prodotto un unico risultato: risolvere il problema. Non mi dilungo in tante parole ma l’inconveniente dello SWAP si è manifestato su entrambe le distribuzioni in differenti modalità ma con un unico effetto non desiderato che lascio immaginare.
Lascio il dettaglio tecnico ai due sviluppatori (Stefano e Giancarlo) e invito tutti a eseguire il download delle due nuove distribuzioni. Per gli “avversari” (stiamo scherzando naturalmente) lancio la sfida al TEST per le nuove versioni future. Magari, fra qualche anno, mettiamo anche in palio dei premi.
http://blog.is-a-forenser.net/2008/11/caine-modifica-delle-evidence.html
Fra qualche giorno spiegherò come il “DEFT TEAM” si è comportato per questa anomalia che abbiamo scoperto confrontando le due distribuzioni. Avevamo già avvertito gli sviluppatori (e chi ha fatto da TESTER) da alcuni giorni.
Questo post nasce come risposta allo tsunami di post/mail/”bloggate” che si stanno diffondendo sul web a pochi giorni dal rilascio di DEFTv4x.
Iniziamo col dire che con DEFTv4x si possono fare le stesse cose (spesso meglio) che si possono fare con DEFTv3x.La prima differenza (non a caso) che si nota rispetto ad altre distribuzioni è che all’avvio non “parte” la modalità grafica. Questa particolarità garantisce un minore tempo di avvio e un minore uso di risorse. L’uso di una interfaccia testuale permette di eseguire una serie di operazioni nella maniera più veloce possibile andando però a discapito della semplicità d’uso. Ad esempio l’ operazione del calcolo dell’HASH eseguita con il tool DHASH in ambiente “solo testo” impiega meno tempo rispetto alla stessa operazione in ambiente grafico (XFCE).
Dall’altro canto la parte grafica è necessaria per poter sfruttare le potenzialità di XPLICO come strumento di “intercettazione” ed ananlisi. Da qui la necessità di utilizzare un ambiente grafico “leggero” che comunque mette a disposizione dell’operatore ulteriori strumenti di analisi.
Rispetto alla DEFTv3, cosa è cambiato nella DEFTv4?
Molto e nulla ma apparentemente una modifica nel “comportamento della distro” sembra aver “turbato” le notti di molte persone. Probabilmente perché non è stata pubblicizzata ancora a 5 giorni dal rilascio (purtroppo non si “vive” di solo forensics).
Parlo della visualizzazione su desktop di tutte le “EVIDENZE” presenti sul PC/MAC. Ovvero, se collegate un dispositivo di storage attraverso la porta USB, compare un’icona sul DESKTOP che ne indica la presenza (con relativa dimensione).
A questo punto, se clicco sull’icona il Sistema Operativo “sente” la richiesta di mount e cerca di montarlo in scrittura. Questo comportamento è (allo stato attuale) voluto per agevolare alcune operazioni che non hanno nulla a che vedere con un’operazione di COPIA o di ANALISI di un’evidenza. Tale operazione ha, quindi, lo stesso effetto di un comando di mount in scrittura lanciato da riga di comando dalla HELIX2.
La DEFTv3, se visualizzasse le EVIDENZE, avrebbe lo stesso comportamento.
Che questa “nuova implementazione” abbia generato incomprensioni ed allarmi lo posso anche capire ma il tono usato da alcuni colleghi nei miei confronti lo ritengo eccessivo.
Mi fermo qui.
Si sta diffondendo un’ondata di “panico” sul comportamento della DEFTv4 nel MOUNT dei dischi. Calma. La DEFTv4 è uno strumento di lavoro specifico per una certa attività voluto per evitare di essere un clone di HELIX2. Avrei voluto che fosse lo stesso Stefano a spiegarla ma per ragioni di lavoro è all’estero. Domani pomeriggio posto un piccolo report sull’uso della stessa. Buona serata.
Da giorni sto cercando di contattare i “vendor” di Oxygen forensic (http://www.oxygen-forensic.com) per farmi spiegare bene il meccanismo delle licenze. Non mi è chiara la differenza fra la Suite2 e Suite1. Messe assieme le due Suite vengono vendute a 699Euro ma mi sfugge in cosa si differenziano. Fra l’altro, se compro una Suite spero si intenda che mi danno le due versioni: “normale” e “symbian”. Ho provato anche a chiamare i due numeri… il numero “americano” suona a vuoto e l’altro non “squilla”.
Non sono riuscito nemmeno a provare una versione “demo” in quanto la licenza temporanea via Mail sembra che non arrivi. Pure scrivendo attraverso “On Line Support Forum” non ho avuto risposta.
Qualcuno ha idee?
UPDATE (3 ore dopo)
Ecco subito una piacevole risposta del team della OXYGEN:
Dear Litiano,
Thank you for your request.
There are many differences, but in general Oxygen Forensic Suite 2 is the next generation of Forensic Suite 1, supporting much more mobile phones (including Nokia XXXX) and having new features.
Actually we do not sell version 1 anymore, so the only choice is Oxygen Forensic Suite 2. Until December, 1st we have EUR 100 discount on it.
If you will have any further questions, please do not hesitate to contact me.
Meglio di così. Fino a dicembre abbiamo uno sconto se compriamo la Suite2. Ora rispondo chiedendo anche una licenza temporanea per la versione DEMO.
UPDATE2 (il giorno dopo)
Dopo un cordiale scambio di MAIL con il commerciale della OXYGEN sono arrivato alle seguenti conclusioni:
Quindi se per caso avete (come me) un NOKIA con il cavetto CA-101 “probabilmente”la versione 1 che viene fornita com TRIAL non funziona.