Nov 132010
 

Goal: acquire a WD 160GB 2,5″ SATA

Product: FTK IMAGER (3.0.0.1433) vs TABLEAU TD1 FORENSIC DUPLICATOR (2.20)

FTK (best compression level 9): 74GB (TIME: not relevant)
TABLEAU TD1 (default setting): 97GB (TIME: 1 hour)

Note: in the tableau TD1 (firmware 2.20) you cannot change the compression level.

May 252010
 

Come sempre, tra la conclusione di una Consulenza e l’inizio di un’altra mi “diverto” (c’è poco da divertirsi, l’aggiornamento degli strumenti di lavoro è una cosa IMPORTANTE e non da sottovalutare) ad aggiornare i vari software/firmware e a testarli in “laboratorio” (è da evitare il TEST sulle evidenze). Stanotte è toccano al nuovo firmware del TABLEAU TD1 FORENSIC DUPLICATOR. Mi interessava verificare l’efficacia della compressione in formato EWF. Il risultato ottimale lo si ha usando un disco VUOTO.

EVIDENCE: TOSHIBA 2,5″ IDE da 80GB

FORMATO RAW
L’operazione di copia su un SEAGATE da 1,5TB SATA è durata circa 50 minuti. Dimensione TOTALE: 80GB.

FORMATO EWF
L’operazione di copia su un SEAGATE da 1,5TB SATA è durata circa 50 minuti. Dimensione TOTALE: 512MB.

Stesso tempo ma risultati differenti.

Altro TEST:
Verifica dell’immagine ottenuta con il TD1 con FTK IMAGER. Ho verificato che l’HASH per entrambe coincidesse.

FORMATO EWF
L’operazione è durata 12 Minuti.

Formato RAW
L’operazione è durata 40 Minuti.

Come emerge chiaramente, il formato EWF è molto comodo per “trasporto” e anche per la successiva verifica di integrità.

Non è finita: il tempo di elaborazione (carving, hash, keywords, …etc) è più veloce su un’immagine compressa?

Non lo so. Alle 3.30 mi sono messo a dormire.

Oct 012009
 

Ho iniziato nel 2000 ad occuparmi di CF grazie all’aiuto del mio caro amico Antonio che mi ha fornito il materiale e i “casi” su cui iniziare a lavorare. Assieme a lui ho fatto molta strada e sono arrivato fino a qui. Ora ho deciso di concludere la mia esperienza diretta nella CF lasciando il mio posto ad altri. Rimangono ancora alcuni mesi per chiudere le ultime consulenze e poi mi  dedicherò solo a me stesso e alle persone che mi stanno accanto.

Ciao.

morogoro

Litiano Piccin

Jun 102009
 

Recentemente ho perso due “aiutanti”: SEAGATE 750 e WD 1TB.

Questi sono i modelli:

SEAGATE: ST375033AS

WD: WD10EAVS-32D7B1 (CAVIAR GREEN)

Mi servirebbe la componente elettronica per “rianimare” i due cari “estinti”. Se interessati, fatemi sapere: infoATlpcforensic.it

Jun 032009
 

Ogni tanto qualche “news” colorita fa sempre bene (alle lunghe attese).

La Copia “DISK TO FILE” fatta con due Hard Disk SEAGATE (SATA) di 250GB (il sorgente) è durata meno di un’ora.

Sono rimasto incredulo e questo è un “pezzo” del file di LOG:

————————-Start of Tableau TD1 Log entry————————-

Task: Disk to File
Status: Ok
Created: 2009-06-
XX 11:54
Closed : 2009-06-
XX 12:52
User: LITIANO PICCIN

Duplicator serial num: 01d110XX
Duplicator log ID num: XX

———————-Disk-to-File Results———————-

# of sectors: 488,397,168 (250.0 GB)
Destination filename convention: Default
Chunk size in sectors: 3,906,250 (2.0 GB)
Chunks expected: 126
Chunks written: 126
Filename of first chunk:
Total errors: 0
Errors recorded: 0
SHA1: XX312afafdb5d8XX
MD5 : XX0c069e14026XX


Se qualcuno avesse il dubbio sulla integrità di cosa è stato “copiato” può stare tranquillo… tutto regolare: verificato a posteriori.


Apr 062009
 

Vi siete mai chiesti cosa fa un consulente di DF quando ha concluso un “ciclo” di consulenze e sta per prepararsi al prossimo?

Oltre a “scorrazzare” fra chat e mailinglist passa le nottate ad “affilare le armi” ovvero ad aggiornare i prodotti. Stasera tocca all’Hardware.

TABLEAU

Mar 222009
 

E’ uscito a Febbraio e visti i bugfix è meglio eseguire l’UPGRADE ASAP.

 

FU v6.21 introduces TD1 REV 2.01 firmware. The TD1 REV 2.01 firmware includes the following bug fixes for the TD1:

  • The TD1 can now properly detect Seagate model ST9402115AS drives.
  • A bug was fixed in which disk-to-file duplication would hang with very large destination drives which were nearly full.
  • A bug was fixed in which disk-to-file duplication would hang due to a nonresponsive destination drive.
  • A bug was fixed in which error counts were incorrectly reported under the TD1 “Duplication Details” screen.
Dec 022008
 

Spesso mi capita di essere “tempestato” di richieste di “recupero file” da amici o parenti. E come sempre me la cavo con un bel “sono un po’ indaffarato“… oppure “chiedi a…che lui è bravo!!!“.

Stavolta non potevo dire di no (parenti). Mi hanno consegnato il paziente (un vecchio HD del 99) proveniente da un PC andato a “fuoco”. Naturalmente non dava segni di vita. Ho quindi sostituito la parte elettronica con una proveniente da un gemello. All’accensione (su un PC con Windows via BOX USB) un “tetro” ticchettio non dava speranze.

Mi  venuta l’idea di provarlo con il TABLEAU TD1 per vedere se almeno veniva “riconosciuto”.  Avevo qualche dubbio subito svanito quando mi sono accorto che il TD1 mi indicava il modello, seriale e LBA.

Bene, ho pensato, ora provo ad eseguire cuna copia bit a bit e vediamo fino a quando “copia”.

Fino all’83%.

Poi ho incontrato la zona “guasta” e (inutilmente) l’ho lasciato tentare la lettura per almeno 6 ore.  Fatto questo, ho collegato l’HD copia  ad una macchina Windows e usando un classico programma (X-WAYS) ho recuperato un sacco di documenti grazie al CARVING. Sono rimasto alquanto soddisfatto e mi rammarico per non aver tentato questa strada in passato. Sono sicuro che un “dd” con una LINUX qualsiasi avrebbe “sortito” lo stesso effetto.

Nov 262008
 

Per chi ha da poco acquistato il dispositivo in oggetto consiglio di aggiornare il FIRMWARE prima di iniziare a fare i primi TEST. L’altra sera mi sono infatti accorto che il mio TD1 non mi permetteva di esportate i file di LOG (funzione fondamentale nella CF). Ho dato un’occhiata al manuale (cosa che si dovrebbe fare prima) e ho scoperto che mi mancavano due voci dal menu “LOG”. Ho fatto un salto sul sito del produttore e dopo essermi registrato gratuitamente ho scaricato un programma che in automatico si incarica di “trovare” il dispositivo, verificarne la versione ed eventulamente farne l’UPDATE.

Piccolo particolar tecnico: dovete collegare (con l’apposito cavetto in dotazione)  il dispositivo sulla porta FIREWIRE dello stesso e del vostro… PC. Si, se avete solo porte USB non si fa nulla. Dovete avere una porta FIREWIRE disponibile. Non barate: il programma “gira” solo per Windows e non per MAC.

Per l’aggiornamento bastano alcuni secondi. Richiede il “reboot” del dispositivo. E’ un programma utile per tutti i dispositivi della TABLEAU.

Nov 132008
 

Finalmente ho iniziato il primo test con il TABLEAU TD1.  Il primo “volontario” è un bellissimo MAXTOR del ’99 di 8 GIGA con un problema meccanico ad una testina (1 giga di dati circa non sono più disponibili). Il dispositivo ha raggiunto la zona “danneggiata” dopo aver completato la copia dell’82% dello stesso. Sono passate 24 ore e siamo all’83%. La modalità di copia è la “Disk-to-Disk”. E’ stata selezionata la modalità di “Error Recovery Modes” FAST. Ve la riporto  qui sotto.

fast.JPG

Oct 072008
 

td1_front_right_angle_175x151.gif

Anche la TABLEAU si è “tuffata” nel mondo dei “duplicatori” dopo ICS e LOGICUBE. Il nuovo oggetto sembra interessante (soprattutto nel prezzo) anche se non ha un interfaccia SCSI (a differenza del SOLO III che l’ha integrata). Ora sto “trattando” con il fornitore italiano… vediamo cosa è incluso nel prezzo. Devo ammettere che il dispositivo con valigetta e accessori (cavi e ALIMENTAZIONE) è molto più comodo rispetto all’oggetto “nudo e crudo”.

Dalle specifiche supporta anche il BIT STREAMING su file e l’hashing MD5/sha1 (nel SOLO III l’hash SHA1 è una disperazione per la lentezza). Sarebbe interessante sapere se consente di salvare i LOG su SD/COMPACTF. o comunque in un dispositivo “removibile”.

Vediamo cosa riesco a fare.

————————————————-
AGGIORNAMENTO:
Viene venduto con la sua valigetta e supporta lo “scarico” dei log su dispositivo USB.
http://www.forensic-computers.com/td1.php
 ————————————————-
AGGIORNAMENTO2 (08/10/2008):
Fumata nera con il rivenditore italiano della TABLEAU. Non sono riuscito a scalfire nemmeno di un euro il prezzo di listino. Un vero peccato per il mercato italiano ma comunque un affare con FORENSIC PC il cui prezzo  in dollari è inferiore del prezzo del nostro rivenditore in Euro. E’ la legge di  mercato.
————————————————-
AGGIORNAMENTO3 (08/10/2008):
Concluso l’accordo con FORENSICPC: 1286$ con alimentatore+Valigetta Pellican + Garanzia 1 anno).
————————————————-
AGGIORNAMENTO4 (09/10/2008):
Alcuni colleghi si stanno “accodando” per un ordine cumulativo con la FORENSICPC. Per venire incontro a chi è interessato aspettiamo ancora una settimana per l’ordine finale. Chi vuole saperne di più mi scriva: infoATlpcforensic.it
Almeno, abbattiamo le spese di spedizione. Per la fatturazione, ci mettiamo d’accordo.
————————————————- 
 AGGIORNAMENTO5 (10/10/2008):
Stamttina, avvisato da un collega sono passato sul sito del fornitore italiano e ho apprezzato “l’aggiustamento” di prezzo operato. E’ stato abbassato, vi è inclusa l’iva e la spedizione. A conti fatti il prezzo ora è a livello “internazionale”. Che sia stata la legge di Mercato? . Stamattina lo ricontato per avere la conferma e poi decidiamo con gli altri colleghi accodati.
 ————————————————- 
 
AGGIORNAMENTO6 (10/10/2008):
“Ritiro” l’offerta al fornitore italiano. Nel prezzo non è compresa l’iva. Si va con FORENSICPC.
CAPITOLO CHIUSO.
 
Aug 102008
 

Non sono ancora andato in ferie e quindi ne approfitto per continuare a “periziare”. Sto cercando abbastanza urgentemente la componente elettronica di un FUJSTU MPD3084AT da 8.4 GB.

Ne ho già trovato uno qui ma ho una gran fretta (che non fa mai bene).

Grazie mille.

Feb 212008
 

La versione dell’IMAGEMASSTER SOLO III FORENSICS che uso ha qualche “annetto” e non ha il supporto SCSI. Ma da un po’ di tempo vi è la possibilità di fare l’UPGRADE andando ad “incorporare” il supporto per lo SCSI. Operazione che la stessa ICS fa ai propri clienti. Bene, alla nostra BOX è stato fatto l’UPGRADE. Al primo tentativo (questa notte) non riconosce per nulla i DISCHI (funzionanti… provati con il TABLEAU). Ora attendiamo la risposta del supporto. Mi sembra strano che venga fatto un UPGRADE “hardware” e non venga testato.

Feb 152008
 

Fra un’analisi di un Cell. e l’altro (a breve uscirò con un trafiletto su “cosa” MOBILEDIT non individua nel suo report) ogni tanto arrivano dischi particolari da analizzare. In questa occasione: due ottimi dischi SCSI UTRA 320 a 15KRPM IBM di 146GB completi di controller (SCSI). Devo ammettere che in passato ho usato molto le distro LINUX per questo genere di “reperto” ma di recente, visto l’aria che spesso “tira” in Udienza ho deciso di acquistare un WB Hardware. Cosa comprare? Le scelte sono: ICS, TABLEAU o CINESE/GIAPPONESE/BastaCheCostiPoco. Qui ci si può perdere in lunghe discussioni dove ognuno porta avanti la sua idea. In base alla mia esperienza e dopo aver provato i tre prodotti (il terzo era un prodotto anonimo proveniente dalla Germania) ho convenuto nell’acquisto di un TABLEAU.

Ma dove lo compro?

Continue reading »

Jan 202008
 

Giusto questa mattina ho iniziato un nuovo lavoro su un laptop TOSHIBA SATELLITE A110-178 che monta questo tipo di Hard Disk:

-

HITACHI TRAVELSTAR
MODEL: HTS541010G9SA00
SATA 5400RPM 22/08/2006
P/N:0A27410

-

Da BIOS, l’utente ha avuto la bella idea di settare la password di accesso all’HD. Questo è un problema.

Estraendo il disco e tentando una copia con l’ICS IMAGEMASSTER riesco solo a recuperare le informazioni sul modello e tipo di HD ma nulla sui settori o le partizioni. Tentando un “HASHing” ottengo un malinconico errore:

unable to read LBA 0

Se invece tentiamo una acquisizione LIVE, allora ci si ferma subito davanti alla schermata iniziale che appare dopo il POST: “Insert PASSWORD”… naturalmente vuole la password corretta e non una a caso.

Ho scambiato telefonicamente alcune idee con un collega (Luca Guerrieri) che ha già avuto esperienza su un caso del genere. E’ da capire se la password lavora a livello di CRIPTAZIONE o di BLOCCO o ENTRAMBI. Se fosse solo a livello di blocco si potrebbe sostituire la parte “elettronica” dell’HD. Il primo passo è comunque l’acquisto di un identico modello di Hard Disk per lo studio. Eventuali suggerimenti tecnici sono ben accetti.

Le caratteristiche dell’HD sono qui

30 minuti dopo aver scritto il post….

Approfondimenti qui (…se hanno iniziato dal 2007 forse non è criptato…)

10 minuti dopo…

E forse da qui si capisce che non è criptato… (il P/N on compare fra quelli).

Dec 122007
 

Vicenda oramai conclusa. Da qualche giorno ho ricevuto l’Hard Disk “CLONE” direttamente dalla UltraTECK (http://www.ultratec.co.uk) e giusto questa notte ho eseguito la sostituzione della parte elettronica dell’Hard Disk. L’operazione, documentata anche nei minimi particolari (la cucina trasformata in una sala operatoria) è perfettamente riuscita e l’Hard Disk sta bene: i dati al suo interno sono integri. Ora si passa all’analisi.

Dec 112007
 

Nella C. FORENSIC si parla tanto di regole e di precisione ma alla fine servono queste regole?

ASSOLUTAMENTE SI.

Eccone un breve esempio.

Sto analizzando un Hard Disk per una truffa compiuta nel MARZO del 200X. La prima cosa che si compie dopo aver ricevuto il materiale ed avere annotato tutto il possibile nella “Chain of Custody” è la sua catalogazione. Ovvero annotare qualsiasi cosa relativa all’oggetto da analizzare. Nel caso di un Hard Disk SATA, la data di fabbricazione tanto vecchia non può essere e se non è indicata vale la pena perdere del tempo e fare una ricerca sul periodo di fabbricazione. Ecco che si scopre che il fantomatico Hard Disk è stato prodotto nel periodo di AGOSTO 200X. Difficile che ci possa essere il file scaricato a MARZO con i relativi log di “download”.

Questo non significa che l’analisi è conclusa ma almeno ora ho un’idea di come impostare la ricerca di eventuali tracce.

Nov 262007
 

Con 54 euro ho acquistato un bellissimo QUANTUM ST32A013 da 3,2 GB che mi verrà recapitato a casa fra qualche giorno. il tutto grazie al sito: http://www.ultratec.co.uk

Questo gioiello della tecnologia di fine anni 90 mi servirà per sostituire la parte “elettronica” di un HD SUSPECT sottoposto ad analisi. Qualcuno ora si chiederà: “Ma chi paga i 54 Euro?” o anche “Ma l’acquisto è stato autorizzato?”

Risposta: no, nessuna richiesta o altro… pago io.

Perché? Uno dei motivi è  che in questa attività, l’ultima cosa a cui si deve fare attenzione è l’uso di risorse: se serve qualcosa la si compra o al massimo… la si noleggia. Lo scopo e giungere ad un risultato il più attendibile e obiettivo possibile (previa la preservazione della prova). In ballo ci può essere la reputazione (o altro) di qualcuno (ed eventualmente la nostra). Se non si hanno le risorse, si rinuncia all’incarico. Più semplice di così?

Nov 262007
 

La cosa più brutta che può capitare quando si deve analizzare un vecchio Hard Disk è scoprire che non funziona più la parte elettronica. Brutta perché si capisce al volo che la scappatoia “tanto non funziona” ha le “gambe corte”. Anche se magari dentro non vi è nulla di quanto viene chiesto, bisogna sempre tentare qualsiasi operazione per recuperare il contenuto. Quindi stasera mi ritrovo a dover cercare in giro per la rete un vecchio

QUANTUM FIREBALL

Modello: 3240AT ST32A013

Se qualcuno ne ha uno funzionante, mi contatti: info@lpcforensic.it

Grazie.