Apr 032011
 

Questo POST nasce come commento al recente articolo scritto per IISFA e pubblicato sulla newsletter. Parliamo di “copia” della “copia” ovvero della cosidetta copia di “backup” delle evidenze vitale  nel caso in cui il supporto su cui è contenuta la nostra copia per le analisi si guasti.

A corredo vi  è anche il commento del caro amico l’Avvocato Antonino Attanasio che, codice “alla mano”, precisa che al termine della Consulenza/Perizia il tutto deve essere consegnato e il superfluo distrutto.

Qualunque sia la decisione sulla destinazione delle copie, ho voluto focalizzare la mia attenzione sugli strumenti per farle. Alla fine è solo una copia ma quello che conta è che il “backup” sia consistente ovvero sia uguale all’originale.

Fino a qualche anno fa parlavamo di GB, ora parliamo di TB. Questi dati, per questioni di semplicità, vengono copiati solitamente via “CIFS” su sistemi “NAS” (la cui velocità dipende dalle meccaniche). Quindi, a meno che non abbiate a disposizione una rete da 10Gb con un NAS da un centinaio di meccaniche direi che la soluzione più veloce è usare il NAS solo come appoggio (“parcheggiate” li le evidenze in attesa di elaborazione).

“Ma che software usare?”

Non entro nel merito in questo post ma deve fare quello che mi aspetto che faccia: una copia consistente ovvero uguale alla sorgente.

“E’ possibile che durante una copia via rete si corrompa qualcosa?”

Si, è possibile in quanto mi è capitata spesso e solo da poco ho capito il motivo: lo SWITCH da 1Gb andava in surriscaldamento dopo 40 minuti di copia.

“Copie su nastro?”

E’ un’alternativa lenta ma da tenere in considerazione. Le capienze dei nastri con LTO5 arrivano oltre 1TB (non considerate la compressione) con costi per i nasti accettabili. I dati possono essere scritti in forma CRIPTATA (cosa da non sottovalutare) e si fa carico il programma di BACKUP di verificare la consistenza dei dati scritti. Il tutto poi viene gestito attraverso un “DataBase” ed è quindi tutto molto più semplice quando devo recuperare qualcosa.

Naturalmente tutto a discapito di:

  • Costo del Lettore (eccessivo).
  • Velocità del processo (parliamo di molte ore).
  • Dubbio: copia semplice o doppia copia?

Le soluzioni ci sono e sono diverse ma…  qualcuno si è mai posto tale problema?

Mar 262011
 

Friend: “Hi Litiano, how are you? are you fine?

LP: “Sure, i am ok… I am testing a new Software this week. Any news?

Friend: “I have a GOSSIP for you….

LP: “Really? Let me know….

Friend: “Do know XXX, they have a new work on YYY”
Friend: “You know, they are development an’open source program!!!”

LP: “….hehehe…let me guess… they are using Encase for the case….”

Friend: “YES, how you know?”

I KNOW MY CHICKEN.

Mar 192011
 

Why not use the options in the index search?

Let me explain some example.

STEAMMING.
Stemming extends a search to grammatical variations on a word.
If you search for “fish” you will found: fish or/and  “fishing“.

Be aware: IT WORK ONLY FOR ENGLISH LANGUAGE.

PHONIC.
Phonic searchfor a word that sounds like the word you are searching. It starts with the same letter.
If you search for “diagnosi” you will found: diagnosi or/and  “disconnessaor/and “diciamogli” or/and
diagnosticato

SYNONYM.
Synonym look for synonym.

Be aware: IT WORK ONLY FOR ENGLISH LANGUAGE.

FUZZY.
Fuzzy  will find a word even if it is misspelled. It can be useful when you are searching text that may contain typographical errors.
If you search for “liberata” you will found: liberata or/and “libertà” or/and “liberataa” or/and “liberaaa

Mar 062011
 

About this POST: FTK3 Report TIPS (or bug?) these are the fixs (or knowledge) by ACCESSDATA SUPPORT.

Issue 1: More files are getting exported than were intended.

“This happened because in the ‘Selected Categories’ you had File Items checked, and Checked Items checked. This told FTK to export all files. To stop this behavior, put the checkmark only in ‘Checked Items’. FTK was doing exactly what the options told it to do”.

Issue 2: Record Date not showing in the report.

“This likely occurred because the column settings were not chosen in the File Properties options window. You’ll need to make certain that the correct column template is chosen by selecting ‘Columns’ in the report wizard, File Properties category”.

Issue 3: Unable to crate a report after deleting the old report from within FTK.

“I was unable to duplicate this issue. Things worked just fine when I deleted an old report to put the new report in the same location. It looks as though it is a rights issue for some reason. We may need to discuss this issue over the phone”.

Special thanks to Mike (AccessData Support).

Feb 262011
 

Fuzzy Hashing allow the discover of files that may not be locate using the traditional hashing methods. Here you can download a good document from Access Data.

This is an example of how it work on FTK3

On a case in FTK3 right click on a file (17.jpg) and select “Find Similar Files”:

after few mins you will get what you are looking for:

But, is the same files???

Different HASH means different files…. but not always.

Look better (and find the difference):

The “carved image” has lost a part so the HASH is different but the image is the same.

You can use this method when you have a piece of a pictures. It work VERY well with TEXT files. Try.

Feb 192011
 

Hi all,

today we want to make a simple report of 13 files with FTK3.

TIPS (or BUG) 1:

We start the WIZARD with only two options:  “Case Information” and “File Properties“.

We have 13 checked Files:

Let’s go:

The creation report start…. and it start to export files…… 489459 files !!!!

AFTER 5 HOURS:

Something of wrong??

TIPS (or BUG) 2:

For every file  (on NTFS FILE SYSTEM) extract this  with the report wizard:

Look:

This is the Record date on FTK3 GUI:

And this is the REPORT:

Where’s the “Record Date“?

TIPS (or BUG) 3:

You want to change the report. So, you make your change:

…and then the report quit.

So?

Before generate another report: delete the folder.

UPDATE 24/02/2011: TICKET IN WORKING (from AD).

Feb 132011
 

I am working with FTK3 in a distributed environment. I had some trouble so i hope this post can help someone.

GENERAL

PATH where you can find LOG files (WindowsXP):

C:\Documents and Settings\All Users\Application Data\AccessData

FTK3 ORACLE

If you need a fast way to set the amount of memory used by Oracle, set these keys and restart the service:

FTK3 ENGINE

When you install “Access Data Processing Engine” for a distribuited processing, DO IT in “CONSOLE 0″ and verify to see this screenshot:

If the SERVICES don’t start, install “.NET Framework 3.5Sp1“:

If the FRAMEWORK is installed and it don’t start again, kill all process bind  on port 34097:

If the “Access Data Processing Engine” work,  you can fine these process:

DISK SPACE WARNING:

Often on the Worker (Client with ADPE engine) space size fall down very fast. Monitor it!!!

Jan 302011
 

Do you need to trace the activity in a Windows PC? You don’t know where to start?

This is an example (OLAF 2011):

This is the XLS

TIPS:

  • Work on UTC format.
  • USE a REGISTRY TIMELINE (you can use AD “Registry View”).
  • For FIREFOX and IE you can use “Netanalysis” (you can build SQL query).
  • For The Event View you can use “Event Log Explorer”.
  • For FILE SYSTEM: use X-WAYS Forensics (use FILTERS).
Jan 212011
 

This week test a full version of Safecopy2 (PINPOINTcommercial) and Robocopy (Microsoft -freeware). My  goal is to copy as fast as possible 17GB of file ( 537315 files) from a folder to a network share and check the integrity of the copy.

Robocopy don’t check the integrity of the copy so i must make 3 additional step:

  • HASH ALL SOURCE FILES
  • ROBOCOPY
  • HASH ALL DESTINATION FILES
  • COMPARE THE HASH (you can use a tool like FASTSUM)

Safecopy do automatic  these step.

This is the log of Robocopy:

As you can see:  537313 Copied, 2 Failed

The HASH verify:

With Safecopy2:

In the *.csv file you can find all information about the files.

So? What’s the better?

Look the pictures… find the time spent and the time to fix any problems. For me, i prefer Safecopy2.

Question: “Why i need a tool to copy files around my Laboratory?

Answer:  “You never backup your EVIDENCE???

Dec 312010
 

You are in front of a Linux shell and you need to split your TeraByte of evidence in a FATA32 Hard Disk. You don’t have time to think.

This work for version: 6.12.3 (HELIX3PRO  last version 2010).

dc3dd if=/dev/sda progress=on hashconv=after hash=md5,sha1 hashwindow=2GB splitformat=000 split=2GB log=/…path…/logfile.txt bs=512 iflag=direct conv=noerror,sync of=/…path…/IMAGE

It make:

  • Multiple files of 2GB
  • HASH: all chunk with MD5 and SHA1
  • HASH: TOTAL IMAGE (MD5 and SHA1)
  • Create a LOG file.

To verify the work:

dc3dd if=/dev/sda progress=on hashconv=after hash=md5,sha1 hashwindow=2GB splitformat=000 split=2GB verylog=/…path…/verfile.txt bs=512 iflag=direct conv=noerror,sync vfjoin=/…path…/IMAGE.000

BUT:

I recommend that you start by downloading dc3dd 7.0. You will find that this version does what you say you want to do, with a simplified command line.

You may obtain the software here: http://sourceforge.net/projects/dc3dd/

Richard Cordovano
Software Engineer (Contractor – General Dynamics)
Department of Defense Cyber Crime Center (DC3)

Dec 232010
 

Oggi, mentre ascoltavo incredulo le parole che mi venivano dette dall’altra parte del telefono, mi sono tornati in mente alcuni dei nostri scontri. E’ un vero peccato che solo le cose peggiori tornano alla mente dopo anni ma non sempre è così. Certe tue espressioni, le tue barzellette e la mitica password “PIPPOLONA” da te tanto usata sono ancora vive nel nostro ufficio.

Buon viaggio.

Nov 192010
 

Ultimamente, leggo da diverse fonti che si parla molto (con toni anche accesi) della condivisione delle informazioni. E’ un buon argomento che divide chi le informazioni le “deve scrivere”. Chi lo fa come “lavoro” (consulenti) di solito ha ben poco tempo per farlo e condivide informazioni solo con i colleghi che ben conosce. Ci sono poi le persone che lo fanno per puro piacere di condivisione e chi invece si aspetta un ritorno. Qualsiasi sia la ragione, l’importante è “non aspettarsi nulla“.

Per quanto mi riguarda, veniamo alla vera ragione del post, da poco per coloro i quali partecipano ai corsi oragnizzati dall’IISFA esiste un sito di e-learning per la preparazione della certificazione CIFI. Come docente, una volta ultimato il mio argomento rimango a disposizione per i miei “alunni” che possono utilizzare la piattaforma IISFA per formulare ulteriori domande anche non specifiche per la parte da me trattata.

Link: http://iisfa.freewebclass.com/

Nov 142010
 

Tra un “CASE” e l’altro è sempre doveroso “upgradare” gli strumenti utilizzati per l’analisi. Può succedere che la nuova versione richieda di fare un UPGRADE anche del formato dei dati estratti (le evidenze individuate). Di solito va tutto per il meglio ma è sempre così? NO.

Utilizzando X-WAYS FORENSICS nel bel mezzo di un CASE ottengo un errore che si ripropone sistematicamente durante l’accesso ad un settore. Di solito in questi casi, se non vi è un modo di “isolare” il settore l’unica alternativa è provare con una versione aggiornata del programma. L’aggiornamento di X-WAYS è molto veloce e semplice. All’apertura del CASE, XW, si accorge che è stato fatto con una versione “vecchia” e suggerisce l’upgrade. Situazione già vista più volte e quindi si va a “cuor leggero”.

Terminato l’upgrade si accede al CASE come nella normalità dei casi. Peccato che ogni volta che cerco di visualizzare gli attributi di un file mi ritorni l’errore:

Cannot open “\WINDOWS\XXX.XXX”. 100FF0001 – 9

Situazione che si ripete con altri vecchi CASE ma che viene aggirata rifacendo l’analisi da zero. Quindi? Perdere il lavoro fatto non è una bella cosa quindi ho aperto un TICKET e sono in attesa. Nel frattempo consiglio a tutti i seguenti STEP prima di eseguire un aggiornamento:

1) Conservare sempre la versione del programma usato.
2) Indicare sempre nelle Consulenza/Perizia la versione del progamma usato.
3) Prima di fare un UPGRADE fate una copia della directory del CASE.
4) Nel caso ci siano problemi, prima di allarmarvi, andate nel FORUM del SUPPORT per vedere se il problema è noto e casomai aprite un TIKET.

Nel mio caso, il problema si manifesta passando dalla versione 15.6 alla 15.8 Sr-2.

Attendo.

UPDATE (17/11/2010) Dopo un paio di MAIL con Fleischmann siamo arrivati alla conclusione che l’unico modo per capire quanto successo è “mandargli su tutto”. Cosa non fattibile in quanto si tratta di materiale riservato. Se qualcuno incontra lo stesso problema lo segnali quanto prima.

Nov 132010
 

Goal: acquire a WD 160GB 2,5″ SATA

Product: FTK IMAGER (3.0.0.1433) vs TABLEAU TD1 FORENSIC DUPLICATOR (2.20)

FTK (best compression level 9): 74GB (TIME: not relevant)
TABLEAU TD1 (default setting): 97GB (TIME: 1 hour)

Note: in the tableau TD1 (firmware 2.20) you cannot change the compression level.

Nov 082010
 

Ottimizzare il tempo a disposizione è un “must” per qualsiasi Consulente in qualsiasi settore. La mia esigenza è trovare il modo più veloce possibile per capire se ad un disco può essere stata applicata una operazione di “WIPING” (cancellazione sicura dei dati). Magari attraverso un “batch” lanciato anche dalla “donna delle pulizie” (figura mitologica presente in tutti i migliori CED che invidio molto in quanto è libera di andare ovunque).

Il problema può essere semplice o complesso in base al programma/hardware di WIPING utilizzato. Se si usa lo standard “tutti zeri” (0×00) o “tutti uni” (0×11) il metodo è efficace mentre è totalmente inutile per lo standard DoD che nella parte finale scrive sequenze casuali di byte.

“Quindi?”

Beh, si lancia il comando “analyze disk” del programma X-WAYS e si aspetta un po’…. (5 Orette per un SEAGATE da 1,5TB).

Ho eseguito una serie di TEST utilizzando il WIPE del TABLEAU TD1 (“tutti zeri” e DoD). X-Ways altro non fa che cercare tutte le occorrenze di un byte.

Questo è una parte dell’output:

Hex Dec Chr No
00 0 . 14918341888074
01 1 . 139396781
02 2 . 84620690
03 3 . 68363223
04 4 . 79860649
05 5 . 48006780
06 6 . 49252715
07 7 . 48615683
08 8 . 70152537
09 9 . 37388312
0A 10 . 41895801
0B 11 . 33109412
0C 12 . 50989404
0D 13 . 38351949
0E 14 . 31693272

Il disco è stato precedentemente “WIPPATO” e poi usato per un 20% della sua capienza. Il test è stato ripetuto tre volte e ha dato gli stessi risultati, la stringa “00″ ha un valore 10^4 – 10^5 volte superiore rispetto alle altre.

L’unico TEST eseguito per il DoD ha dato esito negativo.

“Quindi è attendibile?”

Dipende dal contesto. E’ sicuramente un metodo per capire se dobbiamo investigare meglio oppure no. Il passo successivo potrebbe essere quello di individuare i settori contingui che hanno la stessa “marcatura” (Encase in questo caso aiuta).

“Ma vale la pena passare le ore a estrarre il contenuto dei settori?”

Dipende da cosa cerco, dalle abitudini dell’utente e se il disco è di sistema o no. Se il soggetto è stato intercettato durante il download di materiale “non legale” e ci accorgiamo che i dischi esterni sono praticamente vuoti a fronte di una “marea” di CD/DVD (dove magari la prova è li che attende) allora magari si.

Ritengo comunque che questa analisi sia da mettere fra le operazioni di DEFAULT che si devono eseguire su ogni evidenza prima ancora di conoscere il quesito.

E se uno usa il DoD?
Lui ha molto tempo a disposizione ma io no.