• Home

  • Documents

  • Acquisizione Laboratorio Disk forensics Network forensics
8
Computer forensics Laboratorio Michele Ferrazzano 8 aprile 2013 Sommario Hardware e software Acquisizione Disk forensics Network forensics Analisi Disk forensics Network forensics Laboratorio low-cost Hardware per l’attività di laboratorio Hardware PC e notebook Lettori di supporti e cavi (di tutti i tipi) BluRay, DVD, CD, hard-disk, floppy 3,5’’, floppy 5,25’’, DAT… Cavi per telefoni cellulari Copiatori Write blocker Software per l’attività di laboratorio Sistema operativo Windows, Linux Software per acquisizione (DF) Encase, FTK Imager, dd… Software per analisi (DF) Generico Encase, FTK, autopsy… Ad hoc NetAnalysis, P2Commander, Distribuited Network Attack (DNA), Password Recovery Toolkit (PRTK), Oxygen Forensics, emuleforensic… Conversione tra formati Software per acquisizione (NF) Wireshark… Software per analisi (NF) Wireshark, XPlico… Acquisizione DISK FORENSICS Copiatore hardware Disco sorgente (Read only) Disco destinazione (Write to)

Acquisizione Laboratorio Disk forensics Network forensics

  • Upload
    others

  • View
    11

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Acquisizione Laboratorio Disk forensics Network forensics

Computer forensics

Laboratorio

Michele Ferrazzano

8 aprile 2013

Sommario

� Hardware e software

� Acquisizione

� Disk forensics

� Network forensics

� Analisi

� Disk forensics

� Network forensics

� Laboratorio low-cost

Hardware per l’attività di laboratorio

Hardware

� PC e notebook

� Lettori di supporti e cavi (di tutti i tipi)

� BluRay, DVD, CD, hard-disk, floppy 3,5’’, floppy 5,25’’,

DAT…

� Cavi per telefoni cellulari

� Copiatori

� Write blocker

Software per l’attività di laboratorio

� Sistema operativo

� Windows, Linux

� Software per acquisizione (DF)

� Encase, FTK Imager, dd…

� Software per analisi (DF)

� Generico

� Encase, FTK, autopsy…

� Ad hoc

� NetAnalysis, P2Commander,

Distribuited Network Attack

(DNA), Password Recovery

Toolkit (PRTK), Oxygen

Forensics, emuleforensic…

� Conversione tra formati

� Software per acquisizione (NF)

� Wireshark…

� Software per analisi (NF)

� Wireshark, XPlico…

Acquisizione

DISK FORENSICS

Copiatore hardware

Disco sorgente

(Read only)Disco destinazione

(Write to)

Page 2: Acquisizione Laboratorio Disk forensics Network forensics

Copiatore hardware (es: Logicube Talon)

Disco sorgente

Disco destinazione

Copiatore hardware (es: ICS Image Master)

Copiatore hardware (es: ICS Image Master) Il consulente tecnico frettoloso

Il consulente tecnico ordinato Write blocker

� Un write blocker è un dispositivo

usato per prevenire scritture (anche

accidentali) su hard disk oggetto di

investigazioni

� Il write blocker è posto tra il disco

esaminato e il computer utilizzato per

esaminarlo o acquisirlo

Page 3: Acquisizione Laboratorio Disk forensics Network forensics

Write blocker Acquisizione – Encase

Acquisizione - Encase Acquisizione - FTK Imager

Acquisizione - FTK Imager Acquisizione - FTK Imager

Page 4: Acquisizione Laboratorio Disk forensics Network forensics

Acquisizione – FTK Imager Acquisizione – Dispositivi mobile

Acquisizione – dd Analisi

NETWORK

FORENSICS

Wireshark Analisi

DISK FORENSICS

Page 5: Acquisizione Laboratorio Disk forensics Network forensics

Analisi - Autopsy Analisi - Encase

Analisi - FTK (Forensic ToolKit) Analisi - NetAnalysis

IEHistoryView

http://www.nirsoft.net/utils/iehv.html

IECookieView

http://www.nirsoft.net/utils/iecookies.html

Page 6: Acquisizione Laboratorio Disk forensics Network forensics

IECacheView

http://www.nirsoft.net/utils/ie_cache_viewer.html

MozillaHistoryView

http://www.nirsoft.net/utils/mozilla_history_view.html

MozillaCookieView

http://www.nirsoft.net/utils/mozilla_cookie_view.html

MozillaCacheView

http://www.nirsoft.net/utils/mozilla_cache_viewer.html

MyLastSearch

http://www.nirsoft.net/utils/my_last_search.html

Analisi - P2Commander

Page 7: Acquisizione Laboratorio Disk forensics Network forensics

Analisi - Oxygen forensics Analisi - emuleforensic

Analisi

NETWORK

FORENSICS

Pacchetto TCP

Source port Destination port

Sequence number

Acknowledgment number

Data

offsetReserved

ur

g

ac

k

ps

h

rs

t

sy

n

fi

nWindow

Urgent pointerChecksum

Options Padding

Dati

16

32

Wireshark Xplico

Page 8: Acquisizione Laboratorio Disk forensics Network forensics

Xplico Laboratorio

LABORATORIO INFORMATICA

FORENSE LOW-COST

Hardware per l’attività di laboratorio

PC e notebook XXX €

Lettori di supporti e cavi (di tutti i tipi)

BluRay XX €

DVD XX €

CD XX €

Hard-disk X – XX €

Floppy 3,5’’ X – XX €

Cavi per telefoni cellulari X – XXX €

Copiatori XXX – XXXX €

Write blocker XXX – XXXX €

Investimento iniziale minimo: alcune centinaia di €

Software per l’attività di laboratorio

Sistema operativo

Windows XXX €

Linux (es: DEFT) 0 €

Software per acquisizione (DF)

EnCase XXXX €

FTK Imager 0 €

dd, dcfldd 0 €

Software per acquisizione (NF)

Wireshark 0 €

Investimento iniziale minimo: 0 €

Software per l’attività di laboratorio

Encase XXXX €

Autopsy (Open source) 0 €

FTK Imager 0 €

NetAnalisyis XXX €

FTK XXXX €

P2Commander XXX €

Photorec (Open source) 0 €

Software vari Nirsoft 0 €

Software per analisi (NF)

Wireshark (Open source) 0 €

Xplico (Open source) 0 €

Investimento iniziale minimo: 0 €


ABSTRACT DIGITAL MULTIMEDIA FORENSICS AND ANTI-FORENSICS ...sig.umd.edu/alumni/thesis/Stamm_Thesis.pdf · DIGITAL MULTIMEDIA FORENSICS AND ANTI-FORENSICS by Matthew C. Stamm Dissertation

ABSTRACT DIGITAL MULTIMEDIA FORENSICS AND ANTI-FORENSICS ...sig.umd.edu/alumni/thesis/Stamm_Thesis.pdf · DIGITAL MULTIMEDIA FORENSICS AND ANTI-FORENSICS by Matthew C. Stamm Dissertation

Documents
© The Forensics Files Lincoln-Douglas Debate The Forensics Files The Forensics Files

© The Forensics Files Lincoln-Douglas Debate The Forensics Files The Forensics Files

Documents
SSeries Sistema per ecografia - Sonosite · 4 Se tutte le modalità di acquisizione delle immagini sono provviste di licenza, premere Modo e selezionare una modalità di acquisizione

SSeries Sistema per ecografia - Sonosite · 4 Se tutte le modalità di acquisizione delle immagini sono provviste di licenza, premere Modo e selezionare una modalità di acquisizione

Documents
Computer forensics - Jordan University of Science and ...tawalbeh/aabfs/presentations/computer_forensics.pdf · 29.08.2006 Computer forensics 2 Computer forensics Definitions: Forensics

Computer forensics - Jordan University of Science and ...tawalbeh/aabfs/presentations/computer_forensics.pdf · 29.08.2006 Computer forensics 2 Computer forensics Definitions: Forensics

Documents
Professionisti a tutela della verità - P&P Investigazioni...Digital & Mobile Forensics Digital Forensics Network Forensics Embedded & Software Forensics Metodologia d’Intervento

Professionisti a tutela della verità - P&P Investigazioni...Digital & Mobile Forensics Digital Forensics Network Forensics Embedded & Software Forensics Metodologia d’Intervento

Documents
Implementation of Forensic Analysis Procedures for ...Android Forensics, Instant Messenger Forensics, Viber Forensics, WhatsApp Forensics. 1. INTRODUCTION ... communication medium

Implementation of Forensic Analysis Procedures for ...Android Forensics, Instant Messenger Forensics, Viber Forensics, WhatsApp Forensics. 1. INTRODUCTION ... communication medium

Documents
Is Mobile Device Forensics Really Forensics?

Is Mobile Device Forensics Really Forensics?

Documents
Comp ter Forensics It’s NotComputer Forensics: It’s … ter Forensics It’s NotComputer Forensics: ... Computer Forensics Can be Useful with ... Solid state drives & deleted file

Comp ter Forensics It’s NotComputer Forensics: It’s … ter Forensics It’s NotComputer Forensics: ... Computer Forensics Can be Useful with ... Solid state drives & deleted file

Documents
Laboratorio di Astrofisica - IRA Homeddallaca/Lab_1.pdf · Daniele Dallacasa Laboratorio di Astrofisica (laboratorio radio)

Laboratorio di Astrofisica - IRA Homeddallaca/Lab_1.pdf · Daniele Dallacasa Laboratorio di Astrofisica (laboratorio radio)

Documents
Artboard 1 - Laboratorio Ion | Laboratorio Ion

Artboard 1 - Laboratorio Ion | Laboratorio Ion

Documents
Arrowhead Forensics - The Gold Standard in Forensics Crime

Arrowhead Forensics - The Gold Standard in Forensics Crime

Documents
COMPUTER FORENSICS - Boise Chapter€¦ · 3 Mobile device forensics 4 Other 5 References Computer forensics Main article: computer forensics ... 1.19 Computer Forensics Solution

COMPUTER FORENSICS - Boise Chapter€¦ · 3 Mobile device forensics 4 Other 5 References Computer forensics Main article: computer forensics ... 1.19 Computer Forensics Solution

Documents
Memory Forensics - publish.illinois.edupublish.illinois.edu/.../files/2014/03/acc-forensics.pdfWhat is Computer Forensics? Mobile Device Forensics Network Forensics Memory & Data Forensics

Memory Forensics - publish.illinois.edupublish.illinois.edu/.../files/2014/03/acc-forensics.pdfWhat is Computer Forensics? Mobile Device Forensics Network Forensics Memory & Data Forensics

Documents
iPhone Forensics Methodology and Tools · Forensics methodologies, iPhone forensics, forensics tools, digital forensics evidence handling, INTRODUCTION iPhone mobile phone is becoming

iPhone Forensics Methodology and Tools · Forensics methodologies, iPhone forensics, forensics tools, digital forensics evidence handling, INTRODUCTION iPhone mobile phone is becoming

Documents
Topic, struttura dell'informazione e acquisizione linguistica · dell’informazione e acquisizione linguistica”, tenutosi a Pavia il 19 e 20 giu- gno 2009, al termine del Programma

Topic, struttura dell'informazione e acquisizione linguistica · dell’informazione e acquisizione linguistica”, tenutosi a Pavia il 19 e 20 giu- gno 2009, al termine del Programma

Documents
Anti-Forensics and Anti-Anti-Forensics

Anti-Forensics and Anti-Anti-Forensics

Documents
Registrazione semplice: acquisizione e monitoraggio

Registrazione semplice: acquisizione e monitoraggio

Documents
Preventive Digital Forensics: Creating Preventive Digital Forensics

Preventive Digital Forensics: Creating Preventive Digital Forensics

Documents
Digital Forensics or Cyber Forensics My Contribution

Digital Forensics or Cyber Forensics My Contribution

Documents
TiR2,TiR3,TiR4, Ti40,Ti45,Ti50,Ti55 · 2017. 11. 17. · Acquisizione e revisione delle immagini..... 3-1 Scansione degli oggetti ... Uso della funzione di acquisizione automatica

TiR2,TiR3,TiR4, Ti40,Ti45,Ti50,Ti55 · 2017. 11. 17. · Acquisizione e revisione delle immagini..... 3-1 Scansione degli oggetti ... Uso della funzione di acquisizione automatica

Documents
LABORATORIO SINCRONO TUTORIAL LABORATORIO SINCRONO

LABORATORIO SINCRONO TUTORIAL LABORATORIO SINCRONO

Documents
History of Forensics CHS. Define Forensics Forensics is the application of science to law

History of Forensics CHS. Define Forensics Forensics is the application of science to law

Documents
Digital Evidence and Computer Forensics Oct 7-8 2013/Tab 02 Oct 7-8... · Digital Evidence and Computer Forensics COMPUTER FORENSICS FORENSICS FORENSICS

Digital Evidence and Computer Forensics Oct 7-8 2013/Tab 02 Oct 7-8... · Digital Evidence and Computer Forensics COMPUTER FORENSICS FORENSICS FORENSICS

Documents
Computer Forensics Network Protocols Overview for Network Forensics

Computer Forensics Network Protocols Overview for Network Forensics

Documents
COMPUTER FORENSICS · 2019-08-24 · 1.0 Computer Forensics In Today’s World 1.0 Intro To Computer Forensics 2.0 Need For Computer Forensics 3.0 What is Cyber Crime 4.0 Forensics

COMPUTER FORENSICS · 2019-08-24 · 1.0 Computer Forensics In Today’s World 1.0 Intro To Computer Forensics 2.0 Need For Computer Forensics 3.0 What is Cyber Crime 4.0 Forensics

Documents
SQL SERVER Anti-Forensics - Black Hat · • Anti-Forensics techniques help to make forensics investigations difficult • Anti-Forensics can be a never ending game • Forensics

SQL SERVER Anti-Forensics - Black Hat · • Anti-Forensics techniques help to make forensics investigations difficult • Anti-Forensics can be a never ending game • Forensics

Documents
USB FORENSICS -PRODISCOVER USB FORENSICS –ENCASE V7csc.csudh.edu/cae/.../2013/11/All-is-not-Lost-Forensics-on-a-USB-Ale… · USB FORENSICS -PRODISCOVER USB FORENSICS -PRODISCOVER

USB FORENSICS -PRODISCOVER USB FORENSICS –ENCASE V7csc.csudh.edu/cae/.../2013/11/All-is-not-Lost-Forensics-on-a-USB-Ale… · USB FORENSICS -PRODISCOVER USB FORENSICS -PRODISCOVER

Documents
4D CT/PET Discovery ST Tecniche di acquisizione del gating ... · 9La modalità di acquisizione 4D PET/CT permette di ottenere immagini simili a quelle motion free 9Le immagini 4D

4D CT/PET Discovery ST Tecniche di acquisizione del gating ... · 9La modalità di acquisizione 4D PET/CT permette di ottenere immagini simili a quelle motion free 9Le immagini 4D

Documents
Windows 8 Forensics & Anti Forensics

Windows 8 Forensics & Anti Forensics

Technology
Forensics & Anti- Forensics

Forensics & Anti- Forensics

Documents