mercoledì 18 giugno 2008

PTK e Digital Forensics Tool Testing Image (#7)

NTFS Undelete (and leap year) Test #1 (passed WE)

Sono stati effettuati i test e corretti i problemi di individuazione dei file cancellati relativamente a File System NTFS. La versione di TSK 3.0, permetterà di risolvere le due eccezioni (WE=With Exceptions), non risolte anche in Autopsy, che non permettono la visualizzazione dei file definiti Orfani e degli Alternate Data Stream (ADS). Il test ha dato esito positivo come si può notare dall'immagine allegata. Riportiamo per completezza la descrizione dell'immagine e il risultato di PTK.

"This test image is a 6MB NTFS file system with eight deleted files, two deleted directories, and a deleted alternate data stream. The files range from resident files, single cluster files, and multiple fragments. No data structures were modified in this process to thwart recovery. They were created in Windows XP, deleted in XP, and imaged in Linux. "


DFTT test image: http://dftt.sourceforge.net/test7/index.html

mercoledì 4 giugno 2008

Digital Forensics Tool Testing Images e PTK

La struttura di PTK è ormai definita, la nuova fase di Beta test prevede l'ottimizzazione delle funzionalità presenti e la risoluzione di possibili bug o carenze. Questo processo porterà allo sviluppo della versione Stable dello strumento prevista per la fine del mese di Settembre 2008. Per questo motivo, oltre ai test interni, stiamo iniziando un processo di validazione basato sulla verifica delle 13 immagini, ricreate ad-hoc da Brian Carrier, presenti all'indirizzo: dftt.sourceforge.net. Questo processo mira a consolidare le funzionalità di PTK rendendolo il più efficace possibile durante l'attività di indagine ed aggiungendo solamente le funzionalità indispensabili come ad esempio il modulo di Data Carving.

Extended DOS Partition Test (passed)

Partiamo con il primo test di riconoscimento partizioni basato su DOS a seguito di modifica manuale della Partition Table. Riportiamo la descrizione dell'immagine e il risultato di PTK.

"Most DOS partition tools will not allow the user to create a third entry in an extended partition. A test image was created by modifying the partition table by hand with a hex editor and the system was booted. Both Windows and Linux read the third entry in the extended partition table and allowed the user to mount the partition. This test was to verify that forensic tools also allowed the investigator to view the partition in the third entry. "






lunedì 2 giugno 2008

PTK Beta Testing - Qualche news -

A poche ore dal rilascio ufficiale sono numerosi gli utenti che stanno testando la nuova versione Beta del tool PTK. Numerosi sono anche i feedback che stiamo ricevendo in merito alle funzionalità e all’interfaccia adottata. Al tal proposito comunichiamo che i test effettuati in laboratorio e durante tutta la fase di alpha test hanno portato a feedback importanti e ci aspettiamo che anche questa seconda fase di test ci conduca allo stesso risultato. Al fine di considerare le varie casistiche vi pregiamo di comunicarci eventuali incoerenze, nella maniera più dettagliata possibile. A questo proposito abbiamo lanciato su SF una mailing list di discussione. Nel momento in cui scriviamo stiamo operando miglioramenti per una completa gestione del file system NTFS il quale richiede particolari istruzioni per l’enumerazione dei file cancellati (per coloro che hanno familiarità con Sleuthkit, stiamo parlando del comando ifind). Ringraziandovi della vostra partecipazione e sicuri di vostri utili e costruttivi feedback, vi auguriamo buon lavoro con PTK!