lunedì 14 luglio 2008

Rilasciato PTK beta 0.2

Dopo due mesi di lavori è stata rilasciata la seconda versione beta di PTK. Le attività di sviluppo si sono concentrate sulla parte di keyword search che è stata integrata con il modulo di Live search. Ad ora quindi PTK è in grado di effettuare ricerche sia su base indicizzata (garatendo risultati in real time), si ain modalità live sull'evidence importata. La ricerca live garantisce l'identificazioni di stringhe presenti all'interno dello slack space o in porzioni frammentate di file. PTK ha superato con successo tutti i testi proposti dal DFTT in termini di ricerca di stringhe su file system NTFS, FAT e EXT3.

Nuove migliorie sono state introdotte anche per la parte di installazione. Ora infatti l'utente può installare PTK mediante l'uso di una comoda interfaccia Web senza doversi preoccupare della configurazione dello strumento. Il nuovo processo di installazione risolve diversi problemi di compatibilità che potrebbero sorgere mediante l'uso di diverse distrubuzioni Linux.

Per il download si rimanda alla pagina del progetto su Source Forge: http://sourceforge.net/projects/ptk-forensics/

Per l'installazione gli step necessari sono ora soltanto 3:

1- Estrarre l'archivio all'interno delle directory di apache. (/var/www/, /var/www/htdocs, /var/www/localhost/)

2- Mediante il browser aprire il seguente link http://localhost/ptk/install.php

3- Compilare i campi per terminare il processo di installazione


mercoledì 9 luglio 2008

Luglio 7 2008 PTK presentato al Digital Investigations ISSA 2008 Conference, Johannesburg SA,

Topic della presentazione:
Advances in Digital Investigations:
Research, open source and commercial tools.

La versione presentata è la PTK beta 2, ricca di numerose funzionalità aggiuntive tra cui il sistema di keyword searching, ormai completato e perfettamente funzionante. La sezione di ricerca di PTK ha superato tutti i test di keyword searching del DFTT e permette di ottenere risultati in tempi molto ridotti grazie al sistema di pre-processing dell'immagine.

La beta 2 uscirà il 15 luglio e, oltre al sistema di keyword search, conterrà numerose altre feature come il nuovo installer ottimizzato e completamente automatizzato, nuove funzionalità di bookmarking e analisi.

La nuova presentazione è disponibili qui.

martedì 1 luglio 2008

PTK e Digital Forensics Tool Testing Image (#2)

FAT Keyword Search (passed)

Il test di questa settimana rigurda le ricerche di keyword all'interno di un file system FAT. Ovviamente i 20 quesiti posti da DFTT prevedono la ricerche di stringhe in queste situazioni:
  • spazio allocato
  • spazio non allocato
  • crossed su due file (di file alloca e non allocati)
  • all'interno dello slack space (di file alloca e non allocati)
  • ricerche tramite espressioni regolari.
PTK risolve tutti i 20 test facendo sia uso delle features di ricerca Indicizzata, molto utile per i contenuti allocati, sia della ricerca Live che invece completa le ricerche laddove la indexed non arriva. Entrambe le modalità di ricerca offrono la possibilità di lavorare mediante espressioni regolari, è ovvio che la ricerca su base indicizzata fornisce tempi di risposta praticamente in real-time anche su elevati moli di dati.
Proponiamo un esempio di ricerca tramite espressione regolare relativamente al quesito #17: