martedì 29 aprile 2008

PTK Memory Analysis

La sezione RAM Analysis rappresenta la prima estensione dello strumento che si inserisce all'interno della struttura a plug-in di PTK. Ogni plug-in sviluppato aggiungerà nuove funzionalità e renderà il processo di analisi delle evidence sempre più automatizzato.
La sezione RAM analysis si basa sull'utilizzo dello strumento volatility e permette di analizzare a vari livelli un RAM dump effettuato mediante l'uso del tool dd. PTK permette quindi di analizzare lo stato del sistema nel momento del dump e da esso ricavare informazioni come ad esempio:
  • connessioni attive
  • dll caricate dai processi
  • file aperti
  • moduli del kernel caricati
  • processi
  • sockets
  • oggetti di tipo ETHREAD
  • virtual Address Descriptors (VAD) di ogni processo

In questo momento sono supportati i dump dd-style su sistemi Windows XP SP2.
Pubblicato da alle Nessun commento:
Etichette: ,

venerdì 18 aprile 2008

FTK 2.0 parte 2

L'architettura introdotta da FTK 2.0 è una vera rivoluzione. Nel precedente post si era scritto che FTK 2.0 adottava una archiettura client/server. Questo è vero in linea di massima ma sotto il cofano di FTK si nasconde una architettura studiata con chiaro scopo: la scalabilità. La CF non è più quella che era 10 anni fa quando gli unici tool erano per il DOS (prima ancora che arrivasse EnCase o FTK) e che la dimensione dei dati da analizzare si contava in qualche Giga di disco. Ormai chi lavora in questo settore conosce i problemi che emergono, vuoi per il corso della tecnologia (dischi da 750 Gb nei pc casalinghi ormai!), vuoi per la complessità delle reti e dei sistemi operativi. Capita quindi che una perizia debba prendere in esame un paio di PC desktop, il laptop dell'ufficio e magari uno o due dispositivi portatili come un blackberry o un PDA, senza contare i vari USB thumbdrive, i cdrom, dvd, ecc. FTK scompone lo strumento in tre distinte parti:

  • L'interfaccia (user interface), che richiede poca memoria e poca potenza di calcolo.
  • Il database che mantiene le informazioni del nostro caso o dei casi gestiti dall'examiner.
  • Il worker, ovvero quella componente responsabile per l'indicizzazione, il recovery dei file e tutte le comuni operazioni che richiedono potenza computazionale e memoria

Nell versione attuale di FTK (la stand alone) permette di fondere queste tre componenti sullo stesso sistema oppure separare l¹interfaccia utente dalle altre due. Il vantaggio è che quindi possiamo tenere un PC, anche un laptop, per l¹analisi del nostro caso e lasciare fare il lavoro sporco ad un sistema multiprocessore e con memoria ram a volontà. Non sarebbe però una vera scalabilità si ci dovessimo fermare solo a questa scissione. Nelle versioni Professional e Lab Edition sarà possibile scindere anche il database dal worker o dai workers

Ed è qui che i vantaggi di una architettura trasparente e scalabile emergono. Facciamo un breve esempio considerando una architettura con una interfaccia utente (o magari anche due), il database e tre workers. Una volta che una immagine disco(o perché no, più immagini) viene aggiunta nel caso i workers si contendono i task da eseguire. Il primo worker potrebbe per esempio iniziare il data recovery, il secondo l'indicizzazione dell'immagine e l'ultimo iniziare il bruteforce di un file protetto da password e il tutto è trasparente all'utente. E' chiaro che se ci troviamo di fronte a un caso in cui vengono coinvolte numerose immagini disco con una serie di operazioni da eseguire su alcuni TeraByte di dati (e il trend ormai si attesta su queste dimensioni), una architettura del genere che dispone di macchine dedicate al lavoro duro non può che tornarci comoda. E le novità da parte di Accessdata non sono finite.
Pubblicato da alle Nessun commento:
Etichette:

venerdì 11 aprile 2008

Nuova sessione corsi IRItaly

Vi segnaliamo le nuove date dei corsi IRItaly.

IRItaly Base: 22(opzionale Linux) -23 -24 aprile 2008. Sede: Crema
Computer Forensic Fundamentals: 21 -22 aprile 2008. Sede: Roma
Incident Management: 23 - 24 aprile 2008. Sede: Roma

Durante i corsi tecnici verrà presentato il nuovo strumento PTK e effettuate delle Demo sul campo.

Per iscrizione: info@iritaly-livecd.org
Pubblicato da alle Nessun commento:
Etichette:

Nuove Feature di PTK

Annuniciamo la nuova versione di PTK: ptk_alpha-0.0.1. Grazie ai numerosi feedback ricevuti dai PTK alpha tester di tutto il mondo, abbiamo inserito alcune nuove funzionalità, altre invece erano previste all'interno della road map.

1- Supporto di immagini splittate
Adesso PTK è in grado di riconoscere in modo automatico la presenza di file evidence splittati nei formati ENCASE, DD, AFF. E' sufficente selezionare un solo file, non necessariamente il primo, relativo ad un evidence e automaticamente verranno effettuate le operazioni di concatenazione e analisi del sistema di partizionamento dell'evidence stessa.

2- Keyword search
Ora è possibile effeture ricerche per keyword sia sullo spazio allocato che non allocato. Il modulo di ricerca permette di operare in due modalità:
  • Indexed Search (Il risultato è fornito in real time sulla base del prodotto dell'atività di indexing, estrazione di ASCII strings)
  • Live Search (Per la ricerca di particolari contenuti. La ricerca viene eseguita direttamente sul''evidence)


3- Graphic file analysis
PTK permette di visualizzare il contenuto di un file grafico direttamente dal modulo di File Analysis. Vengono rilevati anche i casi di extension mismatch.


Pubblicato da alle Nessun commento:
Etichette:

sabato 5 aprile 2008

Rilasciato FTK 2.0 parte 1

Nei laboratori DFLABS abbiamo avuto modo di testare, dopo aver eseguito un lungo e approfondito beta test, la versione 2.0 di FTK di AccessData. Lo strumento e l’azienda non hanno bisogno di presentazioni in quanto largamente conosciuti dagli Examiner di tutto il mondo. La versione 2.0, a lungo attesa da tutti è stata rilasciata da poco ed è totalmente innovativa rispetto alla versione del ramo 1. La prima novità riguarda l’architettura dello strumento di tipo client/server che utilizza la tecnologia Oracle come database. L’examiner ha quindi facoltà di mantenere il database sul sistema locale oppure installarlo su una seconda macchina.remota (più performante). E’ possibile quindi gestire diversi database e collegarsi di volta in volta a quello che contiene il caso in esame. La seconda feature innovativa è il multitasking, ovvero la possibilità di lanciare in background un processo come una keyword search o un recovery dei dati mentre si può navigare nel tree del file system, (sicuramente i più esperti faranno notare che questa feature è presente da anni in EnCase, lo strumento che assieme ad FTK si contende il mercato).


Il supporto dei file system è stato ampliato rispetto alla versione 1.7 così come il supporto per i file nel viewer integrato. Lo strumento può quindi visualizzare direttamente da interfaccia i documenti o alcuni file proprietari come se li stessimo guardando tramite l'applicazione nativa (anche EnCase possiede questa feature ma solo dalla versione 6 mentre FTK ha sempre avuto questa comodissima capacità, rispetto ad EnCase però FTK può mostrare filmati AVI o Mpeg). La gestione dei filtri ha fatto passi da gigante rispetto alla versione 1.7, oltre a essere molto più intuitivi è possibile discriminare i file del caso in base a oltre 150 caratteristiche dei file o del file system. E’ possibile inoltre combinare più filtri con operatori AND e OR in maniera estremamente flessibile.



Infine l’interfaccia, già estremamente “user friendly” sin dalla versione 1.x è migliorata parecchio. Sempre mantenendo una approccio “a tabs” è possbile modificarla a piacimento spostando le finestre e creando così un ambiente di analisi personalizzato. Chi ha a disposizione una scheda video dual monitor e due monitor affiancati potrà apprezzare le capacità di FTK di gestire questo hardware. E' possibile realizzare ulteriori personalizzazioni aggiungendo nuovi tab completamente definibili dall’utente.

Tab di default e configurazione standard:


Tab nuovo definito dall'utente relativo alla gallery senza opzioni di zoom:


Nei prossimi post varranno pubblicati i primi benchmark e alcune features curiose dello strumento.
Pubblicato da alle Nessun commento:
Etichette: , ,

martedì 1 aprile 2008

Rilasciato PTK alpha version

E' stata rilasciata la prima release di PTK in versione alpha. Mediante questa versione sarà possibile iniziare a scoprire le nuove funzionalità dello strumento e fornire i primi feedback. Tra le funzionalità implementate in questa release segnaliamo la possibilità di creare casi e gestire gli operatori, inserire le immagini acquisite mediante le più comuni tecniche di acquisizione forense e di condurre le prime attività di analisi come: l'analisi del file system, la generazione della timeline, il file categorization, il calcolo degli hash (sono supportati gli algoritmi md5 e sha1) e l'esportazione dei file. Per coloro che vogliono far parte del programma di testing è sufficiente mandare una mail con le proprie credenziali a info (at) ptk (dot) com. Saranno ben accetti tutti i consigli tecnici nonchè nuove funzionalità, implementate in codice, che saranno discusse dal parte del team DFLabs che, dopo averne verificato l'efficacia, le inserirà all'interno del tool PTK. Si ricorda che il prossimo appuntamento con la successiva release è per il 31 Maggio in cui verranno affinate le funzionalità già presenti e ne verranno introdotte di nuove come la sezione Gallery e di Bookmarking oltre all'analisi per data sector delle evidence.
Pubblicato da alle Nessun commento:
Etichette: , , , , , , , ,
Iscriviti a: Post (Atom)