SlideShare une entreprise Scribd logo

Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline

Sandro Rossetti
Sandro Rossetti
1  sur  36
Télécharger pour lire hors ligne
Timeline e Supertimeline Analisi temporale dell’attività di un PC con DEFT 7 Creative Commons Attribuzione-Non opere derivate 2.5 Dr. Paolo Dal Checco paolo@dalchecco.it DEFTCON 2012 - Torino Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it La cosiddetta “timeline” • Con “timeline” ci si riferisce a un documento, un elenco, una lista di attività (manuali o automatiche) avvenute sul PC ordinata per giorno e ora esatta in cui sono avvenute • I formati di visualizzazione possono essere diversi, alcuni testuali, altri grafici, alcuni ideali per ricerche altri per display su video Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Un esempio naif di “timeline” • 2012 03 30 10:16 GMT+2 computer acceso • 2012 03 30 10:23 GMT+2 documento “deftcon-slides.key” aperto • 2012 03 30 10:35 GMT+2 aperta pagina web “www.facebook.com/DEFTlinux” • 2012 03 30 12:01 GMT +2 documento “deftcon-slides.key” salvato • 2012 03 30 12:12 GMT +2 inserita USB keyVERBATIM con s/n 234cb42a73 • 2012 03 30 12:18 GMT +2 PDF “deftcon-slides.pdf” creato • 2012 03 30 12:22 GMT +2 documento “deftcon-slides.key” cancellato • 2012 03 30 12:25 GMT+2 computer spento • 2012 03 30 14:30 GMT+2 computer acceso • 2012 03 30 14:35 GMT +2 driver schermo esterno PC avviato • 2012 03 30 14:37 GMT +2 PDF “deftcon-slides.pdf” aperto su chiavetta conVOL ID 0x3bd2cd22 • 2012 03 30 15:00 GMT +2 computer spento Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Cosa vogliamo ottenere • Vogliamo avere con immediatezza lo storico ordinato di: • inserimento periferiche USB, utilizzo driver • creazione, apertura, salvataggio e cancellazione file e documenti, valutandone le tempistiche (copia massiva) • data di scatto delle fotografie o di documenti con exif • date rilevanti Office/PDF (creazione, stampa, salvataggio, autore, etc...) • esecuzione programmi • avvio e spegnimento del computer • login/logout utenti Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Cosa vogliamo ottenere • Vogliamo avere con immediatezza lo storico ordinato di: • file ‘lnk’ di Windows (che mantengono info e S/N sulle periferiche su cui risiedevano i file aperti, comprese USB esterne) • navigazione internet (Chrome, Firefox, Explorer, Opera, Safari, etc...) • eventi di sistema (errori, notifiche, violazioni, etc...) • log antivirus • traffico di rete • cestino e punti di ripristino di Windows • log webserver Apache/IIS • Skype chat Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Timeline vs Supertimeline • Timeline tradizionale: esaminati soltanto i timestamp dei file ricavati dal filesystem anche per taluni file cancellati (creazione, modifica, accesso, entry modified) ma non il contenuto dei file stessi, che viene ignorato • Supertimeline: si aggiungono ai timestamp del filesystem anche i dati (che chiameremo metadati) estratti e parsificati dall’interno di diverse tipologie di file (registro, eventi, link, prefetch, exif, etc...) anche cancellati Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Timeline vs Supertimeline • Timeline tradizionale: limitata ma veloce da fare, si può fare anche offline estraendo un solo metafile ($MFT) dal sistema, permette daily/hourly summary, feedback immediato • Supertimeline: completa ed esauriente ma più lunga da fare, soprattutto se ci sono tanti file esistenti o cancellati, difficile farla offline senza avere l’intero disco Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Timeline • Useremo i tool fls/mactime della suite TSK, The Sleuth Kit di Brian Carrier • Esistono diverse alternative, più o meno scomode, open/gratuite/commerciali • fls è la più usata, anche perchè utilizzata dal frontend Autopsy inserito in diverci LiveCD Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Tool alternativi ma “scomodi” • FTK Imager, di AccessData [accessdata.com/support/ adownloads#FTKImager] • NTFSwalk, di TzWorks [www.tzworks.net/ prototype_page.php?proto_id=12] • AnalyzeMFT, di David Kovar [www.integriography.com/] • mft.pl, di Harlan Karvey [code.google.com/p/ winforensicaanalysis] • MFTView, della Sanderson Forensics [www.sandersonforensics.com] • Encase [www.guidancesoftware.com/] • X-Ways Forensics [www.x-ways.net/forensics] Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Suite TSK, con fls credo file in formato bodyfile • Converto il bodyfile in CSV • Creo daily summary con attività giornaliera fls -o 63 -r -m C: /dev/sda > c-timeline.body mactime -y -m -d -i day c-timeline-daily.csv -z Europe/Rome -b c-timeline.body > c-timeline.csv Timeline con daily summary Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Il daily summary serve per rilevare anomalie sui giorni • Nell’esempio, cominceremo ad esaminare il giorno 4 marzo 2010, dove rileviamo 62.239 movimentazioni di file • Possibile anche hourly summary, con analisi oraria, nell’esempio rileviamo pesante attività tra le ore 11 e 12 Timeline con daily summary Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Otteniamo (i dati provegono dall’$MFT) data di creazione/accesso/salvataggio/entry modified, dimensione, numero di inode e percorso sul filesystem quando disponibile • Sappiamo se un file esisteva ma è stato cancellato e in tal caso anche se l’area disco è stata riscritta Timeline con daily summary Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Interfaccia grafica alla suite TSK • Creo un caso, imposto timezone, inserisco immagini/dischi (/dev/ sda) • Utile per fare preview di file anche cancellati (ricavati da MFT table) • Utile per fare keyword search su raw disk, estrazione stringhe, estrazione spazio non allocato, organizzazione file per tipo, ricupero di tutti i file cancellati (a livello MFT) • Preview raw a livello di settore Menù > DEFT > Analysis Tools > Autopsy No cmdline? Autopsy Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Interfaccia grafica Autopsy Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline • Aggiungiamo ai timestamp del filesystem anche i metadati contenuti nei file per creare la nostra linea temporale • utilizzeremo il tool open source log2timeline, scritto in perl dal ricercatore Kristinn Gudjonsson • framework composto da 4 moduli: front-end, librerie condivise, modulo input e modulo output • Ultima versione 0.62 (DEFT 7.1) diversi plugin • log2timeline-sift: cmdline tool che cerca di automatizzare il mounting delle evidenze e il parsing Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: metadati e plugin • altiris 0.1 Parse the content of an XeXAMInventory or AeXProcessList log file • analog_cache 0.1 Parse the content of an Analog cache file • apache2_access 0.3 Parse the content of a Apache2 access log file • apache2_error 0.2 Parse the content of a Apache2 error log file • chrome 0.3 Parse the content of a Chrome history file • encase_dirlisting 0.2 Parse the content of a CSV file that is exported from Encase (dirlist) • evt 0.2 Parse the content of a Windows 2k/XP/2k3 Event Log • evtx 0.5 Parse the content of a Windows Event Log File (EVTX) • exif 0.4 Extract metadata information from files using ExifTool • ff_bookmark 0.3 Parse the content of a Firefox bookmark file • ff_cache 0.2 Parse the content of a Firefox _CACHE_00[123]_ file • firefox2 0.3 Parse the content of a Firefox 2 browser history • firefox3 0.8 Parse the content of a Firefox 3 history file • ftk_dirlisting 0.3 Parse the content of a CSV file that is exported from FTK Imager (dirlist) • generic_linux 0.3 Parse content of Generic Linux logs that start with MMM DD HH:MM:SS Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: metadati e plugin • iehistory 0.8 Parse the content of an index.dat file containg IE history • iis 0.5 Parse the content of a IIS W3C log file • ibsatxt 0.4 Parse the content of a ISA text export log file • jp_ntfs_change 0.1 Parse the content of a CSV output file from JP (NTFS Change log) • l2t_csv 0.1 Parse the content of a body file in the l2t CSV format • mactime 0.6 Parse the content of a body file in the mactime format • mcafee 0.3 Parse the content of log files from McAfee AV engine • mcafeefireup 0.1 Parse the content of an XeXAMInventory or AeXProcessList log file • mcafeehel 0.1 Parse the content of a McAfee HIPS event.log file • mcafeehs 0.1 Parse the content of a McAfee HIPShield log file • mft 0.1 Parse the content of a NTFS MFT file • mssql_errlog 0.2 Parse the content of an ERRORLOG file produced by MS SQL server • ntuser 1.0 Parses the NTUSER.DAT registry file • openvpn 0.1 Parse the content of an openVPN log file • opera 0.2 Parse the content of an Opera's global history file Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: metadati e plugin • oxml 0.4 Parse the content of an OpenXML document (Office 2007 documents) • pcap 0.5 Parse the content of a PCAP file • pdf 0.3 Parse some of the available PDF document metadata • prefetch 0.7 Parse the content of the Prefetch directory • proftpd_xferlog 0.1 Parse the content of a ProFTPd xferlog log file • recycler 0.6 Parse the content of the recycle bin directory • restore 0.9 Parse the content of the restore point directory • safari 0.3 Parse the contents of a Safari History.plist file • sam 0.1 Parses the SAM registry file • security 0.1 Parses the SECURITY registry file • setupapi 0.5 Parse the content of the SetupAPI log file in Windows XP • skype_sql 0.1 Parse the content of a Skype database • software 0.1 Parses the SOFTWARE registry file • sol 0.5 Parse the content of a .sol (LSO) or a Flash cookie file Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: metadati e plugin • squid 0.5 Parse the content of a Squid access log (http_emulate off) • symantec 0.1 Parse the content of a Symantec log file • syslog 0.2 Parse the content of a Linux Syslog log file • system 0.1 Parses the SYSTEM registry file • tln 0.5 Parse the content of a body file in the TLN format • volatility 0.2 Parse the content of aVolatility output files (psscan2, sockscan2, ...) • win_link 0.7 Parse the content of a Windows shortcut file (or a link file) • wmiprov 0.2 Parse the content of the wmiprov log file • xpfirewall 0.4 Parse the content of a XP Firewall log Esistono software commerciali equivalenti? :-) © Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: moduli e liste ! Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: output ! • Useremo CSV perchè veloce da gestire e ideale per integrare le diverse fonti di dati/metadati Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Monto il disco in modalità read only • Importanti i parametri speciali per file di sistema e ADS: • show_sys_files • streams_interface=windows mount -o ro,show_sys_files,streams_interface=windows /dev/sda1 mnt/c Montiamo il disco in readonly Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Montiamo l’immagne in readonly • Diversi tipi di immagini: raw, split raw, aff, split aff, ewf, split ewf • Possibile operare anche su dischi fisici • Si possono montare tutti i tipi di immagini usati nella computer forensics o i dischi tramite i seguenti tool: • affuse (raw, split raw) • xmount (raw, split raw, aff, ewf) • mount [-o loop] (raw) • mount_ewf.py [ewf] mount -o ro,loop,show_sys_files,offset=$((512*63)) / mnt/raw/nps-2009-domexusers.dd /mnt/c Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Si notano alcuni file di metadati NTFS ($Boot, $MFTMirr, etc...) • Alcuni metafile non si vedono ma si possono accedere direttamente ($MFT, $UsnJrnl:$J) e potranno servirci Alcuni strani file... Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Uso regripper per identificare Sistema Operativo e timezone • Utile nel caso in cui il preprocessor di log2timeline fallisse la detection e quindi la scelta dei moduli/plugin cd /opt/regripper ./rip.pl -r /mnt/c/WINDOWS/system32/config/software -p winver ./rip.pl -r /mnt/c/WINDOWS/system32/config/system -p timezone Identifico versione di OS Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • A volte utile usare parametri “-p” e “-f winxp” • l2t_process può filtrare per keyword (blacklist/ whitelist), timestomping (MFT con millisecondi a 0), date o evidenziare scostamenti time/ number MFT tramite scatter plot della cartella /windows/system32 log2timeline -r -z Europe/Rome /mnt/c/ -m C: -w c-log2t.csv cat c-log2t.csv > supertimeline-unsorted.csv l2t_process -i -b supertimeline-unsorted.csv -y > supertimeline.csv Supertimeline dei file presenti Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Utile se non si ha tempo di fare timeline/supertimeline • log2timeline ultima versione lo elabora in automatico • Si può elaborare in laboratorio con diversi tool, compreso log2timeline • Se non si ha tempo di usare fls/autopsy, acquisire MFT e parsificare in laboratorio cat -c /mnt/c/$MFT > mft.bin (oppure) icat -o 63 /dev/sda 0 > mft.bin Esporto $MFT per il laboratorio Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Se il journaling è attivo, il file contiene timestamp di creazione, modifica e cancellazione dei file presenti sul disco • Si può elaborare in laboratorio con diversi tool, commerciali e non e integrare tramite apposito plugin nella supertimeline cat /mnt/c/$Extend/$UsnJrnl:$J > usnjrnl.bin Esporto journal NTFS Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Si recupero tutti i file con struttura nota cancellati • Operazione in genere lunga, da fare in laboratorio • Tutti e tre i tool supportano custom config • Scalpel e Foremost supportano custom config più avanzato • Disponibile GUI (Menu’ > DEFT > Carving Tools > Hb4most) cd carving photorec /dev/sda vi /etc/foremost.conf foremost -o carving -i /dev/sda vi /opt/hb4/scalpel.conf scalpel -v /opt/hb4/scalpel.conf -o carving -i /dev/sda Carving e recupero dati Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Prassi poco nota ma dagli ottimi risultati • Estrarre tramite carving e applicare log2timeline su quanto ricuperato • Verranno parsificati registro, eventi, immagini, documenti, link, navigazione Internet e molti altri metadati che altrimenti non sarebbero stati inclusi nella supertimeline log2timeline -r -z Europe/Rome ./carving -m C: -w c-log2t-carve.csv cat *.csv > supertimeline-unsorted.csv l2t_process -i -b supertimeline-unsorted.csv -y > supertimeline.csv Dr. Paolo Dal Checco - paolo@dalchecco.it Integrazione nella supertimeline Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: documenti office • 10/29/2008,09:15:00,PST8PDT,MACB,OXM L,Open XML Metadata,created,domex1,-,, - Application: Microsoft Office Word - AppVersion: 12.0000,2 […] 10/29/2008,09:15:00,PST8PDT,MACB,OXML,O pen XML Metadata,modified,domex1,-,, - Application: Microsoft Office Word - AppVersion: 12.0000,2 […] Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: Windows lnk • 09/18/2008,09:44:24,PST8PDT,.A..,LNK,Shortcu t LNK,Access,-,-,C:/Program Files/Google/ Picasa3/Picasa3.exe […] 09/18/2008,09:44:24,PST8PDT,..CB,LNK,Shortcut LNK,Created,-,-,C:/Program Files/Google/Picasa3/ Picasa3.exe […] 10/21/2008,08:11:48,PST8PDT,M...,LNK,Shortcut LNK,Modified,-,-,C:/Program Files/Google/Picasa3/ Picasa3.exe […] Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: Navigazione web • 10/20/2008,15:42:24,PST8PDT,.ACB,WEBHIST, Internet Explorer,time1,Administrator,-,visited http://www.google.com/search? hl=en&q=pidgin&aq=f […] 10/20/2008,15:42:55,PST8PDT,M...,WEBHIST,Inter net Explorer,time2,Administrator,-,visited http:// sourceforge.net/project/downloading.php? groupname=pidgin&filename=pidgin-2.5.2.exe&use _mirror=internap […] Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: Filesystem • 10/21/2008,11:13:04,PST8PDT,.A..,FILE, NTFS $MFT,$FN [.A..] time,-,-,C:/ Documents and Settings/All Users/ Documents/pidgin-2.5.2.exe […] 10/21/2008,11:04:08,PST8PDT,.A..,FILE,NT FS $MFT,$FN [.A..] time,-,-,C:/Documents and Settings/All Users/Documents/ Thunderbird Setup 2.0.0.17.exe […] Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: Esecuzione programmi • 10/29/2008,19:44:34,,MACB,REG,UserAssist key,Time of Launch,domex2,REALISTIC_XP,UEME_RUNPA TH:C:/Program Files/Mozilla Thunderbird/ thunderbird.exe, [Count: 2] […] 10/30/2008,00:50:43,PST8PDT,MACB,PRE,XP Prefetch,Last run,-,REALISTIC_XP,AIM6.EXE-34DC5725.pf: AIM6.EXE was executed,AIM6.EXE-34DC5725.pf - [AIM6.EXE] was executed - run count [5] […] Friday, March 30, 2012
DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: Avvio e spegnimento PC Friday, March 30, 2012

Recommandé

festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2016
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Sandro Rossetti
 
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsDEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
Sandro Rossetti
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Sandro Rossetti
 
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
Sandro Rossetti
 
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
Sandro Rossetti
 
Deftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4mostDeftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4most
Sandro Rossetti
 
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e GiuridiciLA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
denis frati
 

Recommandé

festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perdutafestival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2013: Alla ricerca della pendrive perduta
festival ICT 2016
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Sandro Rossetti
 
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android ForensicsDEFTCON 2012 - Alessandro Rossetti - Android Forensics
DEFTCON 2012 - Alessandro Rossetti - Android Forensics
Sandro Rossetti
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Sandro Rossetti
 
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel qua...
Sandro Rossetti
 
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Genera...
Sandro Rossetti
 
Deftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4mostDeftcon 2012 - Hunchbacked Foremost HB4most
Deftcon 2012 - Hunchbacked Foremost HB4most
Sandro Rossetti
 
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e GiuridiciLA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
denis frati
 
Back to Basics, webinar 6: Messa in esercizio
Back to Basics, webinar 6: Messa in esercizioBack to Basics, webinar 6: Messa in esercizio
Back to Basics, webinar 6: Messa in esercizio
MongoDB
 
Docweb lo02 20120608
Docweb lo02 20120608Docweb lo02 20120608
Docweb lo02 20120608
Matteo Strangi
 
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
Deft Association
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una scelta
denis frati
 
Liferay - Quick Start 1° Episodio
Liferay - Quick Start 1° EpisodioLiferay - Quick Start 1° Episodio
Liferay - Quick Start 1° Episodio
Antonio Musarra
 
Il recupero delle informazioni cancellate e nascoste
Il recupero delle informazioni cancellate e nascosteIl recupero delle informazioni cancellate e nascoste
Il recupero delle informazioni cancellate e nascoste
Edoardo E. Artese
 
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadowUna macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
luigi Ranzato
 
Introduzione a Drupal 7 - 14/03/2013
Introduzione a Drupal 7 - 14/03/2013Introduzione a Drupal 7 - 14/03/2013
Introduzione a Drupal 7 - 14/03/2013
Alessandro del Gobbo
 
DDive - 8.5.2 Xpages - L'evoluzione continua
DDive - 8.5.2 Xpages - L'evoluzione continuaDDive - 8.5.2 Xpages - L'evoluzione continua
DDive - 8.5.2 Xpages - L'evoluzione continua
Dominopoint - Italian Lotus User Group
 
AWR analysis (o di come utilizzare l’AWR per condurre un’analisi di un databa...
AWR analysis (o di come utilizzare l’AWR per condurre un’analisi di un databa...AWR analysis (o di come utilizzare l’AWR per condurre un’analisi di un databa...
AWR analysis (o di come utilizzare l’AWR per condurre un’analisi di un databa...
ICTeam S.p.A.
 
Visual Studio Performance Tools
Visual Studio Performance ToolsVisual Studio Performance Tools
Visual Studio Performance Tools
Andrea Tosato
 
TYPO3 CMS 6.2 LTS - Le Novità
TYPO3 CMS 6.2 LTS - Le NovitàTYPO3 CMS 6.2 LTS - Le Novità
TYPO3 CMS 6.2 LTS - Le Novità
Roberto Torresani
 
IoT e l'integrazione cloud edge
IoT e l'integrazione cloud edgeIoT e l'integrazione cloud edge
IoT e l'integrazione cloud edge
OpenIO Object Storage
 
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
VMUG IT
 
Aspetti di sicurezza in azienda: gestione dei log aziendali
Aspetti di sicurezza in azienda: gestione dei log aziendaliAspetti di sicurezza in azienda: gestione dei log aziendali
Aspetti di sicurezza in azienda: gestione dei log aziendali
Francesco Cossettini
 
iot Saturday 2019 - PoC iot in 1 ora
iot Saturday 2019 - PoC iot in 1 oraiot Saturday 2019 - PoC iot in 1 ora
iot Saturday 2019 - PoC iot in 1 ora
Alessio Biasiutti
 
PoC IoT in 1 ora
PoC IoT in 1 oraPoC IoT in 1 ora
PoC IoT in 1 ora
Alessio Biasiutti
 
Motori di ricerca per cercare file in Linux
Motori di ricerca per cercare file in LinuxMotori di ricerca per cercare file in Linux
Motori di ricerca per cercare file in Linux
Roberto Marmo
 
SQL Server Workload Profiling
SQL Server Workload ProfilingSQL Server Workload Profiling
SQL Server Workload Profiling
Gianluca Hotz
 
Progetto e implementazione di un processo per l'assemblaggio di documenti htm...
Progetto e implementazione di un processo per l'assemblaggio di documenti htm...Progetto e implementazione di un processo per l'assemblaggio di documenti htm...
Progetto e implementazione di un processo per l'assemblaggio di documenti htm...
Nicola Furlan
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Sandro Rossetti
 
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
Sandro Rossetti
 

Contenu connexe

Similaire à Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline

deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
Deft Association
 
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadowUna macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
luigi Ranzato
 
Progetto e implementazione di un processo per l'assemblaggio di documenti htm...
Progetto e implementazione di un processo per l'assemblaggio di documenti htm...Progetto e implementazione di un processo per l'assemblaggio di documenti htm...
Progetto e implementazione di un processo per l'assemblaggio di documenti htm...
Nicola Furlan
 

Similaire à Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline (20)

Back to Basics, webinar 6: Messa in esercizio
Back to Basics, webinar 6: Messa in esercizioBack to Basics, webinar 6: Messa in esercizio
Back to Basics, webinar 6: Messa in esercizio
 
Docweb lo02 20120608
Docweb lo02 20120608Docweb lo02 20120608
Docweb lo02 20120608
 
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una scelta
 
Liferay - Quick Start 1° Episodio
Liferay - Quick Start 1° EpisodioLiferay - Quick Start 1° Episodio
Liferay - Quick Start 1° Episodio
 
Il recupero delle informazioni cancellate e nascoste
Il recupero delle informazioni cancellate e nascosteIl recupero delle informazioni cancellate e nascoste
Il recupero delle informazioni cancellate e nascoste
 
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadowUna macchina del tempo in Windows - Accesso e analisi delle copie shadow
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
 
Introduzione a Drupal 7 - 14/03/2013
Introduzione a Drupal 7 - 14/03/2013Introduzione a Drupal 7 - 14/03/2013
Introduzione a Drupal 7 - 14/03/2013
 
DDive - 8.5.2 Xpages - L'evoluzione continua
DDive - 8.5.2 Xpages - L'evoluzione continuaDDive - 8.5.2 Xpages - L'evoluzione continua
DDive - 8.5.2 Xpages - L'evoluzione continua
 
AWR analysis (o di come utilizzare l’AWR per condurre un’analisi di un databa...
AWR analysis (o di come utilizzare l’AWR per condurre un’analisi di un databa...AWR analysis (o di come utilizzare l’AWR per condurre un’analisi di un databa...
AWR analysis (o di come utilizzare l’AWR per condurre un’analisi di un databa...
 
Visual Studio Performance Tools
Visual Studio Performance ToolsVisual Studio Performance Tools
Visual Studio Performance Tools
 
TYPO3 CMS 6.2 LTS - Le Novità
TYPO3 CMS 6.2 LTS - Le NovitàTYPO3 CMS 6.2 LTS - Le Novità
TYPO3 CMS 6.2 LTS - Le Novità
 
IoT e l'integrazione cloud edge
IoT e l'integrazione cloud edgeIoT e l'integrazione cloud edge
IoT e l'integrazione cloud edge
 
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
02 - VMUGIT - Lecce 2018 - Enrico Signoretti, OpenIO
 
Aspetti di sicurezza in azienda: gestione dei log aziendali
Aspetti di sicurezza in azienda: gestione dei log aziendaliAspetti di sicurezza in azienda: gestione dei log aziendali
Aspetti di sicurezza in azienda: gestione dei log aziendali
 
iot Saturday 2019 - PoC iot in 1 ora
iot Saturday 2019 - PoC iot in 1 oraiot Saturday 2019 - PoC iot in 1 ora
iot Saturday 2019 - PoC iot in 1 ora
 
PoC IoT in 1 ora
PoC IoT in 1 oraPoC IoT in 1 ora
PoC IoT in 1 ora
 
Motori di ricerca per cercare file in Linux
Motori di ricerca per cercare file in LinuxMotori di ricerca per cercare file in Linux
Motori di ricerca per cercare file in Linux
 
SQL Server Workload Profiling
SQL Server Workload ProfilingSQL Server Workload Profiling
SQL Server Workload Profiling
 
Progetto e implementazione di un processo per l'assemblaggio di documenti htm...
Progetto e implementazione di un processo per l'assemblaggio di documenti htm...Progetto e implementazione di un processo per l'assemblaggio di documenti htm...
Progetto e implementazione di un processo per l'assemblaggio di documenti htm...
 

Plus de Sandro Rossetti

DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
Sandro Rossetti
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Sandro Rossetti
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Sandro Rossetti
 
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Sandro Rossetti
 
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicDeftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Sandro Rossetti
 
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Sandro Rossetti
 
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Sandro Rossetti
 
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Sandro Rossetti
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Sandro Rossetti
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Sandro Rossetti
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Sandro Rossetti
 
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Sandro Rossetti
 

Plus de Sandro Rossetti (14)

Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
 
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
DEFTCON 2012 - Stefano Fratepietro - Presentazione dell’evento e delle novità...
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
 
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
Deftcon 2012 - Emanuele Gentili - Utilizzo di Deft Linux per attività di Cybe...
 
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule ForensicDeftcon 2012 - Michele Ferrazzano - Emule Forensic
Deftcon 2012 - Michele Ferrazzano - Emule Forensic
 
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
 
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
Deftcon 2013 - Stefano Fratepietro - Presentazione dell'Associazione Deft e d...
 
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
Deftcon 2013 - Paolo Dal Checco - La virtualizzazione della Digital Forensics...
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
 
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
Deftcon 2013 - Cesare Maioli - Aspetti della legge 48/2008 che influenzano l'...
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
 

Deftcon 2012 - Paolo Dal Checco - Timeline e Supertimeline

  • 1. Timeline e Supertimeline Analisi temporale dell’attività di un PC con DEFT 7 Creative Commons Attribuzione-Non opere derivate 2.5 Dr. Paolo Dal Checco paolo@dalchecco.it DEFTCON 2012 - Torino Friday, March 30, 2012
  • 2. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it La cosiddetta “timeline” • Con “timeline” ci si riferisce a un documento, un elenco, una lista di attività (manuali o automatiche) avvenute sul PC ordinata per giorno e ora esatta in cui sono avvenute • I formati di visualizzazione possono essere diversi, alcuni testuali, altri grafici, alcuni ideali per ricerche altri per display su video Friday, March 30, 2012
  • 3. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Un esempio naif di “timeline” • 2012 03 30 10:16 GMT+2 computer acceso • 2012 03 30 10:23 GMT+2 documento “deftcon-slides.key” aperto • 2012 03 30 10:35 GMT+2 aperta pagina web “www.facebook.com/DEFTlinux” • 2012 03 30 12:01 GMT +2 documento “deftcon-slides.key” salvato • 2012 03 30 12:12 GMT +2 inserita USB keyVERBATIM con s/n 234cb42a73 • 2012 03 30 12:18 GMT +2 PDF “deftcon-slides.pdf” creato • 2012 03 30 12:22 GMT +2 documento “deftcon-slides.key” cancellato • 2012 03 30 12:25 GMT+2 computer spento • 2012 03 30 14:30 GMT+2 computer acceso • 2012 03 30 14:35 GMT +2 driver schermo esterno PC avviato • 2012 03 30 14:37 GMT +2 PDF “deftcon-slides.pdf” aperto su chiavetta conVOL ID 0x3bd2cd22 • 2012 03 30 15:00 GMT +2 computer spento Friday, March 30, 2012
  • 4. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Cosa vogliamo ottenere • Vogliamo avere con immediatezza lo storico ordinato di: • inserimento periferiche USB, utilizzo driver • creazione, apertura, salvataggio e cancellazione file e documenti, valutandone le tempistiche (copia massiva) • data di scatto delle fotografie o di documenti con exif • date rilevanti Office/PDF (creazione, stampa, salvataggio, autore, etc...) • esecuzione programmi • avvio e spegnimento del computer • login/logout utenti Friday, March 30, 2012
  • 5. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Cosa vogliamo ottenere • Vogliamo avere con immediatezza lo storico ordinato di: • file ‘lnk’ di Windows (che mantengono info e S/N sulle periferiche su cui risiedevano i file aperti, comprese USB esterne) • navigazione internet (Chrome, Firefox, Explorer, Opera, Safari, etc...) • eventi di sistema (errori, notifiche, violazioni, etc...) • log antivirus • traffico di rete • cestino e punti di ripristino di Windows • log webserver Apache/IIS • Skype chat Friday, March 30, 2012
  • 6. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Timeline vs Supertimeline • Timeline tradizionale: esaminati soltanto i timestamp dei file ricavati dal filesystem anche per taluni file cancellati (creazione, modifica, accesso, entry modified) ma non il contenuto dei file stessi, che viene ignorato • Supertimeline: si aggiungono ai timestamp del filesystem anche i dati (che chiameremo metadati) estratti e parsificati dall’interno di diverse tipologie di file (registro, eventi, link, prefetch, exif, etc...) anche cancellati Friday, March 30, 2012
  • 7. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Timeline vs Supertimeline • Timeline tradizionale: limitata ma veloce da fare, si può fare anche offline estraendo un solo metafile ($MFT) dal sistema, permette daily/hourly summary, feedback immediato • Supertimeline: completa ed esauriente ma più lunga da fare, soprattutto se ci sono tanti file esistenti o cancellati, difficile farla offline senza avere l’intero disco Friday, March 30, 2012
  • 8. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Timeline • Useremo i tool fls/mactime della suite TSK, The Sleuth Kit di Brian Carrier • Esistono diverse alternative, più o meno scomode, open/gratuite/commerciali • fls è la più usata, anche perchè utilizzata dal frontend Autopsy inserito in diverci LiveCD Friday, March 30, 2012
  • 9. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Tool alternativi ma “scomodi” • FTK Imager, di AccessData [accessdata.com/support/ adownloads#FTKImager] • NTFSwalk, di TzWorks [www.tzworks.net/ prototype_page.php?proto_id=12] • AnalyzeMFT, di David Kovar [www.integriography.com/] • mft.pl, di Harlan Karvey [code.google.com/p/ winforensicaanalysis] • MFTView, della Sanderson Forensics [www.sandersonforensics.com] • Encase [www.guidancesoftware.com/] • X-Ways Forensics [www.x-ways.net/forensics] Friday, March 30, 2012
  • 10. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Suite TSK, con fls credo file in formato bodyfile • Converto il bodyfile in CSV • Creo daily summary con attività giornaliera fls -o 63 -r -m C: /dev/sda > c-timeline.body mactime -y -m -d -i day c-timeline-daily.csv -z Europe/Rome -b c-timeline.body > c-timeline.csv Timeline con daily summary Friday, March 30, 2012
  • 11. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Il daily summary serve per rilevare anomalie sui giorni • Nell’esempio, cominceremo ad esaminare il giorno 4 marzo 2010, dove rileviamo 62.239 movimentazioni di file • Possibile anche hourly summary, con analisi oraria, nell’esempio rileviamo pesante attività tra le ore 11 e 12 Timeline con daily summary Friday, March 30, 2012
  • 12. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Otteniamo (i dati provegono dall’$MFT) data di creazione/accesso/salvataggio/entry modified, dimensione, numero di inode e percorso sul filesystem quando disponibile • Sappiamo se un file esisteva ma è stato cancellato e in tal caso anche se l’area disco è stata riscritta Timeline con daily summary Friday, March 30, 2012
  • 13. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Interfaccia grafica alla suite TSK • Creo un caso, imposto timezone, inserisco immagini/dischi (/dev/ sda) • Utile per fare preview di file anche cancellati (ricavati da MFT table) • Utile per fare keyword search su raw disk, estrazione stringhe, estrazione spazio non allocato, organizzazione file per tipo, ricupero di tutti i file cancellati (a livello MFT) • Preview raw a livello di settore Menù > DEFT > Analysis Tools > Autopsy No cmdline? Autopsy Friday, March 30, 2012
  • 14. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Interfaccia grafica Autopsy Friday, March 30, 2012
  • 15. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline • Aggiungiamo ai timestamp del filesystem anche i metadati contenuti nei file per creare la nostra linea temporale • utilizzeremo il tool open source log2timeline, scritto in perl dal ricercatore Kristinn Gudjonsson • framework composto da 4 moduli: front-end, librerie condivise, modulo input e modulo output • Ultima versione 0.62 (DEFT 7.1) diversi plugin • log2timeline-sift: cmdline tool che cerca di automatizzare il mounting delle evidenze e il parsing Friday, March 30, 2012
  • 16. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: metadati e plugin • altiris 0.1 Parse the content of an XeXAMInventory or AeXProcessList log file • analog_cache 0.1 Parse the content of an Analog cache file • apache2_access 0.3 Parse the content of a Apache2 access log file • apache2_error 0.2 Parse the content of a Apache2 error log file • chrome 0.3 Parse the content of a Chrome history file • encase_dirlisting 0.2 Parse the content of a CSV file that is exported from Encase (dirlist) • evt 0.2 Parse the content of a Windows 2k/XP/2k3 Event Log • evtx 0.5 Parse the content of a Windows Event Log File (EVTX) • exif 0.4 Extract metadata information from files using ExifTool • ff_bookmark 0.3 Parse the content of a Firefox bookmark file • ff_cache 0.2 Parse the content of a Firefox _CACHE_00[123]_ file • firefox2 0.3 Parse the content of a Firefox 2 browser history • firefox3 0.8 Parse the content of a Firefox 3 history file • ftk_dirlisting 0.3 Parse the content of a CSV file that is exported from FTK Imager (dirlist) • generic_linux 0.3 Parse content of Generic Linux logs that start with MMM DD HH:MM:SS Friday, March 30, 2012
  • 17. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: metadati e plugin • iehistory 0.8 Parse the content of an index.dat file containg IE history • iis 0.5 Parse the content of a IIS W3C log file • ibsatxt 0.4 Parse the content of a ISA text export log file • jp_ntfs_change 0.1 Parse the content of a CSV output file from JP (NTFS Change log) • l2t_csv 0.1 Parse the content of a body file in the l2t CSV format • mactime 0.6 Parse the content of a body file in the mactime format • mcafee 0.3 Parse the content of log files from McAfee AV engine • mcafeefireup 0.1 Parse the content of an XeXAMInventory or AeXProcessList log file • mcafeehel 0.1 Parse the content of a McAfee HIPS event.log file • mcafeehs 0.1 Parse the content of a McAfee HIPShield log file • mft 0.1 Parse the content of a NTFS MFT file • mssql_errlog 0.2 Parse the content of an ERRORLOG file produced by MS SQL server • ntuser 1.0 Parses the NTUSER.DAT registry file • openvpn 0.1 Parse the content of an openVPN log file • opera 0.2 Parse the content of an Opera's global history file Friday, March 30, 2012
  • 18. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: metadati e plugin • oxml 0.4 Parse the content of an OpenXML document (Office 2007 documents) • pcap 0.5 Parse the content of a PCAP file • pdf 0.3 Parse some of the available PDF document metadata • prefetch 0.7 Parse the content of the Prefetch directory • proftpd_xferlog 0.1 Parse the content of a ProFTPd xferlog log file • recycler 0.6 Parse the content of the recycle bin directory • restore 0.9 Parse the content of the restore point directory • safari 0.3 Parse the contents of a Safari History.plist file • sam 0.1 Parses the SAM registry file • security 0.1 Parses the SECURITY registry file • setupapi 0.5 Parse the content of the SetupAPI log file in Windows XP • skype_sql 0.1 Parse the content of a Skype database • software 0.1 Parses the SOFTWARE registry file • sol 0.5 Parse the content of a .sol (LSO) or a Flash cookie file Friday, March 30, 2012
  • 19. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: metadati e plugin • squid 0.5 Parse the content of a Squid access log (http_emulate off) • symantec 0.1 Parse the content of a Symantec log file • syslog 0.2 Parse the content of a Linux Syslog log file • system 0.1 Parses the SYSTEM registry file • tln 0.5 Parse the content of a body file in the TLN format • volatility 0.2 Parse the content of aVolatility output files (psscan2, sockscan2, ...) • win_link 0.7 Parse the content of a Windows shortcut file (or a link file) • wmiprov 0.2 Parse the content of the wmiprov log file • xpfirewall 0.4 Parse the content of a XP Firewall log Esistono software commerciali equivalenti? :-) © Friday, March 30, 2012
  • 20. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: moduli e liste ! Friday, March 30, 2012
  • 21. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Supertimeline: output ! • Useremo CSV perchè veloce da gestire e ideale per integrare le diverse fonti di dati/metadati Friday, March 30, 2012
  • 22. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Monto il disco in modalità read only • Importanti i parametri speciali per file di sistema e ADS: • show_sys_files • streams_interface=windows mount -o ro,show_sys_files,streams_interface=windows /dev/sda1 mnt/c Montiamo il disco in readonly Friday, March 30, 2012
  • 23. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Montiamo l’immagne in readonly • Diversi tipi di immagini: raw, split raw, aff, split aff, ewf, split ewf • Possibile operare anche su dischi fisici • Si possono montare tutti i tipi di immagini usati nella computer forensics o i dischi tramite i seguenti tool: • affuse (raw, split raw) • xmount (raw, split raw, aff, ewf) • mount [-o loop] (raw) • mount_ewf.py [ewf] mount -o ro,loop,show_sys_files,offset=$((512*63)) / mnt/raw/nps-2009-domexusers.dd /mnt/c Friday, March 30, 2012
  • 24. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Si notano alcuni file di metadati NTFS ($Boot, $MFTMirr, etc...) • Alcuni metafile non si vedono ma si possono accedere direttamente ($MFT, $UsnJrnl:$J) e potranno servirci Alcuni strani file... Friday, March 30, 2012
  • 25. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Uso regripper per identificare Sistema Operativo e timezone • Utile nel caso in cui il preprocessor di log2timeline fallisse la detection e quindi la scelta dei moduli/plugin cd /opt/regripper ./rip.pl -r /mnt/c/WINDOWS/system32/config/software -p winver ./rip.pl -r /mnt/c/WINDOWS/system32/config/system -p timezone Identifico versione di OS Friday, March 30, 2012
  • 26. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • A volte utile usare parametri “-p” e “-f winxp” • l2t_process può filtrare per keyword (blacklist/ whitelist), timestomping (MFT con millisecondi a 0), date o evidenziare scostamenti time/ number MFT tramite scatter plot della cartella /windows/system32 log2timeline -r -z Europe/Rome /mnt/c/ -m C: -w c-log2t.csv cat c-log2t.csv > supertimeline-unsorted.csv l2t_process -i -b supertimeline-unsorted.csv -y > supertimeline.csv Supertimeline dei file presenti Friday, March 30, 2012
  • 27. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Utile se non si ha tempo di fare timeline/supertimeline • log2timeline ultima versione lo elabora in automatico • Si può elaborare in laboratorio con diversi tool, compreso log2timeline • Se non si ha tempo di usare fls/autopsy, acquisire MFT e parsificare in laboratorio cat -c /mnt/c/$MFT > mft.bin (oppure) icat -o 63 /dev/sda 0 > mft.bin Esporto $MFT per il laboratorio Friday, March 30, 2012
  • 28. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Se il journaling è attivo, il file contiene timestamp di creazione, modifica e cancellazione dei file presenti sul disco • Si può elaborare in laboratorio con diversi tool, commerciali e non e integrare tramite apposito plugin nella supertimeline cat /mnt/c/$Extend/$UsnJrnl:$J > usnjrnl.bin Esporto journal NTFS Friday, March 30, 2012
  • 29. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Si recupero tutti i file con struttura nota cancellati • Operazione in genere lunga, da fare in laboratorio • Tutti e tre i tool supportano custom config • Scalpel e Foremost supportano custom config più avanzato • Disponibile GUI (Menu’ > DEFT > Carving Tools > Hb4most) cd carving photorec /dev/sda vi /etc/foremost.conf foremost -o carving -i /dev/sda vi /opt/hb4/scalpel.conf scalpel -v /opt/hb4/scalpel.conf -o carving -i /dev/sda Carving e recupero dati Friday, March 30, 2012
  • 30. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it • Prassi poco nota ma dagli ottimi risultati • Estrarre tramite carving e applicare log2timeline su quanto ricuperato • Verranno parsificati registro, eventi, immagini, documenti, link, navigazione Internet e molti altri metadati che altrimenti non sarebbero stati inclusi nella supertimeline log2timeline -r -z Europe/Rome ./carving -m C: -w c-log2t-carve.csv cat *.csv > supertimeline-unsorted.csv l2t_process -i -b supertimeline-unsorted.csv -y > supertimeline.csv Dr. Paolo Dal Checco - paolo@dalchecco.it Integrazione nella supertimeline Friday, March 30, 2012
  • 31. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: documenti office • 10/29/2008,09:15:00,PST8PDT,MACB,OXM L,Open XML Metadata,created,domex1,-,, - Application: Microsoft Office Word - AppVersion: 12.0000,2 […] 10/29/2008,09:15:00,PST8PDT,MACB,OXML,O pen XML Metadata,modified,domex1,-,, - Application: Microsoft Office Word - AppVersion: 12.0000,2 […] Friday, March 30, 2012
  • 32. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: Windows lnk • 09/18/2008,09:44:24,PST8PDT,.A..,LNK,Shortcu t LNK,Access,-,-,C:/Program Files/Google/ Picasa3/Picasa3.exe […] 09/18/2008,09:44:24,PST8PDT,..CB,LNK,Shortcut LNK,Created,-,-,C:/Program Files/Google/Picasa3/ Picasa3.exe […] 10/21/2008,08:11:48,PST8PDT,M...,LNK,Shortcut LNK,Modified,-,-,C:/Program Files/Google/Picasa3/ Picasa3.exe […] Friday, March 30, 2012
  • 33. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: Navigazione web • 10/20/2008,15:42:24,PST8PDT,.ACB,WEBHIST, Internet Explorer,time1,Administrator,-,visited http://www.google.com/search? hl=en&q=pidgin&aq=f […] 10/20/2008,15:42:55,PST8PDT,M...,WEBHIST,Inter net Explorer,time2,Administrator,-,visited http:// sourceforge.net/project/downloading.php? groupname=pidgin&filename=pidgin-2.5.2.exe&use _mirror=internap […] Friday, March 30, 2012
  • 34. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: Filesystem • 10/21/2008,11:13:04,PST8PDT,.A..,FILE, NTFS $MFT,$FN [.A..] time,-,-,C:/ Documents and Settings/All Users/ Documents/pidgin-2.5.2.exe […] 10/21/2008,11:04:08,PST8PDT,.A..,FILE,NT FS $MFT,$FN [.A..] time,-,-,C:/Documents and Settings/All Users/Documents/ Thunderbird Setup 2.0.0.17.exe […] Friday, March 30, 2012
  • 35. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: Esecuzione programmi • 10/29/2008,19:44:34,,MACB,REG,UserAssist key,Time of Launch,domex2,REALISTIC_XP,UEME_RUNPA TH:C:/Program Files/Mozilla Thunderbird/ thunderbird.exe, [Count: 2] […] 10/30/2008,00:50:43,PST8PDT,MACB,PRE,XP Prefetch,Last run,-,REALISTIC_XP,AIM6.EXE-34DC5725.pf: AIM6.EXE was executed,AIM6.EXE-34DC5725.pf - [AIM6.EXE] was executed - run count [5] […] Friday, March 30, 2012
  • 36. DEFTCON 2012 - Torino Dr. Paolo Dal Checco - paolo@dalchecco.it Esempio: Avvio e spegnimento PC Friday, March 30, 2012