Archivi tag: dart

Corso di Computer Forensics e Indagini Digitali a Torino

Per chi fosse interessato alla computer forensics e digital forensics, durante i giorni di venerdì 14, 21, 28 Ottobre e venerdì 4 Novembre 2016 si terrà il corso sulle attività d’informatica forense e investigazioni digitali.

Corso di Computer Forensics a Torino

Il corso di digital forensics su informatica forense e indagini digitali che si terrà a Torino tra ottobre e novembre 2016 fornirà agli allievi le conoscenze principali dell’informatica forense, mettendo in evidenza sia gli aspetti tecnologici che quelli giuridici attinenti alla prova digitale in ambito d’informatica forense, elementi necessari per le attività di perizia informatica svolta dai consulenti informatici forensi. Durante il corso verrà  illustrato l’utilizzo dei sistemi DEFT e DART, utilizzati quotidianamente da Consulenti Tecnici Forensi e Forze dell’Ordine, per attività digital forensics e incident response su computer e dispositivi mobili.

Si partirà dalle basi della digital forensics, analizzando le metodologie di base impiegate dagli operatori per attività di recupero dati o ricostruzione delle attività svolte sul PC, fino ad arrivare ad illustrare le più sofisticate tecniche di acquisizione forense di evidenze digitali e recupero dati da cellulari, smartphone e tablet mediante sistemi di mobile forensics, oltre che acquisizione e analisi del traffico di rete tramite tecniche di network forensics. Seguiranno nozioni sulle tecniche di analisi, elaborazione, reportistica e relazione tecnica che fanno parte di un corretto processo di perizia informatica prodotta da consulenti informatici forensi specializzati in informatica forense.

Il corso sull’informatica forense e investigazioni digitali che si terrà a Torino è articolato in 4 giornate sia teoriche sia pratico operative sulla digital forensics, con l’ultima giornata che sarà effettuata presso un vero laboratorio d’informatica forense permettendo un approccio strettamente procedurale.

Il dettaglio del programma del corso di Computer Forensics e Acquisizione/Analisi della Prova Digitale è il seguente:

Giorno 1

  • Introduzione alle problematiche di computer forensics
  • Le fasi dell’accertamento forense su dati digitali
  • Princìpi, preparazione, precauzioni e utilizzo dei sistemi live
  • Introduzione al sistema DEFT e DART
  • Utilizzo di DEFT con i principali OS e filesystem
  • Tipologie di acquisizione forense e formati
  • Attività di preview e triage sicuro con DEFT
  • Acquisizione di memorie di massa
  • Acquisizione di memoria volatile
  • Cenni su acquisizione di smartphone

Giorno 2

  • Verifica e apertura delle immagini forensi
  • Virtualizzazione delle immagini
  • Recupero dei dati cancellati
  • Analisi dei metadati
  • Ricostruzione delle attività tramite timeline e supertimeline
  • Rilevamento di compromissioni
  • Analisi delle periferiche USB utilizzate
  • Analisi dei documenti aperti e utilizzati
  • Estrazione di evidenze tramite Bulk Extractor e Autopsy

Giorno 3

  • Riepilogo su metodologie e strumenti di acquisizione
  • Acquisizione di memorie di massa via rete
  • Acquisizione di dispositivi iOS
  • Acquisizione di dispositivi Android
  • Analisi di file pList e database SQLite

Giorno 4

  • Introduzione a DART
  • Panoramica degli strumenti presenti in DART
  • Utilizzo di DART in DEFT
  • Incident response
  • Cracking di password e creazione di dizionari
  • Network forensics
  • Gestione di un incidente informatico
  • Riepilogo degli argomenti

Per informazioni sui costi, sconti di pre-iscrizione, contatti o registrazione al corso di digital forensics e informatica forense, per l’edizione in corso e quelle successive, potete contattare lo Studio agli indirizzi indicati nella pagina contatti.

Nuovo sito per DEFT Linux e l’Associazione DEFTA

Nuovo sito per DEFT LinuxOggi il sito DEFT ha cambiato volto: è stato rinnovato nella grafica e nei contenuti per poter stare al passo con gli aggiornamenti che nel campo della Computer Forensics si fanno sempre più fitti e rilevanti. Oltre ad aggiornare e potenziare la suite di strumenti di indagine digitale DEFT e DART, lo staff DEFT (potete vederli in volto a questo link, ci sono anche io!) cercherà di informare gli affezionati utilizzatori e i nuovi followers sulle novità che ha portato la creazione dell’Associazione no-profit DEFT, nota anche come DEFTA.

Continua a leggere

DEFT Linux 8 - Download

Download di DEFT Linux 8 e DART 2

Dopo circa due settimane di test della versione DEFT 8 public beta, abbiamo pubblicato per il download la ISO di DEFT 8 in versione final stable, che ora include anche DART 2 e può essere masterizzato su DVDROM o utilizzato per creare Live USB.

DEFT Linux 8 - Download

Potete scaricare DEFT 8 Linux con incluso DART – la suite di strumenti per analisi forense e incident response – e verificarne il valore hash con il seguente: fcedb54176de7a3018adfa7571a3a626. Per calcolare il valore hash MD5 del download di DEFT 8 potete utilizzare diversi tool: ad esempio md5summer o HashMyFiles (su Windows) o i tool a linea di comando md5sum o md5 per Linux/MacOS.

DART per analisi forense con DEFT

Una volta terminato il download di DEFT Linux, se il vostro PC non possiede un lettore di DVD potete convertire la ISO in una Live USB per poter utilizzare DEFT su penna USB tramite tool come Universal USB Installer o UnetBootIn. Per masterizzare la ISO su DVD è invece sufficiente utilizzare programmi di masterizzazione come ImgBurn o InfraRecorder (su Windows) oppure K3B (su Linux) o Utility Disco (su Mac OS).

Come molti di voi sapranno, il progetto DEFT (partito come Live CD, diventato poi Live DVD e Appliance Virtuale) è stato recentemente la base per la costituzione dell’Associazione DEFT, no profit e fatta da volontari che nella vita si occupano anche di altro. Se il sistema DEFT è utile o persino indispensabile per il vostro lavoro, vi invitiamo a donare tramite Paypal un contributo per l’Associazione, che verrà utilizzato per le attività relative al progetto. Per le donazioni è disponibile un pulsante nel sito ufficiale www.deftlinux.net.

La versione in download di DEFT Linux versione 8 stable è stata verificata e i bachi più evidenti sono stati rimossi. Siccome siamo esseri umani anche parecchio impegnati nelle nostre attività lavorative, qualcosa può essere sfuggito perciò come al solito vi chiediamo di segnalare eventuali bachi o suggerimenti all’indirizzo [email protected], così da permetterci di raccogliere una lista di TODOs per la prossima release. Un caloroso ringraziamento a tutto lo staff DEFT e a chi ci ha supportato e continua a supportarci. Rimanete sintonizzati perché presto ci saranno novità in arrivo, come ad esempio:

  • il rilascio della Virtual Appliance DEFT 8 (la macchina virtuale utilizzabile su workstation tramite VMware Workstation/Player o VirtualBox cui ricordiamo si accede mediante user “root” e password “deft”);
  • il manuale utente della versione 8 di DEFT (per adesso continua comunque ad essere valido il Manuale DEFT della versione 7 pubblicato sul sito);
  • un nuovo sito aggiornato.

Enjoy! 🙂

DEFT 8 Public Beta e DART 2.0 ready for download!

Deft Linux 8Con un po’ di ritardo sulla tabella di marcia – di cui ci scusiamo come membri dell’associazione DEFT – ecco finalmente la prima beta pubblica di DEFT Linux 8 con DART 2.0 stable, ottimizzata per sistemi a 64bit! 🙂

Qui di seguito le novita’ della distribuzione DEFT 8:

  • Kernel GNU Linux a 64 bit v. 3.5.0-30 – e’ ora possibile superare il limite dei 4GB di RAM;
  • The SleuthKit 4 (la versione stabile di DEFT includera’ The SleuthKit 4.1) e Autopsy 2 – in arrivo anche Autopsy 3 su Linux (solo per Law Enforcement);
  • Digital Forensics Framework 1.3;
  • Supporto per Libewf e AFFlib;
  • Xmount e mount_ewf;
  • Guymager 0.7.1, Cyclone 0.2 ed Esximager;
  • Recoll 1.19.5, software per indicizzazione;
  • Bulk extractor 1.3.1 con Bulk extractor GUI 1.3;
  • Dumpy 0.2, uno strumento di parsing per estrarre dati strutturati dai dump (utile in particolare per quelli “anonimi”) – un ringraziamento particolare a Gianni Amato (guelfoweb) per l’esclusiva!
  • Skype extractor;
  • Log2timeline 0.65;
  • iPBA 2 e Lib iMobile device 1.1.5 (pieno supporto per iOS 6.*);
  • Fastboot – re-flash Android partition tool;
  • Google Chrome Open Source INTelligence browser e TOR;
  • Maltego Radium (ci scusiamo ma c’e’ ancora un problema per la risoluzione del quale stiamo collaborando con il supporto Paterva);
  • Xplico 1.0.1 e CapAnalysis.

Rammentiamo che questa e’ una public beta release, gia’ ampiamente testata e sistemata internamente ma per la quale vi chiediamo la collaborazione nel caso in cui troviate bug, scrivendoci a [email protected]. Contiamo di rilasciare la ISO finale, con incluso DART 2 e la Virtual Appliance, entro la meta’ di luglio.

Potete scaricare DEFT 8 public beta [link rimosso perché obsoleto] dal link diretto per il download e verificarne l’MD5 con il valore seguente: 7a7613d4673e949f9871347efab6e15e.

Suite di strumenti di Incident Response DART presente in DEFT Linux

DART 2.0 (la suite di strumenti per informatica forense utilizzabile su sistemi Windows) e’ stato completamente riscritto con le seguenti novità:

  • Motore di ricerca delle applicazioni stile Spotlight;
  • Nuovo motore di reporting e auditing;
  • Possibilita’ di eseguire le applicazioni come Amministratore, quando e se necessario;
  • Possibilita’ di spostarsi direttmaente nel path dell’applicazione;
  • Possibilita’ di copiare nella clipboard l’hash di dart.xml.

Potete scaricare DART 2.0 dal link diretto per il download e verificarne l’integrità con il seguente MD5: 630291049bc52cbd7e5c7e56e669078a.

DART 2.0 contiene le seguenti applicazioni:

TCHunt 1.5 (GUI), TCHunt 1.6 (CLI), FTK Imager Lite, FTK Imager CLI (Win, Linux, Mac), CamStudio, ConCon Retriever, Cygwin coreutils, dcfldd, dcfldd (per Windows), Belkasoft Ram Capturer 32/64, Search my files, FAU x86/x64, FAU x86 e x64, HDDRawCopy, fmem, FastCopy 32/64, trid / trid Linux, TrIDnet, md5deep e hashdeep for Windows, HxD, MouseJiggle, MediaPlayerClassic (x86/x64), NetSetMan, Access PassView, AlternateStreamView, AppCrashView, AsterWin IE, AdapterWatch, BlueScreenView, BluetoothView, BrowsingHistoryView, BulletsPassView, ChromeCacheView, ChromeCookiesView, ChromeHistoryView, ChromePass, LastActivityView, CurrPorts, CurrProcess, DevManView, Dialupass, DiskCountersView, DiskSmartView, DriveLetterView, Enterprise Manager PassView, ESEDatabaseView, ExifDataView, FavoritesView, FirefoxDownloadsView, FlashCookiesView, FoldersReport, HashMyFiles, HTTPNetworkSniffer, IECacheView, IECookiesView, IEHistoryView, InsideClipboard, InstalledCodec, IE PassView, JumpListsView, LiveContactsView, LSASecretsDump, LSASecretsView, Mail PassView, MIMEView, MozillaCacheView, MozillaHistoryView, MessenPass, MUICacheView, MyEventViewer, MyLastSearch, MozillaCookiesView, NetBScanner, NetResView, NetworkInterfacesView, Network Password Recovery, NetRouteView, NetworkTrafficView, NTFSLinksView, OpenedFilesView, OperaCacheView, OperaPassView, OutlookAddressBookView, OutlookAttachView, OutlookStatView, Password Security Scanner, SniffPass, PasswordFox, PCAnywhere PassView, ProcessActivityView, ProcessThreadsView, Protected Storage PassView, PstPassword, RecentFilesView, RegScanner, Remote Desktop PassView, RouterPassView, SafariCacheView, SafariHistoryView, SearchMyFiles, ServiWin, ShellBagsView, SkypeLogView, SmartSniff, SocketSniff, URLStringGrabber, USBDeview, UserProfilesView, UserAssistView, VideoCacheView, VNCPassView, WebBrowserPassView, WebCookiesSniffer, WhatInStartup, WifiInfoView, WinPrefetchView, Win9x PassView, WinLister, WirelessKeyView, WirelessNetView, Wireless Network Watcher, BFT, Pzen Dump, Orion Browser Dumper, Phrozen Password Revealer, On-screen keyboard, Notepad++ (with ToolBucket, XMLtools, CompareUni, Hexeditor Uni e LightExplorerUni), XnView, VLC Portable, SumatraPDF, 7zip, ClamWin, Eraser Portable, InfraRecorder, QCC FragView, QCC Gigaview, QCC VideoTriage, Browser History Spy, SecurityXploded SpyDLLRemover, SecurityXploded PasswordSuite, Proc Net Monitor, eCryptfs Parser (Win e Lin), MDD, Quick Hask (win e lin), RHash, The Sleuth Kit (win32), SQLite Database Browser, USB History Dump, SSDeep, Nigilant32, AlexNolan DriveMan, ICESword, ash368 Lime Juicer, ash368 LimeWire Library Parser v4 e v5, ash368 VW7, ash368 Props, ash368 Thumo, testdisk/photorec Win/Lin/Mac x86/x64, EMFSpoolViewer, System Scaner, Teracopy Portable, CyberMarshal eMule Reader, CyberMarshal Mac Memory Reader, CyberMarshal Windows Memory Reader, Database Browser, DeepBurner, Mail-Cure for Outlook Express, MetMedic, FastStone Viewer, Windows Forensic Toolchest, Gaijin FileInfo, Gaijin Historian, Gaijin StreamFinder, Gaijin Emule MET viewer, Gaijin Registry Report, Gaijin USB WriteProtector, Gaijin WipeDisk, Gaijin ConTools, Gaijin Spartacus, Gsplit, GMER, HWiNFO 32 + HWINFO Dos, JPEGsnoop, Jam-Software Treesize, Jam-Software UltraSearch, Advanced Password Recovery, Universal Extractor, Mandiant IOC Finder, Mandiant Memoryze Mac, Mandiant Memoryze, Harvester, md5summer, Mitec Internet History Browser, Mitec Instant Messaging History Browser, Mitec Mail Viewer, MiTec Structured Storage Viewer, Mitec Windows File Analyzer, Mitec Windows Registry Rescue, Neuber PC On/Off Time, Neuber Svchost Process Analyzer, TurnedOnTimesView, TcpLogView, AviScreen, WinAudit Unicode, Screeny, FileAlyzer 2, FileAlyzer e FoldAlyzer, Sanderson OLEDeconstruct, Sanderson Forensic Copy, Sanderson List Codecs, Sanderson Forensic Image Viewer, OTFE Volume File Finder, SDHash, ShadowExplorer, FSV Thumbs Extractor, Lnkexaminer, Vidpreview, sleuthkit win32, LAN Search Pro 32, Network Scanner 32, Don’t Sleep, Photostudio, ltfviewer, index.dat Analyzer, ProDiscover Basic Free, ZeroView, TightVNC, ScoopyNG, Tuluka, Undelete 360, SPLViewer, Universal Viewer Free, GRR client Win32/64 OSX, tr3secure, Registry Decoder Live, RegRipper Plugin, RegRipper + RegRipperXP, simple-file-parser, mac-ir, RootRepeal, BlackBag IOReg Info, BlackBag PMAP Info, Mandiant Heap Inspector 32/64, DNSQuerySniffer, pre-search, linux_86, solaris 2.7

Enjoy it! 🙂