IISFA Memberbook 2009 DIGITAL FORENSICS: Condivisione della conoscenza tra i membri dell'IISFA ITALIAN CHAPTER (Italian Edition) by Gerardo Costabile & Antonino Attanasio

autore:Gerardo Costabile & Antonino Attanasio
La lingua: ita
Format: azw3, epub
Tags: Computer Forensics
editore: IISFA Italian Chapter
pubblicato: 2014-03-08T08:00:00+00:00

* * *

Il log di win32dd appare molto più completo. Anche win32dd rileva correttamente il SO e la quantità di memoria da acquisire. Si vede inoltre come il programma si preoccupi di applicare un hash SHA-1 e di dichiarare che sarà utilizzato il metodo \Device\ PhysicalMemory per accedere alla memoria fisica, ma leggendo 4096 bytes alla volta impiega 20314 sec.

Nei log successivi si vede il miglioramento in termini di tempo facendo una semplice modifica: invece di leggere dalla RAM e scrivere sul file di output la stessa quantità di memoria, si è introdotto un buffer intermedio di 1 MB che sarà di volta in volta riversato sull’output. Questa miglioria permette di salvaguardare la qualità della memoria acquisita e migliorare le performance complessive come si vede dalla parte dei log sotto riportati:

Acquisition started at: [2/8/2009 (DD/MM/YYYY) 16:54:20 (UTC)]

Processing....Done.

Acquisition finished at: [2/8/2009 (DD/MM/YYYY) 17:0:50 (UTC)]

Time elapsed: 6:29 minutes:seconds (389 secs)

Possiamo sfruttare il confronto prima fatto per approfondire altri elementi da tenere in considerazione.

Un primo elemento è l’utilizzo della riga di comando per avviare lo strumento: per quanto una GUI possa semplificare lo svolgimento di un’attività, in questo contesto potrebbe essere problematica.

Tale problema è stato trattato molto bene nell’articolo di Sutherland, Evans, Tryfonas e Blyth intitolato Acquiring Volatile Operating System Data Tools and Techniques a cui si rimanda sia per approfondire il discorso e sia perché si presenta una metodologia (con citazione degli strumenti utilizzati) per calcolare il footprint di uno strumento di acquisizione della memoria. Gli elementi principali su cui i ricercatori hanno valutato l’impatto dello strumento sul sistema sono:

- la quantità di memoria richiesta dallo strumento;

- l’impatto dello strumento sul registro di sistema;

- l’impatto dello strumento sul file system;

- l’uso di DLL presenti sul sistema.

Un paragrafo di questo articolo è dedicato proprio all’impatto che uno strumento utilizzabile da GUI ha sui registri di sistema: un tool che non permetta di utilizzare la riga di comando dovrebbe essere utilizzato con molta cautela.

Un esempio tra gli altri è la nuova versione di Helix 3 Pro. Dal punto di vista del metodo utilizzato per acquisire la RAM non sono state rilasciate specifiche, per cui non è chiaro se l’acquisizione continua a basarsi sul metodo \Device\PhysicalMemory [4] come nelle precedenti versioni distribuite liberamente, oppure se siano state introdotte novità sostanziali. L’elemento problematico nell’uso di Helix3 Pro (Windows Side) per l’acquisizione della RAM, a parimenti dell’acquisizione dei dischi, consiste nel fatto che non dispone di uno strumento a linea di comando per cui occorre necessariamente avviare il programma da interfaccia grafica. Di fatto sembra strano che il team di sviluppo non abbia riflettuto su questo aspetto sostanziale, per poi preoccuparsi a completamento dell’acquisizione di produrre non solo i log ma pure un file pdf contente il modello (compilato con i dati immessi nella GUI) della catena di custodia.

Se si vuole utilizzare un LiveCD per svolgere l’acquisizione della RAM è consigliabile l’uso dell’ultima versione di Deft che ha aggiunto tutta una sezione di programmi per Windows, chiamata Deft Extra, che è scaricabile anche come parte a sé stante.

scaricare

Disconoscimento:
Questo sito non memorizza alcun file sul suo server. Abbiamo solo indice e link                                                  contenuto fornito da altri siti. Contatta i fornitori di contenuti per rimuovere eventuali contenuti di copyright e inviaci un'email. Cancelleremo immediatamente i collegamenti o il contenuto pertinenti.