Condizioni d'uso, diritti d'autore, disclaimer e commenti. Leggi il regolamento >>

OSForensics: analizzare, controllare e recuperare dati e password di un computer

sabato 16 luglio 2011


L'informatica forense è la scienza che analizza e studia la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento di dati relativi all’informatica, per riuscire a recuperare prove certe con il fine di presentarle in Tribunale.


Premessa
OSForensics è un nuovo software in fase beta, e per il momento gratuito, che può essere utilizzato per estrapolare delle informazioni di particolare rilevanza dai computer.

OSForensics offre la possibilità di recuperare dati. Bisogna prestare molta attenzione, però, a non installare il software sullo stesso disco fisso da cui si desidera recuperarli in quanto verrebbe compromesso il loro ripristino.

Per installare OSForensics su una chiavetta USB è necessario installarlo prima su un computer che NON deve essere controllato, avviarlo e cliccare sulla voce “Install to USB”. Basterà, quindi, selezionare il percorso dell’unità rimovibile e cliccare sul pulsante “Install”.

Nuovo “caso” e salvataggio dati
Terminata l’installazione è possibile creare un nuovo “caso” cliccando sull’icona “Create case”. In questo modo, tutte le informazioni che verranno raccolte durante l’analisi di uno specifico computer, verranno salvate in locale (opzione Default location) oppure su altri supporti (Custom location).

Le funzionalità più interessanti
“File name search”: il software individua qualsiasi elemento basato sul nome o porzione di esso.

“Create index”: genera un database contenente le informazioni di tutti i files presenti nel disco fisso per effettuare ricerche velocissime sul contenuto di qualsiasi tipologia di file.

Agendo sul pulsante “Advanced options”, i più smanettoni, hanno la possibilità di personalizzare tutte le preferenze di ricerca ed attivare inoltre lo “stemming” che, in pratica, è la ricerca di parole somiglianti a quelle specificate. Per avviare la ricerca è sufficiente spostarsi nella sezione “Search index”.

“Recent activity”: il programma raccoglie informazioni su tutte le attività svolte ultimamente dall’utente elencando ad esempio gli ultimi files aperti, i cookie ricevuti, le applicazioni eseguite ed altro ancora.

“Deleted files search”: cerca i files eliminati dal disco fisso e ne tenta il recupero. Cliccando due volte il mouse sul file, viene visualizzato il contenuto o l’anteprima dell’elemento prima di eseguirne il ripristino.

“Mismatch file search”: individua i files che contengono un’estensione diversa da quella corretta come, ad esempio, un file compresso nascosto da immagine in formato JPEG (il file ha estensione JPG ma, in realtà, è un file RAR).

“Create drive image”: consente di creare l’immagine del contenuto del disco fisso sia di singole partizioni ed intere unità che potrà essere montata utilizzando la funzionalità “Mount drive image”.

OSForensics permette anche di recuperare le password salvate nei browser nonché di decifrare files protetti mediante due tipi di attacchi:

  • “Brute force”: vengono provate tutte le password possibili fino a quando viene trovata quella corretta;
  • “Rainbow tables”: sono tabelle di hash precompilate ma che non funzionano se le password superano i 12 caratteri.


A questa pagina del sito ufficiale trovate alcune “Rainbow tables” preimpostate che consentono di trovare password alfanumeriche della lunghezza massima di 7 caratteri.

Il contenuto dei files compressi deve essere estratto nella cartella “RainbowTables”, di OSForensic, che si trova nei seguenti percorsi:

Windows XP
C:\Documents and Settings\All Users\Application Data\PassMark\OSForensics\RainbowTables


Windows Vista e Windows 7
C:\ProgramData\PassMark\OSForensics\RainbowTables

Conclusioni
OSForensics è un programma eccezionale con cui è possibile analizzare a fondo le attività svolte nel computer. Essendo in fase beta, per il momento, OSForensics è disponibile gratuitamente ma è molto probabile che diventi presto a pagamento.
Suggerisco, a chi fosse interessato, di scaricare questo ottimo programma al fine di poterlo avere sempre disponibile.

OSForensics beta

"Consigliamo, prima di utilizzare software che potrebbero modificare la configurazione del sistema operativo, di creare un’immagine del disco fisso ed eseguire un backup dei dati"

Nessun commento:

Posta un commento

L'archivio di TechnoGeek