Cookie Policy Questo sito utilizza cookies. Continuando nella navigazione acconsenti all'uso dei cookies.

Continua Scopri di piu

Reality Net System Solutions

Analisi Live di un sistema Windows con Helix

Helix è una distribuzione Linux per l’analisi forense che comprende anche un’interfaccia applicativa per un’analisi Live di un ambiente Windows. Questa soluzione è utile qualora sia necessario acquisire informazioni che andrebbero perse una volta spento il sistema (es. contenuto della RAM, processi attivi, ecc.).

In Helix è presente l’applicativo Windows Helix.exe che viene avviato automaticamente all’inserimento del CD. Il suo funzionamento è stato testato in Windows 98Se, Windows NT4, Windows 2000, Windows XP, Windows 2003 e Windows Vista. àˆ importante notare che l’esecuzione dell’applicativo in un sistema acceso ne modifica lo stato, poiché richiede l’utilizzo di alcune DLL di sistema e di un certo quantitativo di spazio all’interno della RAM.

La scelta di non includere le DLL all’interno del CD dipende dalla diversità  a seconda della versione del sistema operativo.

L’utilizzo di questa soluzione è ideale sia per non perdere i dati volatili sia per estrarre le informazioni da un sistema che non può essere spento (come un server aziendale, uno strumento di videosorveglianza, un dispositivo medicale, ecc.).

Di seguito trovate una breve guida alla principali funzionalità  e applicativi della distribuzione Helix 2.0.

AVVIO DI HELIX

  • Appena inserito il CD (se nel sistema è attivo l’Autorun) compare una schermata che avvisa l’investigatore che l’esecuzione del programma comporta una modifica al sistema attivo. Selezionare la lingua desiderata (nell’esempio Italiano) e fare clic sul tasto “Accettare

  • Viene caricata la schermata principale del programma

  • Helix fornisce un’icona nella tray bar per ridimensionare e chiudere il programma

ANTEPRIMA INFORMAZIONI DI SISTEMA

Dalla schermata principale. facendo clic su “Anteprima informazioni di sistema” sono visualizzate le informazioni principali del sistema (versione del sistema operativo, informazioni di rete, informazioni sul proprietario e dispositivi collegati al sistema)

Alcune informazioni utili contenute in questa schermata sono:

  • Admin: dice se l’utente attualmente loggato è l’amministratore
  • Admin rights: dice se l’utente attuale possiede i privilegi da amministratore
  • NIC: riporta il MAC Address della scheda di rete
  • IP: indirizzo IP corrente della macchina

Facendo clic sulla freccia arancione si accede alla seconda pagina di informazioni, che contiene la lista dei processi attivi

Facendo doppio clic su un processo è possibile forzarne la terminazione. àˆ necessario prestare la massima attenzione nell’eseguire questa operazione, poiché chiudere il processo sbagliato può compromettere il sistema e causare la perdita di informazioni importanti.

L’esecuzione dal CD garantisce l’integrità  delle informazioni visualizzati. L’utilizzo del Task Manager del sistema operativo non è opportuna, poiché potrebbe essere stato modificato da rootkit o virus.

ACQUISIZIONE

Dalla schermata principale facendo clic su “Acquisici un’immagine Live” si accede agli strumenti per l’acquisizione di dispositivi collegati alla macchina.

Helix mette a disposizione principalmente due programmi per l’acquisizione:

  • dd per Windows
  • Access Data FTK Imager

Con dd per Windows è possibile acquisire sia il contenuto della RAM sia uno dei dispositivi collegati al computer.

Nel campo sorgente è presente la lista di tutti i drive presenti nel sistema, oltre alla memoria fisica. La destinazione può essere sia un disco esterno locale sia un disco di rete. Il nome del file può essere scelto dall’utente e ha estensione standard .dd

àˆ possibile dividere l’immagine in più files, per consentirne l’esportazione e archiviazione su formati ottici (es. CD o DVD).

Una volta terminata l’acquisizione, ci saranno 3 files nella cartella di destinazione:

  • Image_Name.dd: l’immagine del disco
  • Image_Name.dd.md5: file di testo contenente l’MD5 del file immagine
  • Audit.log: lista dei comandi eseguiti e degli output ottenuti

Facendo clic sul tasto Acquire si avvia una finestra DOS, dalla quale si può lanciare il comando incollandolo (tasto destro PASTE o CTRL+V).

Facendo clic sulla freccia arancione si accede alla pagina per l’esecuzione di FTK Imager

INCIDENT RESPONSE

Dalla schermata principale facendo clic su “Strumenti di Incident Response” si accede a strumenti eseguiti direttamente dal CD di Helix.

àˆ composto da 3 pagine, cui si può accedere tramite la freccia arancione nella tool bar di sinistra.

I programmi di Incident Response inclusi in Helix sono:

  • Windows Forensics Toolchest (WFT)
  • First Responder Utility (FRU)
  • Incident Response Collection Report (IRCR2)
  • Agile Risk Management’s Nigliant 32
  • MD5 Generator
  • Command Shell
  • File Recovery
  • Rootkit Revealer
  • VNC Server
  • Putty SSH
  • Screen Capture
  • Win Audit
  • PC ON/OFF Time
  • PST Password Viewer
  • Mail Password View
  • Messenger Password
  • Network Password Viewer
  • Protected Storage Viewer
  • Asterisk Logger
  • IE History Viewer
  • Mozilla Cookie Viewer
  • IE Cookie Viewer
  • Registry Viewer
  • IE Password Viewer
  • USB Deview

Windows Forensic Toolchest (WFT)

The Windows Forensic Toolchest è un software di analisi forense gratuito, sviluppato da Monty McDougal.

Il programma è stato sviluppato per estrarre informazioni sulla sicurezza di un sistema Windows. Si tratta di un processo batch che esegue altri tool e produce un report automatico in formato HTML. L’output prodotto può essere utile sia all’utente o all’amministratore per comprendere i problemi dalla macchina sia per un utilizzo in ambito forense. Tutte le operazioni effettuate sono loggate e viene calcolato l’hash MD5 di ogni file generato in output dai programmi eseguiti.

Una volta avviato il programma presenta una finestra in cui selezionare la cartella di destinazione del report. àˆ opportuno che i risultati siano salvati su un dispositivo rimovibile esterno (floppy o dispositivo USB) o su una cartella di rete condivisa, per minimizzare le modifiche al computer oggetto di analisi.

Una volta selezionata la cartella di destinazione, il programma richiede all’utente se vuole eseguire programmi di analisi approfondita. Questi programmi possono richiedere alcune ore per portare a termine l’analisi, a seconda della velocità  del processore e della quantità  di RAM disponibile.

Successivamente il programma richiede all’utente se vuole eseguire programmi che potrebbero scrivere informazioni sul sistema in analisi. Questi tools possono compromettere l’integrità  del sistema, quindi devono essere utilizzati con molta cautela

Il programma presenta a questo punto 2 schermate in cui inserire il nome del caso e il nome dell’investigatore

All’ultimo step il programma visualizza il comando che sarà  eseguito e richiede all’utente una conferma

Una volta confermata l’esecuizione, si apre una shell DOS dove l’utente dovrà  confermare le scelte effettuate. Premendo il tasto Inivo ad ogni richiesta si avvia l’esecuzione del programma.

Il processo può richiedere alcuni minuti o alcune ore, a seconda delle opzioni scelte.

Una volta che il processo di analisi è terminato, viene presentata nuovamente la scermata di Helix. All’interno della cartella di destinazione si trova il file index.html che contiene il report generato automaticamente. Per non apportare modifiche al sistema analizzato è opportuno aprire questo file su un altro computer.

Il report può essere navigato utilizzando i link del menu nella finestra sinistra.

Accedendo al tab LOG è possibile visualizzare l’elenco dei comandi eseguiti, molto importante nel caso in cui si debbano produrre i risultati in giudizio.

MD5 Generator

Nella seconda schermata dei tool per Incident Response c’è un programma che consente di generare la firma MD5 di un file.

Facendo clic sul tasto “” si apre una finestra in cui selezionare il file

L’utente deve a questo punto selezionare il file desiderato e fare clic sul tasto “Apri“. Viene presentata nuovamente la schermata di Helix. Per calcolare l’hash è sufficiente fare clic sul tasto “Hash“.

Command Shell

Helix include una shell di comandi forense, nel senso esegue solamente programmi noti e non modificati, inclusi nel CD.

Fornisce tutti i comandi standard, oltre alla possibilità  di eseguire da linea di comando i tool forensi presenti in Helix.

Rootkit Revealer

Questo programma gratuito consente di verificare la presenza di Rootkit tra i file del sistema analizzato.

Un rootkit è un malware che sostituisce comandi standard di Windows con programmi malevoli, con lo scopo di prendere il controllo del sistema. Le modifiche sono solitamente invisibili all’utente e comportano l’apertura di backdoors che consentono il controllo remoto del sistema per l’invio di spam, lanciare attacchi DoS o per lo scambio di file protetti da copyright. Per maggiori informazioni e approfondimenti si può fare riferimento al sito http://www.rootkit.com.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Yes” si avvia Rootkit Revealer.

Una volta avviato il programma, per eseguire la scansione è necessario fare clic sul tasto “Scan“. Il programma viene eseguito con i privilegi dell’utente connesso al sistema, quindi i risultati potrebbero non essere completi nel caso in cui l’utente non abbia i diritti di amministratore.

File Recovery

Questo tasto esegue PC Inspector File Recovey, programma freeware per il recupero di dati cancellati che supporta file system FAT12/16/32 e NTFS.

Il programma può recuperare automaticamente le informazioni sulle partizioni (anche se il settore di boot o la File Allocation Table sono stati cancellati), supporta il salvataggio dei file recuperati su una risorsa di rete, recupera i file in formato noto anche quando sono perse le informazioni dell’header (supporta ARJ, AVI, BMP, CDR, DOC, DXF, DBF, XLS, EXE, GIF, HLP, HTML, HTM, JPG, LZH, MID, MOV, MP3, PDF, PNG, RTF, TAR, TIFF, WAW, ZIP).

Il programma non funziona con hard disk che non sono riconosciuti dal BIOS o che hanno problemi di tipo meccanico.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia PC Inspector File Recovery.

Si avvia una schermata in cui è possibile selezionare la lingua desiderata (compreso l’Italiano)

Viene caricata la finestra principale del programma, in cui è possibile specificare il tipo di scansione desiderata. Si può scegliere tra:

  • Recupero di file cancellati
  • Recupero di dati persi (in seguito a formattazione o crash del sistema)
  • Recupero di parizione perse

Ogni opzione utilizza metodi di analisi del disco differenti.

Facendo clic su una delle opzioni, il programma effettua uno scan del sistema e fornisce un elenco dei drives riconosciuti.

Selezionato il drive, per avviare la scansione si deve fare clic sull’icona verde di check. In questo modo il programma analizza il supporto e fornisce i risultati in una finestra di gestione risorse.

Per recuperare un file cancellato è necessario far clic su di esso con il tasto destro e selezionare la voce “Salva in…

Le altre opzioni disponibili consentono di visualizzare le proprietà  di un file, rinominare un file e averne un’anteprima in formato testo o esadecimale.

Screen Capture

Hover Snap è un programma freeware di cattura del contenuto dello schermo che supporta i formati JPG, PNG, BMP e GIF. Può effettuare uno screenshot dello schermo intero, della finestra attiva o di un’area selezionata. I file possono essere salvati su una risorsa esterna o su un server FTP, con la possibilità  di generare nomi di file autoincrementali con la data e l’ora di acquisizione.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia Hover Snap.

Nella tray di sistema viene caricata l’icona del programma

Facendo clic sull’icona si apre la schermata principale del programma. àˆ consigliabile modificare il percorso di salvataggio degli screenshot verso una risora rimovibile esterna, per non alterare il contenuto della macchina oggetto di analisi.

Selezionando la voce “Auto-generate filename on new capture” si attiva la modalità  di salvataggio automatico, con nome del file contenente le informazioni di data e ora.

Per fotografare il contenuto dello schermo si deve premere il tasto PRINT SCREEN sulla tastiera, per fotografare la finestra corrente si deve premere ALT + PRINT SCREEN e per fotografare un’area personalizzata si deve premere CTRL + PRINT SCREEN.

Una volta acquisiti gli screenshot desiderati, è opportuno validare il loro contenuto calcolandone l’hash MD5.

Win Audit

WinAudit è un programma freeware per l’analisi dettagliata delle caratteristiche di un sistema Windows. Genera automaticamete un inventario navigabile che può essere salvato in diversi formati o inviato via e-mail.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia Win Audit.

Una volta avviato il programma, per eseguire la scansione del sistema è sufficiente fare clic sul tasto “Verifica“. Al termine della scansione viene visualizzata una schermata con le informazioni ricavate.

PC On/Off Time

Questo programma è una piccola utility che mostra il tempo di utilizzo del computer durante le ultime 3 settimane.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia PC On/Off Time.

Il programma visualizza le informazioni in automatico, senza necessità  di interazione da parte dell’utente.

 PST Password Viewer

Programma freeware sviluppato da Nir Sofer per il recupero della password di protezione di un file PST (file archivio della posta di Microsoft Outlook). Supporta i file in formato Outlook 97, Outlook 2000, Outlook XP, Outlook 2003 e Outlook 2007. Per il suo funzionamento non è necessario che sia installato Outlook sul sistema.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia PST Password Viewer.

Una volta avviato, attraverso la voce “Select PST File” si può scegliere il file PST di cui si desidera recuperare la password. Una volta scelto il programma lo analizza e riporta la password per l’apertura del file PST.

Mail Password Viewer

Programma freeware sviluppato da Nir Sofer per il recupero della password degli account di posta elettronica configurati localmente. Attualmente supporta Outlook Express, Microsoft Outlook 2000 (POP3 and SMTP Accounts), Microsoft Outlook 2002/2003/2007 (POP3, IMAP, HTTP e  SMTP Accounts), Windows Mail, Windows Live Mail, IncrediMail, Eudora, Netscape 6.x/7.x (se la password non è cifrata), Mozilla Thunderbird (se la password non è cifrata), Group Mail Free, Yahoo! Mail (se la password è salvata  in Yahoo! Messenger), Hotmail/MSN (se la password è salvata in MSN/Windows/Live Messenger), Gmail (se la password è salvata in Gmail Notifier, Google Desktop o  Google Talk).

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia  Mail Password Viewer.

Per ciascun indirizzo email trovato sono visualizzate le informazioni relative a nome dell’account, applicazione, indirizzo email, indirizzo del server, tipo di server (POP3/IMAP/SMTP), nome utente e password. Le informazioni possono essere esportate in un report HTML.

Messenger  Password

Programma freeware sviluppato da Nir Sofer per il recupero delle password di accesso ai programmi di Instant Messaging. Attualmente supporta MSN Messenger, Windows Messenger (In Windows XP), Windows Live Messenger (In Windows XP e Vista), Yahoo Messenger (Versioni 5.x  e 6.x), Google Talk, ICQ Lite 4.x/5.x/2003, AOL Instant Messenger v4.6 o inferiore, AIM 6.x e  AIM Pro, Trillian, Miranda, GAIM/Pidgin, MySpace IM, PaltalkScene, Digsby.

Può recuperare le password solo dell’utente loggato al momento dell’analisi e funziona solamente se sono attivi i meccanismi di salvataggio automatico nei programmi supportati.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia  Messenger Password.

Appena avviato il programma mostra automaticamente gli accounts e le password che è riuscito a recuperare. I dati possono essere esportati in un report in formato HTML.

Network Password Viewer

Programma freeware sviluppato da Nir Sofer per il recupero della password di accesso a risorse di rete condivise all’interno di una rete LAN. Attualmente può recuperare login e password di connessione a computer remoti della LAN, password di indirizzi email memorizzati su server Exchange, password degli account MSN/Windows/Live Messenger, password memorizzate in Internet Explorer 7/8, password memorizzate de Remote Desktop 6.

Questa utility funziona correttamente in Windows XP, Windows 2003, Windows Vista, Windows 2008 e Windows 7. Può recupare solamente le password dell’utente loggato e solo se questo possiede i privilegi di amministratore. Windows 2000 non è supportato a causa di un differente meccanismo nella memorizzazione delle password.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia  Network Password Viewer.

Una volta avviato il programma carica automaticamente le password recuperate. I dati ricavati possono essere esportati in un report in formato HTML.

Protected Storage PassView

Programma freeware sviluppato da Nir Sofer per il recupero delle passwords memorizzate nel computer da Outlook Express, Internet Explorer e MSN Explorer. Attualmente può recuperare le password dagli account di Outlook Express, i campi di auto-completamento di Internet Explorer, le password di accesso a siti protetti memorizzate in Internet Explorer e MSN Explorer.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia  Protected Storage PassView.

Una volta avviato il programma analizza l’area Protected Storage e fornisce le password in chiaro. Il programma può analizzare unicamente le password dell’utente correntemente loggato. I dati possono essere esportati in un report in formato HTML.

Asterisk Logger

Programma freeware sviluppato da Nir Sofer per il recupero delle passwords nascoste da sequenze di asterischi. Funziona con tutti i programmi che utilizzano finestre di sistema.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia  Asterisk Logger.

Una volta avviato, il programma visualizza automaticamente le password contenute nelle finestre di sistema attive.

Registry Viewer

Programma freeware sviluppato da Nir Sofer per l’analisi del registro di sistema.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia  Registry Viewer.

Consente di effettuare ricerche di stringhe e di accedere alla specifica voce del registro facendo doppio clic sul risultato visualizzato.

Facendo clic sul tasto “OK” si avvia la ricerca e i risultati sono visualizzati in una finestra separata. I risultati si possono esportare in un report in formato HTML.

USB Deview

Programma freeware sviluppato da Nir Sofer per l’analisi delle periferiche USB attualmente connesse al computer e di quelle che sono state collegate in passato.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia  USB Deview.

Appena avviato il programma viene visualizzata una lista di dipositivi collegati al computer. Per ciascuno sono estratte  alcune informazioni  come nome, descrizione, tipo,  numero di serie, data di  primo inserimento, data di ultimo inserimento. Inoltre viene riportata l’informazione se il dispositivo è attualmente collegato alla macchina. I risultati si possono esportare in un report in formato HTML.

IE History Viewer

Programma freeware sviluppato da Nir Sofer per l’analisi della crononologia di Internet Explorer. Questo programma analizza il file index.dat e riporta l’elenco di tutti gli indirizzi che sono stati visitati negli ultimi giorni.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “Si” si avvia  IE History Viewer.

Il programma analizza automaticamente il file index.dat e riporta la cronologia di navigazione. Per ogni riga sono riportati l’indirizzo, il titolo, il numero di visite e la data di ultimo accesso. I dati possono essere esportati in un report in formato HTML.

IE  Cookie Viewer

Programma freeware sviluppato da Nir Sofer per l’analisi dei cookies di Internet Explorer.

Per eseguire il programma è sufficiente fare clic sull’icona. Viene visualizzata una finestra di conferma. Facendo clic sul tasto “SI” si avvia  IE Cookie Viewer.

Una volta avviato il programma analizza tutti i cookie presenti nel sistema e per ciascuno riporta le informazioni relative a sito web, numero di visite, data di ultima visita, data di creazione e nome del file. Le informazioni possono essere ordinate ed esportate in formato HTML.

ANALISI DEL CONTENUTO DEL PC

Dalla schermata principale facendo clic su “Sfoglia i contenuti del CD e del sistema ospite” si accede a uno strumento per esplorare l’albero delle cartelle del sistema.

Per ogni file è possibile visualizzare:

  • Nome
  • Data di creazione
  • Data di ultima modifica
  • Data di ultimo accesso
  • Attributo “Read-only”
  • Attributo “Hidden”
  • Dimensione

Se è selezionata la voce “Calcola MD5 hash sui file“, viene visualizzato anche l’hash MD5 del file selezionato. Per file molto grandi è necessario attendere qualche secondo per il calcolo.

A causa delle proprietà  del sistema Windows, la prima volta che si seleziona un file all’interno dell’albero delle cartelle, viene visualizzata la data di ultimo accesso. Selezionando nuovamente il file con un clic, la data di accesso è stata modificata alla data odierna. Questo problema non è purtroppo evitabile eseguendo un’analisi Live di un sistema Windows.

Di seguito si riporta un esempio relativo ad un file MP3:

Si può notare che la data di ultimo accesso è stata modificata dal sistema. La firma hash del file, che si basa sul contenuto dello stesso, non è tuttavia modificata.

RICERCA IMMAGINI NEL PC

Dalla schermata principale facendo clic su “Ricerca immagini dal sistema attivo” si accede a uno strumento per l’analisi e la ricerca di immagini sospette all’interno dei dispositivi di archiviazione del  computer oggetto di analisi.

Per avviare la ricerca è necessario fare clic sulla voce “Carica la cartella” e selezionare il drive che si vuole analizzare. La velocità  di analisi è fortemente influenzata dalla dimensione dell’hard disk, la quantità  di memoria disponibile e la velocità  del processore.

Una volta selezionata la risorsa (disco o cartella) da analizzare, comparirà  un messaggio che avvisa l’esaminatore che la ricerca può richiedere tempo. Per avviare la ricerca è necessario fare clic sul tasto “OK“.

Una volta terminata la scansione viene presentata una videata di anteprime delle immagini trovate. Facendo doppio clic sull’anteprima si può visualizzare l’immagine con un viewer integrato.

àˆ importante notare che la scansione dell’intero sistema comporta la modifica della data di ultimo accesso di tutti i file. Il programma infatti analizza l’intero contenuto alla ricerca di header corrispondenti a file immagine.

DATI DI INVESTIGAZIONE

Dalla schermata principale facendo clic su “Investigative Notes” si accede a uno strumento dove inserire dati e note investigative, che saranno incluso nel log generato automaticamente da Helix, durante la fase di uscita.

USCITA DA HELIX

Esistono tre modalità  per uscire da Helix:

  • Tramite la voce Exit del menu File
  • Facendo clic sul tasto di chiusura della finestra
  • Selezionando la voce Exit nell’icona della Tray Bar

Nei primi due casi Helix chiede prima una conferma di chiusura e successivamente se si desidera salvare il log delle transazioni effettuate.

Facendo clic entrambe le volte sul tasto “Si” viene richiesto il percorso di salvataggio del report. àˆ opportuno salvare il file su una risorsa esterna (disco rimovibile o di rete) al fine di non modificare il contenuto del computer analizzato. Il file viene salvato con il nome di default Helix_Audit_Log.pdf