DOMANDA Caine

emazze

Nuovo Utente
23
0
Ciao, qualcuno sa usare Caine?
Ho visto dei video tutorial sull'acquisizione forense, ma dannazione sull'analizzazione dell'immagine acquisita nulla! Ho il file .000 e non so se neanche se devo rimontarlo!
 

Ico Bellungi

Utente Èlite
2,921
626
Ciao, qualcuno sa usare Caine?
Ho visto dei video tutorial sull'acquisizione forense, ma dannazione sull'analizzazione dell'immagine acquisita nulla! Ho il file .000 e non so se neanche se devo rimontarlo!
Avevo letto dell'esistenza di Caine ma non ho approfondito, visto che i tool presenti su quella distro sono installabili (e in molti casi installati di default) anche sulle altre e, non avendo particolari necessità di computer forensic, non l'ho mai provata.

Di che guida parli? Hai l'immagine di un disco su un file e non sai come aprirla? Hai provato con dd?
 
  • Mi piace
Reazioni: emazze

emazze

Nuovo Utente
23
0
Non è tanto il fatto di come aprirla, ma se devo aprirla, mi spiego meglio dopo aver acquisito l'immagine da una memoria di massa il passo successivo sarebbe analizzare tale immagine in modo da non rischiare di corrompere la memoria originale, ora l'immagine l'ho fatta, ma non so proprio qual'è il prossimo passo, ho dedotto io che forse sarebbe di rimontare l'immagine...per il digital forensics comunque non c'è tanta informazione.
 

Ico Bellungi

Utente Èlite
2,921
626
Di documentazione ce n'è parecchia, anche di libri ne trovi quanti ne vuoi, ovviamente tutti in inglese. Non ci sono molti tutorial scritti in modo semplice perché la computer forensic è prevalentemente un'attività professionale.
La tua immagine è un'immagine "raw" o è un'immagine AFF? Con che tool l'hai acquisita?
In generale, o la riversi così com'è su un altro device con dd oppure la maneggi con losetup (montandola prima come loop device e poi come directory normale. Non sono molto esperto, è possibile che se cloni un intero disco e non una partizione, e quindi se ti porti dietro la partition table, ci sia un passaggio ulteriore da effettuare)
 

emazze

Nuovo Utente
23
0
Di documentazione ce n'è parecchia, anche di libri ne trovi quanti ne vuoi, ovviamente tutti in inglese. Non ci sono molti tutorial scritti in modo semplice perché la computer forensic è prevalentemente un'attività professionale.
La tua immagine è un'immagine "raw" o è un'immagine AFF? Con che tool l'hai acquisita?
In generale, o la riversi così com'è su un altro device con dd oppure la maneggi con losetup (montandola prima come loop device e poi come directory normale. Non sono molto esperto, è possibile che se cloni un intero disco e non una partizione, e quindi se ti porti dietro la partition table, ci sia un passaggio ulteriore da effettuare)
L'immagine l'ho acquisita con GuyMager e mi sembra sia in Raw, comunque l'estensione è .000...
 

Ico Bellungi

Utente Èlite
2,921
626
L'immagine l'ho acquisita con GuyMager e mi sembra sia in Raw, comunque l'estensione è .000...
L'estensione su Linux sono solo tre caratteri dopo il punto, non ha un valore così "stringente" come su Win. In genere Linux per capire di che file si tratta ne legge i primi byte e non si fida troppo di un'estensione (se rinomini un video in .jpg il sistema non inizierà a considerarlo una foto, come avviene su Win).

Comunque, prova a montare il file come loop device con losetup e poi a montare la loops device su una directory vuota
 

emazze

Nuovo Utente
23
0
L'estensione su Linux sono solo tre caratteri dopo il punto, non ha un valore così "stringente" come su Win. In genere Linux per capire di che file si tratta ne legge i primi byte e non si fida troppo di un'estensione (se rinomini un video in .jpg il sistema non inizierà a considerarlo una foto, come avviene su Win).

Comunque, prova a montare il file come loop device con losetup e poi a montare la loops device su una directory vuota
Immagino sia tutto da riga di comando.....una manina?
 

Ico Bellungi

Utente Èlite
2,921
626
Codice:
mkdir /home/utente/directory_vuota
losetup /dev/loop0 /path/del/file.000
mount /dev/loop0 /home/utente/directory_vuota

I comandi vanno eseguiti da root, se sei su Ubuntu o simili falli precedere dal comando sudo
 

emazze

Nuovo Utente
23
0
Eseguo gli stessi comandi ma al losetup mi da l'errore 'no such file or directory' eppure c'è !!
 
Ultima modifica:

Ico Bellungi

Utente Èlite
2,921
626
Ah boh. Ricorda che Linux è case sensitive, potrebbe essere che c'è una maiuscola che scrivi minuscola o viceversa. Prova a postarci i comandi che lanci e il loro output, in particolare il comando ls che mostra che il file c'è e l'output di losetup
 

emazze

Nuovo Utente
23
0
Ah boh. Ricorda che Linux è case sensitive, potrebbe essere che c'è una maiuscola che scrivi minuscola o viceversa. Prova a postarci i comandi che lanci e il loro output, in particolare il comando ls che mostra che il file c'è e l'output di losetup
Apposto, dovevo solo aggiungere /Desktop, ora il problema è un altro, al mount mi dice che devo specificare il tipo del file system ma non so quale sia!

Inviato dal mio MI 2S utilizzando Tapatalk
 

Ico Bellungi

Utente Èlite
2,921
626
Apposto, dovevo solo aggiungere /Desktop, ora il problema è un altro, al mount mi dice che devo specificare il tipo del file system ma non so quale sia!

Inviato dal mio MI 2S utilizzando Tapatalk
Hmmm... in questo caso vorrà il filesystem della chiavetta di origine o quello della loop partition, che è lo stesso della partizione su cui risiede la /tmp e quasi sicuramente tutto il pc? Non lo so, provali entrambi. In realtà Linux dovrebbe montare ext4 e fat32 senza bisogno di specificare il tipo di filesystem
mount -t ext4 /dev/loop0 /home/utente/directory_vuota (supponendo che il tuo sistema sia installato in ext4)
mount -t vfat /dev/loop0 /home/utente/directory_vuota (supponendo che la partizione della tua chiavetta fosse in fat32)
mount -t msdos /dev/loop0 /home/utente/directory_vuota (supponendo che l'immagine non riguardasse solo una -di solito la unica- partizione sulla chiavetta ma che fosse la chiavetta intera)
 
  • Mi piace
Reazioni: emazze

emazze

Nuovo Utente
23
0
Hmmm... in questo caso vorrà il filesystem della chiavetta di origine o quello della loop partition, che è lo stesso della partizione su cui risiede la /tmp e quasi sicuramente tutto il pc? Non lo so, provali entrambi. In realtà Linux dovrebbe montare ext4 e fat32 senza bisogno di specificare il tipo di filesystem
mount -t ext4 /dev/loop0 /home/utente/directory_vuota (supponendo che il tuo sistema sia installato in ext4)
mount -t vfat /dev/loop0 /home/utente/directory_vuota (supponendo che la partizione della tua chiavetta fosse in fat32)
mount -t msdos /dev/loop0 /home/utente/directory_vuota (supponendo che l'immagine non riguardasse solo una -di solito la unica- partizione sulla chiavetta ma che fosse la chiavetta intera)
Cioè è assurdo ho chiuso questo pomeriggio adesso facendo lo stesso procedimento al losetup dice 'no such file or directory' ora posto la foto! Scusami tutte queste richieste uploadfromtaptalk1460409144445.jpg

Inviato dal mio MI 2S utilizzando Tapatalk
 

emazze

Nuovo Utente
23
0
Apposto, risolto. Comunque c'è lo stesso problema, non so quale file system devo inserire ti invio l'immagine...
bade612be28e93557ae3a1887f769718.jpg
 
Ultima modifica:

Entra

oppure Accedi utilizzando