quinta-feira, 15 de abril de 2010

Bulk Extractor

Simson Garfinkel, pesquisador em Computação Forense e idealizador do formato AFF, acaba de lançar mais um excelente utilitário: Bulk Extractor. Na verdade, o utilitário já existia, mas foi completamente re-escrito.

Liberado para Windows e Linux, o Bulk Extractor tem a finalidade de varrer uma imagem forense em formato raw, AFF ou EWF (Encase) e extrair/localizar vários artefatos bastante importantes em investigações:
- Cartões de Crédito;
- Domínios;
- Endereços de email;
- Dados no formato da RFC 822;
- Pacotes TCP/IP em dumps de memória, pagefile.sys e hyperfil.sys;
- Números de Telefone;
- URLs;
- URLs de Busca (Google, Yahoo, etc);
- URL de serviços Web (Google, Webmails, Tradutores, etc);

Além desses dados, o Bulk Extractor monta uma wordlist com todas as palavras encontradas na imagem forense. Essa wordlist pode ser muito útil para ser usada como dicionário de dados no John The Ripper, para quebra de senhas, por exemplo.

O utilitário é bastante simples. Ele aceita um diretório de saída como parâmetro, bem como o nome do arquivo de imagem. Na verdade, o Bulk Extractor nem depende exatamente que o arquivo seja uma imagem forense. Ele opera em qualquer tipo de arquivo, extraindo as informações listadas acima.

Para facilitar a recuperação em caso de falhas no meio da operação, o Bulk Extractor trabalha em duas fases, de forma que se houver qualquer problema na segunda fase, o trabalho realizado na primeira (que é demorado, por natureza) não se perde.

Comentários ?

Até o próximo post !

Postado por às Nenhum comentário:
Marcadores: ,

quinta-feira, 8 de abril de 2010

Win32dd agora é MoonSols

Já conversamos aqui no blog sobre alguns avanços em memory forensics, e como as pesquisas de Matthieu Suiche promoveram esse avanço. Dentre os produtos criados está um dos melhores utilitários para dump de memória que existem, o Win32dd.

Matthieu preparou algumas novidades. Através da marca MoonSols, um grupo de ferramentas voltadas para Windows Memory Forensics foi montado em duas versões: O Windows Memory Toolkit Community Version e a Professional Version. A boa notícia é que a Community Version é de graça. A Professional vai custar 500 Euros.

O Windows Memory Toolkit compreende um grupo de ferramentas de peso:
- Win32dd e Win34dd: São os utilitários que outrora já eram disponibilizados pelo Matthieu Suiche, e fazem dump de memória em alguns formatos além do raw;
- hibr2dmp e hibr2bin: Utilitários de conversão entre formatos de hibernação e raw ou o formato utilizável pelo Windbg (arquivos de dump de memória por crash);
- dmp2bin: Utilitário de conversão entre formatos (de crash dump para raw);

A versão professional possui algumas caracteristicas a mais:
- Conversão de dumps de memória 64 bit;
- Conversão de arquivos de hibernação do Windows 7;
- Conversão de dumps de memória do Windows 7;
- Usar o win32dd e win64dd em batchs/scripts;
- Uso do win32dd e win64dd em modo interativo;
- Conformidade com o UAC do Vista e Win7 para Win32dd e Win64dd;

Alguém já está usando e gostaria de comentar ?

Até o próximo post !
Postado por às 2 comentários:
Marcadores: ,
Assinar: Postagens (Atom)