verifica installazione di un software

[ducarosso]

Salve,
sono nuovo e appena arrivato sul sito e sul forum.
Ringrazio gli autori per questo importante strumento che mi appresto ad usare (spero!).
Vi esplicito meglio la mia situazione per cercare aiuto/consigli:
-devo verificare la presenza dell'installazione di un software su un server Hp con s.o. windows 2003

uso la versione live cd di Caine 2.0?
quale applicativo dovrei utilizzare?
grazie mille

[nannib]

Ciao DucaRosso ben trovato....ma mi spieghi cosa ti trattiene ad usare Caine 2.5.1 invece di Caine 2.0?

Puoi usare Caine live per una veloce preview sul computer, ma consiglio sempre di fare copia forense bit-a-bit (usa AIR o GuyMager) e poi analizzarla in laboratorio/casa....
Per verificare la presenza di un software ci sono molti sistemi, dall'analisi dei registri di Windows (reglookup o regripper), alla ricerca per firma hash, per stringa, per collegamento lnk, ecc. ecc.
Quindi dipende da cosa cerchi ....cmq meglio farlo sulla copia.
ciao

[ducarosso]

Ciao nanni!
e grazie per la risposta innanzitutto.
hai ragione, già scaricata la 2.5.1 (immagine) messa su cd ma facendo prima la prova sul mio portatile (acer) non riesco a farla partire.
quindi ho scaricato la versione nbcaine 2.5.1 per farla partire da chiave usb.ma sinceramente non ho capito (perdonami) come fare ad avere la versione che possa essere effettivamente lanciata da chiave usb.
Vista la tua gentilezza, ti chiedo un consiglio su come fare la copia forense.
grazie e spero di non disturbarti ancora :-)

[ducarosso]

...scusami:
e se utilizzassi WinTaylor? (ho visto che parte subito ed ha un'interfaccia molto intuibile)
quali strumenti mi consigli?
grazie per la pazienza

[nannib]

Fammi capire...non parte dal cd-rom sul tuo portatile?
Ma si blocca?
Hai controllato l'hash md5 della ISO?
Per quanto riguarda il boot da usb, devi clonare nbcaine2.5.1.dd su una pendrive, come scritto sulla pagina di downloads del sito di Caine.
mi raccomando nbcaine2.5.1.dd su /dev/sdb e non /dev/sdb1 (dico sdb potrebbe essere sdc, ecc.) ok?
ciao

[ducarosso]

Esatto non parte. schermata nera con trattino lampeggiante in alto a sx per venti minuti.poi lasciato perdere.
Perdonami ma no saprei come controllare l'hash md5 della ISO…
Grazie per l’ulteriore spiegazione a proposito della live da usb, ma nonostante gli sforzi per l’inglese, ma non saprei come clonare nbcaine2.5.1.dd su una pendrive….
Spero tu possa aiutarmi, grazie.
ciao

[nannib]

Ok allora andiamo per gradi....
Il Caine 2.0 ti funzionava su quel computer?
Puoi provare Caine 2.5.1 su un altro computer?

Per controllare l'hash devi andare da linux e scrivere:
md5sum caine2.5.1.iso
e vedere se esce questo:
03c92d5a137153d28094ed01576d44f4
da Windows devi cercare un software che calcola l'MD5

Per clonare il file immagine nbcaine2.5.1.dd devi usare dd da Linux:
sudo dd if=nbcaine.dd of=/dev/sdX bs=32K

Ma se sai poco o niente di Linux...non so ...perchè non cominci ad installarti un Ubuntu qualunque su una partizione del tuo PC oppure usa Wubi se non vuoi partizionare, così puoi usare Linux installandolo da Windows.
Poi scarica e studia questo:
http://linuxleo.com/Docs/linuxintro-LEFE-3.78.pdf

Ogni termine che ho usato in questa mail lo trovi su google, se non lo conosci...se vuoi avvicinarti a questo mondo...devi iniziare a studiare come un matto ed a sperimentare.... ;-)
Buon lavoro!

[ducarosso]

sto usando ubuntu 8.4 nella versione live.
ho passato il file nbcaine.dd sulll'hard disk del pc e poi ho inserito la pen drive e lanciato il comando
sudo dd if=nbcaine.dd of=/dev/sdb bs=32K
la risposta è:
dd: opening "nbcaine.dd": No such file or directory

Help grazie!

[nannib]

perchè non si chiama nbcaine.dd
si chiama nbcaine2.5.1.dd

Ehmmm....pay attention man!
bye

[ducarosso]

corretto, hai ragione.
ma mi da la stessa identica risposta.
ricordo che sto usando la versione live, e ho messo il file nbcaine2.5.1.dd direttamente sull'hd del portatile. e la pen drive, vuota, correttamente inserita e rilevata dal sistema.
forse non trova il file perchè il perocrso è sbagliato?
grazie ancora per la missione di "tutoraggio" :-)

[nannib]

Dunque...."mettere un file sull'hd" che significa?
Il PERCORSOOOOOOOOOOOO! QUAL'è?
Ma questo vale anche per Windows ...
1) Hai messo nbcaine2.5.1.dd sull'hd del portatile
2) hai montato l'hd del portatile per poter giungere a sfogliarlo? (basta montarlo anche in sola lettura...non lo sai fare GOOGLE!!!)
3) inserisci la pendrive vuota
4) identifica come si chiama (sudo fdisk -lu) per esempio /dev/sdb
5) Vai nella cartella /media/sda1/pippo/ (dove /media/sda1 è hai montato l'hd del portatile, per esempio)
6) Apri la finestra terminale, la console insomma...e scrivi il comando sudo dd if=nbcaine2.5.1.dd of=/dev/sdb bs=32K

il punto 5 lo potresti anche bypassare così:
sudo dd if=/media/sda1/pippo/nbcaine2.5.1.dd of=/dev/sdb bs=32K

chiaro?
ciao

[ducarosso]

nel frattempo, grazie lo stesso, ce l'ho fatta da solo!!!!!!
ho cambiato il percorso di partenza in "if=/media/disk/nbcaine2.5.1.dd"
il risultato è stato:
dd: writing ' /dev/sdc: no space left on device
20198+0 records in
20197+0 records out
661835776 bytes (662 MB) copied, 18,3452 s, 36,1 MB/s

penso sia andato tutto bene....
che ne dici?
grazie

[ducarosso]

leggo solo ora il tuo commento, mentre cercavo di sbrigarmela da solo.
grazie x la disponibilità e l'infinita pazienza.

[ducarosso]

Ciao Nanni!
Ti volevo avvisare che ho fatto qualche piccolo passettino in avanti da stamattina.
riuscito a montare la live su pendrive, provata, fatto copia forense con guymager e....
Grazie per il supporto che mi hai dato!
Ora sto cominciando a smanettare con i tools.
Potresti gentilmente darmi qualche dritta su come usare "autospy" (o qualche altro tooll di caine)?
il mio scopo è riportare i programmi installati (attualmente ed eventualmente anche in precedenza e magari disinstallati) sull'hd che ho clonato (l'ho clonato su un hd esterno via usb).
inoltre mi interssa anche riportare tutto ciò che è stato cancellato su quell'hd.
grazie ancora

[nannib]

Ahhhhh Autopsy...e perchè no anche Foremost, Guymager, Air, ahahahahah
Caine, come altre live distro del genere, sono zeppe di tools consolidati e famosissimi da tempo...vuoi usare Autopsy? è pieno il web di siti, manuali, esempi, ecc. ecc.
Se dovessi spiegarti tutto dovrei scrivere un libro...che tra l'altro ho pure scritto
http://www.lulu.com/product/paperback/indagini-digitali/14308944

Cerca ...e poi studia da questo pdf:
http://linuxleo.com/Docs/linuxintro-LEFE-3.78.pdf
e ed anche il libro di Carrier....qui trovi alcune pubblicazioni:
http://www.cfitaly.net/pubblicazioni
ciao

[ducarosso]

...Spiritoso ehhhh ;-), scherzo ovviamente.
già all'opera, ho trovato molto interessante una semplice guida (fra l'altro nella nostra beneamata lingua!) che vorrei condividere per chi ne avesse bisogno (solo che essendo mebro giovane non ho possibilità di inserire)

[ducarosso]

usando autopsy ho creato il caso e aggiunto il disco contenente l'immagine da analizzare.
sull'host manager ho questa situazione:
mount: disk
name: sdc1-disk
fs type: raw

cliccando su Analyze, mi compare il messaggio "per iniziare l'analisi di questo volume, scegli ecc...."
le scelte sui tabs sono solo 3: keyword search, image details, data unit (oltre a help e close).
qualcuno potrebbe gentilemente suggerirmi cosa fanno queste 3 funzioni?
grazie

[nannib]

Ma hai scelto Disk invece di partition?....
come stai messo tu puoi solo fare analisi fisica e non logica....
devi scegliere disk, lui ti identifica il file system (che non sarà raw a meno che il tuo disco non sia nemmeno formattato)....e poi avrai l'analisi dei file...potrai girare per le directories.
http://computer-forensics11.sans.org/blog/2009/05/11/a-step-by-step-introduction-to-using-the-autopsy-forensic-browser

[ducarosso]

faccio gli auguri per il nuovo anno prima di tutto.
non riuscendo ad usare la caine (sia da usb sia da cd) sulla macchina sulla quale fare effettivamente il lavoro, ho usato win taylor.
In particolare ho usato prima FTK Imager per creare la copia forense.
Sull'hd esterno sul quale ho creato l'immagine mi ritrovo 7 file con estensione .dd.
come faccio ora, avendo questi file, ad effettuare la mia analisi sul mio pc?
grazie in anticipo nanni per l'eventuale risposta e per la pazienza.....

[nannib]

FTK Imager ti ha fatto 7 pezzi perchè quando hai fatto avanti avanti avanti non hai notato che c'è la dimensione dell'immagine...se tu lasci 640Mb (per esempio) te la splitta in tanti pezzi da 640Mb.....
Hai usato un writeblocker quando hai attaccato l'hd?
ciao

[ducarosso]

grazie ancora per il supporto che mi stai dando....
ok, non avevo notato la scelta della dimensione massima....pardon.
ma purtroppo l'ho gia fatta così.
non ho usato nessun writeblocker.
Ho fatto casini?

[nannib]

ma studiare un pò prima di fare? no he? :-D
ciao

[Sponsored content]