Stefano Lorenzi

Stefano Lorenzi

IT Security Specialist

Posts filed under Forensic

pcaparse

Pcaparse is a open source tool able to parse a pcap file (in tcpdump format) and it does this tasks: Reproduce HTTP, TCP, DNS and ARP protocol Reproduce PDF, web page, images thar are in pcap file Discover some web attack like SQL injection and XSS Attacks Discober malicious User-Agent in HTTP protocol some sqlmap… (read more)

Scanfolder

Scanfolder is a open source tool able to perform folder scans: Look for some bad MD5 Run YARA and look for some malicius patterns Dumpy module to exctact data (credit card, URL, mail address, SSN, Telephone number, etc) This tool has a web interface and saves your cases in a sqlite database. I have tested… (read more)

Mount dd image

In a previous post I wrote an article to create a copy of a Hard disk (see here). In this case I used dd program and other similar tools such as rdd-copy or guymager. After this operation we get a file with the same dimension of the original device because we have done a bit… (read more)

Basic Network Analysis

The tutorial of today is about basic network analysis. In a previous post I wrote a tcpdump tutorial and I showed how you can capture your network traffic. We saw that a basic command to capture the traffic is sudo tcpdump -ni eth0 filename.pcap In my daily job I analyze a lot of network traffics,… (read more)

Acquisizione di un disco

Ci sono diversi software a disposizione per l’acquisizione di un disco, ad ogni modo uno dei primi software scritti è stato “dd”, è un tool molto grezzo, ma molto performante, considerata la sua scarsità di feature sono nati successivamente altri tool simili. Un tipico uso di base è il seguente: sudo dd if=/dev/sdb of=/home/nomeutente/NomeFile.dd conv=noerror… (read more)

Xplico

Introduzione Oggi volevo mostrare un’operazione tipica di network forensic, ossia quella di ricostruzione del traffico di rete. In questo post avevo illustrato i concetti base di tcpdump, e attraverso questo tool, catturavamo i pacchetti di rete transitanti su una determinata scheda. E’ evidente che catturando anche il payload dei pacchetti, possiamo ricostruire l’intero traffico, naturalmente… (read more)

Data Carving

Introduzione Tempo fa mi è capitato un imprevisto, o meglio ho combinato un bel casino al pc, fatemi dare la colpa a moglie e figlio, che quando sono al pc non mi lasciano mai tranquillo come vorrei, ad ogni modo, ho formattato sia il disco usb esterno con il backup che il disco fisso all’interno… (read more)

Virualizzazione file dd

Una metodologia per poter affrontare l’analisi dinamica di un disco acquisito è la virtualizzare del disco stesso in formato dd, la strada che ho testato è la seguente: è necessario avere il file dd, nei miei test il file era unico e non splittato. Qualora il disco fosse stato acquisito splittato su più file, è… (read more)