Mi sono perso qualcosa durante il controllo delle password?

Naviga le tue risposte
4

Mi è stata fornita un'immagine "forense" forensics di 2 MB di dimensione (floppy); forniscono l'immagine del disco e vogliono che tu trovi tutte le password che riesci a trovare. Ho scaricato l'immagine e dd 'd su una thumbdrive. L'unica cosa visibile era un file di testo, che conteneva una password.

Sapevo che doveva esserci di più, così ho usato un programma di utilità undelete e ho trovato 2 file cancellati. Prima c'era un altro file di testo con una password - facile. L'altro era un file .pst che ho montato in Outlook. C'erano alcune e-mail con password, oltre a un'email con un'immagine. Un'altra email ha un link a un sito di steganografia.

Ovviamente, c'era un file nascosto nell'immagine, quindi sono andato al sito web e ho scaricato il decoder steganografico. Dovevo provare alcune delle password che avevo trovato per decifrare il file e, in effetti, c'era un altro file di testo con una password. L'ho chiamato un giorno a quel punto.

Ho perso altri metodi?

    
posta Keltari 28.08.2012 - 06:57
fonte

2 risposte

5

La scientifica è un campo molto interessante in cui entrare perché tutto si riduce al lavoro investigativo. Prima di trovare le briciole di pane, poi seguendole fino alla loro conclusione. Sei decisamente partito bene. Come è stato detto da un commentatore, il programma strings è molto utile. Elabora un file binario alla ricerca di sequenze di caratteri ASCII stampabili. Usandolo puoi trovare spesso segmenti di testo di database o eseguibili e dati a volte molto utili.

Vorrei anche provare a fare il passo successivo e passare a provare un vero strumento di analisi forense. Lo strumento Linux Sleuthkit e l'interfaccia Web Autopsy sono fantastici strumenti gratuiti per svolgere questo tipo di lavoro. Dovrai anche approfondire la tecnica chiamata File Carving, con alcuni degli strumenti disponibili elencati in questo pagina wiki . Dal momento che il buon intaglio dei file non dipende sempre dal fatto che alcune strutture di dati del file system siano intatte, sarete in grado di trovare molti più file di un semplice undelete.

Poiché la maggior parte dei buoni strumenti gratuiti sono basati su Linux, è necessario disporre di un ambiente di lavoro accettabile. Se non lo fai, prova a utilizzare il BackTrack LiveCD . È una distro Linux appositamente progettata per essere utilizzata dai penetration tester e, in misura minore, dagli esaminatori forensi. Viene fornito con Sleuthkit e Autopsy, oltre a un gran numero di utility per la scrittura di file e altre analisi forensi.

    
risposta data 28.08.2012 - 18:51
fonte
1

Una probabile possibilità è scrivere direttamente sui settori del disco. Il fatto che sia stato distribuito come immagine fa sembrare questa una possibilità decente. Al liceo un mio amico e io abbiamo progettato il nostro sistema di login che si basava su una chiave memorizzata in una posizione normalmente non indirizzata sul disco al di fuori della partizione. Una revisione di basso livello del contenuto binario dell'immagine del disco sarebbe stata un buon ultimo passaggio per cercare qualcosa che non fosse stato inizializzato a 0.

    
risposta data 30.08.2012 - 22:13
fonte

Leggi altre domande sui tag

Come è cambiata la mia homepage in IE? Qualche esempio reale di dati di localizzazione GPS utilizzati con l'autenticazione?