SlideShare uma empresa Scribd logo

Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics

Deft Association
Deft Association
Direito
1 de 43
Baixar para ler offline
WINDOWS 8 FORENSICS MATTIA EPIFANI (E CLAUDIA MEDA) DEFTCON MILANO, 11 APRILE 2014
WINDOWS 8 FORENSICS COSAVEDREMO  Le «App» in Windows 8  User Assist  Search Charm History  Account locale vs.Account Microsoft  Prefetch File  History File (Internet Explorer)  Thumbnails
APPLICAZIONI Due tipi di applicazioni Metro App Applicazioni Desktop I classici Programmi  Approvate e certificate da Microsoft  App integrate  App scaricabili dal Microsoft Store  140.000 App
APP INTEGRATE
APP SCARICABILI
METRO APP  Le informazioni relative a ciascuna App sono memorizzate all’interno di 3 nuovi percorsi nel file system  %Root%Program FilesWindowsApps  %Root%Users%User%AppDataLocalPackages%App%  %Root%Users%User%AppDataLocalMicrosoftWindowsApplication Shortcuts
CARTELLA PROGRAM FILESWINDOWSAPPS  Il file LNK rimanda alla cartella che contiene:  Eseguibile della App  Librerie  File di supporto  Icone
CARTELLA APPDATALOCALPACKAGES%APP%  Per ciascuna Metro App  File di configurazione (es. username, parametri dell’applicazione, ecc.)  Informazioni sull’applicazione (es. file scambiati, messaggi, allegati, indirizzi email, profili visitati, ecc.)
CARTELLA APPDATALOCALMICROSOFTWINDOWSAPPLICATION SHORTCUTS  Per ciascuna Metro App esiste una cartella contenente un file LNK  Dall’analisi delle Application Shortcuts è possibile recuperare la struttura del Metro Start (componente App) dello specifico utente
USERASSIST  Lo User Assist è una chiave già presente all’interno delle precedenti versioni di Windows  Utile per determinare la frequenza di utilizzo di un’applicazione (per ciascun utente) e la data di ultima esecuzione dell’applicazione  Per le Metro App le informazioni della chiave UserAssist sono conservate nel registro UsrClass.dat all’interno della chiave LocalSettingsSoftwareMicrosoftWindowsCurrentVersionAppModelSystemAppData
ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Le configurazione dell’utente sono conservate nella cartella del profilo AppDataLocalPackagesMicrosoft.windowscommunicatisapps_8wekyb3d8bbwe  L'applicazione Contatti può incorporare diversi account (es. Microsoft Live, Facebook, ecc.)  L'applicazione Mail può incorporare diverse caselle di posta elettronica (es. Gmail, Hotmail, ecc.) Contatti Mail
ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella LocalStateIndexedLiveComm  InternetUID: identifica univocamente un utente Microsoft  Una sotto cartella per i dati dell’applicazione Mail e e una per i dati dell’applicazione Contatti
ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella Mail  Singoli file .eml  Header in chiaro  Testo in Base64  Problemi in fase di indexing?
ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella People  Cartella AddressBook: contiene i singoli file .eml con info in chiaro come nome, cognome, email, profilo Facebook, ecc.  Cartella Me: informazioni sugli account dell’utente  Cartella ACINetCache: cache della navigazione attraverso l’applicazione (es. Facebook)
ESEMPIO:ANALISI DELLA APPLICAZIONE SKYPE  Le informazioni tradizionali (main.db, chatsync, ecc.) sono conservate nella cartella di configurazione del programma AppDataLocalPackagesMicrosoft.SkypeApp_kzf8qxf38zg5cnLocalState%skypeusername%  Le informazioni relative ai file scambiati sono conservate anche nel registro UsrClass.dat di ciascun utente LocalSettingsSoftwareMicrosoftWindowsCurrentVersionAppModelSystemAppDa taMicrosoft.SkypeApp_kzf8qxf38zg5cPersistedStorageItemTableManagedByApp
ESEMPIO:ANALISI DELLA APPLICAZIONE SKYPE  Viene creato un {GUID} per ciascun file scambiato (inviato/ricevuto)  Per ogni {GUID} esistono cinque valori:  LastUpdateTime: timestamp di ricezione/invio del file  Flags: valore REG_DWORD (0x00000005 – Invio / 0x00000000 Ricezione)  FilePath: percorso di salvataggio del file  Link: altre informazioni sul file
SEARCH CHARM HISTORY  Strumento che permette di cercare all'interno del sistema applicazioni, file e impostazioni  Nuovo chiave nel registro NTUSER.DAT SoftwareMicrosoftWindowsCurrentVersionExplorerSearchHistoryMicrosoft.Window s.FileSearchApp  Windows 8 and 8.1: Search Charm History http://dfstream.blogspot.it/2013/09/windows-8-and-81-search-charm-history.html  Search history onWindows 8 and 8.1 http://www.swiftforensics.com/2014/04/search-history-on-windows-8-and-81.html
SEARCH CHARM HISTORY
ACCOUNT LOCALEVS ACCOUNT MICROSOFT  Esistono due tipologie di account in Windows 8:  Account Locale – classico account presente nei SO precedenti  Account Microsoft – nuova tipologia
ACCOUNT LOCALEVS ACCOUNT MICROSOFT  Se è in uso un Account Locale, la hive SAM coincide con le versioni precedenti  Se è in uso un Account Microsoft, la hive SAM presenta nuovi valori  InternetUserName: email utilizzata da utente per registrazione account Microsoft  InternetUID: associa utente (email) a MicrosoftWindows Live (si trova in ogni app che richiede inserimento email da parte dell'utente – es. Skype)  InternetSID: identificativo dell'utente online  GivenName: nome utente associato ad account Microsoft  Surname: cognome utente associato ad account Microsoft
SAMPARSE.PL - REGRIPPER PLUGIN  Estrae informazioni relative all’account Microsoft dell'utente:  Account Type  Internet User Name  Internet UID  Given Name  Surname  Internet Provider GUID  Internet SID
PREFETCH FILE  Possono essere presenti fino a 1024 file di prefetch (precedenti versioni di Windows 128)  Utili fino ad ora in Windows per determinare  Programmi eseguiti (eventualmente anche disinstallati)  Nome dell’applicazione  Numero di esecuzioni  Data e ora di prima esecuzione  Data e ora di ultima esecuzione  http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html  http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html
PREFETCH FILE  File signature  1 byte Versione del Sistema Operativo  0x11 XP  0x17W7  0x18W8  4 byte  signature (SCCA)  4 byte  Nome applicazione
PREFETCH FILE  Last AccessTime  Timestamp relativo all'ultimo utilizzo dell'applicazione.  Windows 8 memorizza gli ultimi 8 timestamp mar, 19 novembre 2013 17.16.11 UTC mar, 19 novembre 2013 08.34.27 UTC
PEN DRIVE USB  Presenti due nuovi valori nel registro che memorizzano:  Device Last Insertion Date  Device Last Removal Date  Windows 8 New Registry Artifacts Part 1 - New DeviceTimestamps http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html  Device LastRemovalDate & LastArrivalDate Behavior inWindows 8 http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html
INTERNET EXPLORER 10 (E SUCCESSIVI)  File di cronologia e cache in un nuovo formato  Basati su database ESE (Extensible Storage Engine), già utilizzato per il database di Windows Search e per altre strutture dati in Windows 7  Es. WebCacheV01.dat  Nirsoft Browsing HistoryView  http://www.nirsoft.net/utils/browsing_history_view.html  Nirsoft ESE DatabaseView  http://www.nirsoft.net/utils/ese_database_view.html  Forensic Analysis of the ESE database in Internet Explorer 10 http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf
CACHE INTERNET EXPLORER
THUMBNAILS  Sono ritornati i fileThumbs.db come in Windows XP…  Ma in un formato diverso  E creati solo per file visualizzati all’interno di cartelle del profilo dell’utente  Sono anche presenti i tradizionali file Thumbcache, già introdotti da Windows 7 (anzi di più…)  Windows 8Thumbs.db files - still the same and not the same! http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same-and.html
WINDOWS PHONE 8 FORENSICS MATTIA EPIFANI (E CLAUDIA MEDA) MILANO, 10 APRILE 2014
WINDOWS PHONE 8 FORENSICS  Nuovo sistema operativo utilizzato prevalentemente da Nokia e HTC  Utilizza diversi sistemi di protezione  Secure Boot (basato su signed firmware)  Full disk encryption della memoria interna (BitLocker)  Local e Remote Wiping  Lock code  App sandboxing  Non sono al momento disponibili tecniche per:  Passcode cracking  Acquisizione fisica, anche con passcode noto
WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  L’acquisizione logica è supportata da pochi software forensi e con capacità limitate  UFED Cellebrite Touch è l’unico che riesce ad estrarre la rubrica dei contatti, attraverso connessione Bluetooth  UFED e Oxygen Forensics supportano l’acquisizione dei dati multimediali e delle informazioni del sistema operativo  Seriale del telefono  Versione del S.O.  Immagini  Documenti  Video  Musica
WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  Le immagini contengono:  Data di scatto  Modello di telefono utilizzato  Informazioni di geoposizionamento (se attive)  http://www.gps-coordinates.net/
WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  I documenti possono contenere metadati interni (Office/PDF)
WINDOWS PHONE 8 FORENSICS – BACKUP  Il backup dei dati utente si può fare solo online su account SkyDrive  Non è possibile quindi trovare un backup sul computer  Nel backup possono essere salvati:  Contatti  SMS  Registro chiamate  Calendario  Lista delle applicazioni installate  Configurazioni delle applicazioni  Immagini, Documenti eVideo  I dati di un backup possono essere unicamente ripristinati su un dispositivo conWindows Phone 8  I ricercatori di Elcomsoft stanno studiando metodi per permettere il download del backup (come già hanno fatto per iCloud)
WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Metodo sperimentale (DONTRY IT AT HOME!)  Principio: installare un’applicazione non firmata da Microsoft  Di default non è possibile, tuttavia…  Creando un account MSDN sul sito web Microsoft è possibile associare il dispositivo Windows Phone all’utente sviluppatore  In questo modo si possono caricare 2 applicazioni direttamente da PC  Le applicazioni non devono essere per forza firmate da Microsoft
WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Installo l’applicazione  W8Webserver http://forum.xda-developers.com/showthread.php?t=2355034  Apre un server web sul dispositivo in ascolto sulla porta 9999  Attivo la connessioneWiFi sul dispositivo  Creo una rete tra il dispositivo e il computer di acquisizione (NON CONNESSA AD INTERNET!)
WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Riesco ad accedere a parte del file system e del registro di sistema  Non è possibile al momento accedere alle cartelle delle applicazioni…ma stanno arrivando i primi sistemi di Rooting (già esistenti per i Samsung con WP8)
WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM
WINDOWS 8 FORENSICS – IISFA MEMBERBOOK 2013
WINDOWS FORENSIC ANALYSIS TOOLKIT, 4TH EDITION
WINDOWS 8 FORENSICS - RIFERIMENTI  Windows 8 Update http://ad-misc.s3.amazonaws.com/aduc12_computer-forensics_04_windows-8- updates.pdf  Windows 8 Forensics http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT-Windows-8- Forensics.pdf  Windows 8 Forensic Guide http://propellerheadforensics.files.wordpress.com/2012/05/thomson_windows-8- forensic-guide2.pdf  Windows 8: a forensic First Look http://www.forensicfocus.com/downloads/windows-8-forensics-josh-brunty.pdf  What's New in the Prefetch for Windows 8?? http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html  Windows Prefetch (.PF) files http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html  Forensic Analysis of the ESE database in Internet Explorer 10 http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf  Windows 8 New Registry Artifacts Part 1 - New Device Timestamps http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html  Device LastRemovalDate & LastArrivalDate Behavior in Windows 8 http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html  Windows 8 Thumbs.db files - still the same and not the same! http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same- and.html  Windows 8 Recovery Forensics https://digital-forensics.sans.org/summit-archives/2012/windows-8-recovery-forensics- understanding-the-three-rs.pdf  Windows 8: Tracking Opened Photos http://dfstream.blogspot.ch/2013/03/windows-8-tracking-opened-photos.html  Amcache.hve in Windows 8 - Goldmine for malware hunters http://www.swiftforensics.com/2013/12/amcachehve-in-windows-8-goldmine-for.html  Amcache.hve - Part 2 http://www.swiftforensics.com/2013/12/amcachehve-part-2.html
DFA OPEN DAY 2014  5 Giugno 2014  Università degli Studi di Milano  Giornata di studio di 8 ore sui temi:  OSINT e Investigazioni Digitali  Security e Incident Response aziendale  Partecipazione gratuita  www.perfezionisti.it
Q&A? Mattia Epifani  Digital Forensics Analyst & Mobile Device Security Analyst  CEO @ REALITY NET – System Solutions  IISFA Italian Chapter  DFA Association  GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE,AME,ACE, MPSC Mail mattia.epifani@realitynet.it Twitter @mattiaep Linkedin http://www.linkedin.com/in/mattiaepifani Blog http://mattiaep.blogspot.it

Recomendados

Uso del computer
Uso del computer Uso del computer
Uso del computer Istituto Professionale Servizi alberghieri "Matteotti" di Pisa
 
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoringdeftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic MonitoringDeft Association
 
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...Deft Association
 
FAQ www.bitcoinernow.com
FAQ www.bitcoinernow.comFAQ www.bitcoinernow.com
FAQ www.bitcoinernow.combitcoinernow.com Lamparelli
 
Facebook e Sito aziendale: chiariamo i rispettivi ruoli
Facebook e Sito aziendale: chiariamo i rispettivi ruoliFacebook e Sito aziendale: chiariamo i rispettivi ruoli
Facebook e Sito aziendale: chiariamo i rispettivi ruoliManager.it
 
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...Deft Association
 
Commercio online con Bitcoin
Commercio online con Bitcoin Commercio online con Bitcoin
Commercio online con Bitcoin I3P
 
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...Deft Association
 

Recomendados

Uso del computer
Uso del computer Uso del computer
Uso del computer Istituto Professionale Servizi alberghieri "Matteotti" di Pisa
 
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoringdeftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic MonitoringDeft Association
 
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...Deft Association
 
FAQ www.bitcoinernow.com
FAQ www.bitcoinernow.comFAQ www.bitcoinernow.com
FAQ www.bitcoinernow.combitcoinernow.com Lamparelli
 
Facebook e Sito aziendale: chiariamo i rispettivi ruoli
Facebook e Sito aziendale: chiariamo i rispettivi ruoliFacebook e Sito aziendale: chiariamo i rispettivi ruoli
Facebook e Sito aziendale: chiariamo i rispettivi ruoliManager.it
 
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...Deft Association
 
Commercio online con Bitcoin
Commercio online con Bitcoin Commercio online con Bitcoin
Commercio online con Bitcoin I3P
 
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...Deft Association
 
Integrazione bitcoin con contabilita italiana
Integrazione bitcoin con contabilita italianaIntegrazione bitcoin con contabilita italiana
Integrazione bitcoin con contabilita italianaprgiorgio
 
Bitcoin Revolution
Bitcoin RevolutionBitcoin Revolution
Bitcoin RevolutionCloudMiningBiz
 
WORKSHOP Blockchain Governance algoritmi per costruire la fiducia
WORKSHOP Blockchain Governance algoritmi per costruire la fiduciaWORKSHOP Blockchain Governance algoritmi per costruire la fiducia
WORKSHOP Blockchain Governance algoritmi per costruire la fiduciaMauro Giorgi
 
Internet of money, Fondamenti di Bitcoin
Internet of money, Fondamenti di BitcoinInternet of money, Fondamenti di Bitcoin
Internet of money, Fondamenti di BitcoinSimone Riccardi
 
Presentazione del mining Bitcoin
Presentazione del mining BitcoinPresentazione del mining Bitcoin
Presentazione del mining BitcoinI3P
 
Pessebrevirtualdef
PessebrevirtualdefPessebrevirtualdef
PessebrevirtualdefEscola Sant Pau
 
Recuerdos de Tablada
Recuerdos de TabladaRecuerdos de Tablada
Recuerdos de TabladaEmilio Rodriguez
 
Novoneyra
NovoneyraNovoneyra
NovoneyraPlastilina3
 
hoja vida guti 2016
hoja vida guti 2016hoja vida guti 2016
hoja vida guti 2016Gerardo Gutierrez
 
Potaje de garbanzos
Potaje de garbanzosPotaje de garbanzos
Potaje de garbanzoscatedra internacional
 
The future of multimedia classrooms is now at asu
The future of multimedia classrooms is now at asuThe future of multimedia classrooms is now at asu
The future of multimedia classrooms is now at asuCCS Presentation Systems Inc.
 
Catalogo sevylor 2012
Catalogo sevylor 2012Catalogo sevylor 2012
Catalogo sevylor 2012FerreHogar
 
Everett shinn
Everett shinnEverett shinn
Everett shinnasensope
 
Prueba Gallinita1
Prueba Gallinita1Prueba Gallinita1
Prueba Gallinita1profesora Del Campo
 
Diapositivas psicologia de los grupos t.c 2
Diapositivas psicologia de los grupos t.c 2Diapositivas psicologia de los grupos t.c 2
Diapositivas psicologia de los grupos t.c 2jeremiasriveros
 
Community Gardens Toolkit: A Resource for Planning your Community Garden
Community Gardens Toolkit: A Resource for Planning your Community GardenCommunity Gardens Toolkit: A Resource for Planning your Community Garden
Community Gardens Toolkit: A Resource for Planning your Community GardenGeoAnitia
 
A masik en
A masik enA masik en
A masik enDigital Identity Agency Magyarország Kft.
 
Project_Chem2014
Project_Chem2014 Project_Chem2014
Project_Chem2014 smkbl
 
MINI CORSO INFORMATICO exchange .pptx
MINI CORSO INFORMATICO exchange .pptxMINI CORSO INFORMATICO exchange .pptx
MINI CORSO INFORMATICO exchange .pptxssuser1cba1b
 
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Walter Volpi
 
Corso sharepoint D2
Corso sharepoint D2Corso sharepoint D2
Corso sharepoint D2Decatec
 
Soluzioni ot per digicamere giugno 2010
Soluzioni ot per digicamere giugno 2010Soluzioni ot per digicamere giugno 2010
Soluzioni ot per digicamere giugno 2010Giuseppe Bottasini
 

Mais conteúdo relacionado

Destaque

Integrazione bitcoin con contabilita italiana
Integrazione bitcoin con contabilita italianaIntegrazione bitcoin con contabilita italiana
Integrazione bitcoin con contabilita italianaprgiorgio
 
WORKSHOP Blockchain Governance algoritmi per costruire la fiducia
WORKSHOP Blockchain Governance algoritmi per costruire la fiduciaWORKSHOP Blockchain Governance algoritmi per costruire la fiducia
WORKSHOP Blockchain Governance algoritmi per costruire la fiduciaMauro Giorgi
 
Internet of money, Fondamenti di Bitcoin
Internet of money, Fondamenti di BitcoinInternet of money, Fondamenti di Bitcoin
Internet of money, Fondamenti di BitcoinSimone Riccardi
 
Presentazione del mining Bitcoin
Presentazione del mining BitcoinPresentazione del mining Bitcoin
Presentazione del mining BitcoinI3P
 
Catalogo sevylor 2012
Catalogo sevylor 2012Catalogo sevylor 2012
Catalogo sevylor 2012FerreHogar
 
Everett shinn
Everett shinnEverett shinn
Everett shinnasensope
 
Diapositivas psicologia de los grupos t.c 2
Diapositivas psicologia de los grupos t.c 2Diapositivas psicologia de los grupos t.c 2
Diapositivas psicologia de los grupos t.c 2jeremiasriveros
 
Community Gardens Toolkit: A Resource for Planning your Community Garden
Community Gardens Toolkit: A Resource for Planning your Community GardenCommunity Gardens Toolkit: A Resource for Planning your Community Garden
Community Gardens Toolkit: A Resource for Planning your Community GardenGeoAnitia
 
Project_Chem2014
Project_Chem2014 Project_Chem2014
Project_Chem2014 smkbl
 

Destaque (18)

Integrazione bitcoin con contabilita italiana
Integrazione bitcoin con contabilita italianaIntegrazione bitcoin con contabilita italiana
Integrazione bitcoin con contabilita italiana
 
Bitcoin Revolution
Bitcoin RevolutionBitcoin Revolution
Bitcoin Revolution
 
WORKSHOP Blockchain Governance algoritmi per costruire la fiducia
WORKSHOP Blockchain Governance algoritmi per costruire la fiduciaWORKSHOP Blockchain Governance algoritmi per costruire la fiducia
WORKSHOP Blockchain Governance algoritmi per costruire la fiducia
 
Internet of money, Fondamenti di Bitcoin
Internet of money, Fondamenti di BitcoinInternet of money, Fondamenti di Bitcoin
Internet of money, Fondamenti di Bitcoin
 
Presentazione del mining Bitcoin
Presentazione del mining BitcoinPresentazione del mining Bitcoin
Presentazione del mining Bitcoin
 
Pessebrevirtualdef
PessebrevirtualdefPessebrevirtualdef
Pessebrevirtualdef
 
Recuerdos de Tablada
Recuerdos de TabladaRecuerdos de Tablada
Recuerdos de Tablada
 
Novoneyra
NovoneyraNovoneyra
Novoneyra
 
hoja vida guti 2016
hoja vida guti 2016hoja vida guti 2016
hoja vida guti 2016
 
Potaje de garbanzos
Potaje de garbanzosPotaje de garbanzos
Potaje de garbanzos
 
The future of multimedia classrooms is now at asu
The future of multimedia classrooms is now at asuThe future of multimedia classrooms is now at asu
The future of multimedia classrooms is now at asu
 
Catalogo sevylor 2012
Catalogo sevylor 2012Catalogo sevylor 2012
Catalogo sevylor 2012
 
Everett shinn
Everett shinnEverett shinn
Everett shinn
 
Prueba Gallinita1
Prueba Gallinita1Prueba Gallinita1
Prueba Gallinita1
 
Diapositivas psicologia de los grupos t.c 2
Diapositivas psicologia de los grupos t.c 2Diapositivas psicologia de los grupos t.c 2
Diapositivas psicologia de los grupos t.c 2
 
Community Gardens Toolkit: A Resource for Planning your Community Garden
Community Gardens Toolkit: A Resource for Planning your Community GardenCommunity Gardens Toolkit: A Resource for Planning your Community Garden
Community Gardens Toolkit: A Resource for Planning your Community Garden
 
A masik en
A masik enA masik en
A masik en
 
Project_Chem2014
Project_Chem2014 Project_Chem2014
Project_Chem2014
 

Semelhante a Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics

MINI CORSO INFORMATICO exchange .pptx
MINI CORSO INFORMATICO exchange .pptxMINI CORSO INFORMATICO exchange .pptx
MINI CORSO INFORMATICO exchange .pptxssuser1cba1b
 
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Walter Volpi
 
Corso sharepoint D2
Corso sharepoint D2Corso sharepoint D2
Corso sharepoint D2Decatec
 
Soluzioni ot per digicamere giugno 2010
Soluzioni ot per digicamere giugno 2010Soluzioni ot per digicamere giugno 2010
Soluzioni ot per digicamere giugno 2010Giuseppe Bottasini
 
Lezione 7 del 21 febbraio 2012 - CLOUD STORAGE PER USO PERSONALE
Lezione 7 del 21 febbraio 2012 - CLOUD STORAGE PER USO PERSONALELezione 7 del 21 febbraio 2012 - CLOUD STORAGE PER USO PERSONALE
Lezione 7 del 21 febbraio 2012 - CLOUD STORAGE PER USO PERSONALEGianluigi Cogo
 
Progettazione ed implementazione di una base di dati per la gestione di emiss...
Progettazione ed implementazione di una base di dati per la gestione di emiss...Progettazione ed implementazione di una base di dati per la gestione di emiss...
Progettazione ed implementazione di una base di dati per la gestione di emiss...Francesco Occhioni
 
Sviluppo apps multipiattaforma con visual studio e xamarin
Sviluppo apps multipiattaforma con visual studio e xamarinSviluppo apps multipiattaforma con visual studio e xamarin
Sviluppo apps multipiattaforma con visual studio e xamarinFabio Cozzolino
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeft Association
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsSandro Rossetti
 
Presentazione Zorzin
Presentazione ZorzinPresentazione Zorzin
Presentazione Zorzinshadow82
 
SVILUPPO DI UNA APPLICAZIONE PER L’ACQUISIZIONE DI DATI DA SUPPORTO CARTACEO:...
SVILUPPO DI UNA APPLICAZIONE PER L’ACQUISIZIONE DI DATI DA SUPPORTO CARTACEO:...SVILUPPO DI UNA APPLICAZIONE PER L’ACQUISIZIONE DI DATI DA SUPPORTO CARTACEO:...
SVILUPPO DI UNA APPLICAZIONE PER L’ACQUISIZIONE DI DATI DA SUPPORTO CARTACEO:...guest12aaa586
 
ecdl-modulo-7-reti-informatiche
ecdl-modulo-7-reti-informaticheecdl-modulo-7-reti-informatiche
ecdl-modulo-7-reti-informaticheMatekanc
 
Enterprise Spring and Flex applications
Enterprise Spring and Flex applicationsEnterprise Spring and Flex applications
Enterprise Spring and Flex applicationsmarcocasario
 
Installazione del cms alfresco
Installazione del cms alfrescoInstallazione del cms alfresco
Installazione del cms alfrescoMirco Leo
 
Sistemi operativi proprietari
Sistemi operativi proprietariSistemi operativi proprietari
Sistemi operativi proprietariGiadarossi
 
Sviluppo di un'applicazione ibrida su dispositivo mobile per l'interfacciamen...
Sviluppo di un'applicazione ibrida su dispositivo mobile per l'interfacciamen...Sviluppo di un'applicazione ibrida su dispositivo mobile per l'interfacciamen...
Sviluppo di un'applicazione ibrida su dispositivo mobile per l'interfacciamen...Mattia De Bernardi
 
SQLite in Xamarin.Forms
SQLite in Xamarin.FormsSQLite in Xamarin.Forms
SQLite in Xamarin.FormsGuido Magrin
 

Semelhante a Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics (20)

MINI CORSO INFORMATICO exchange .pptx
MINI CORSO INFORMATICO exchange .pptxMINI CORSO INFORMATICO exchange .pptx
MINI CORSO INFORMATICO exchange .pptx
 
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
 
Corso sharepoint D2
Corso sharepoint D2Corso sharepoint D2
Corso sharepoint D2
 
Soluzioni ot per digicamere giugno 2010
Soluzioni ot per digicamere giugno 2010Soluzioni ot per digicamere giugno 2010
Soluzioni ot per digicamere giugno 2010
 
Lezione 7 del 21 febbraio 2012 - CLOUD STORAGE PER USO PERSONALE
Lezione 7 del 21 febbraio 2012 - CLOUD STORAGE PER USO PERSONALELezione 7 del 21 febbraio 2012 - CLOUD STORAGE PER USO PERSONALE
Lezione 7 del 21 febbraio 2012 - CLOUD STORAGE PER USO PERSONALE
 
Progettazione ed implementazione di una base di dati per la gestione di emiss...
Progettazione ed implementazione di una base di dati per la gestione di emiss...Progettazione ed implementazione di una base di dati per la gestione di emiss...
Progettazione ed implementazione di una base di dati per la gestione di emiss...
 
Sviluppo apps multipiattaforma con visual studio e xamarin
Sviluppo apps multipiattaforma con visual studio e xamarinSviluppo apps multipiattaforma con visual studio e xamarin
Sviluppo apps multipiattaforma con visual studio e xamarin
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
 
Presentazione Zorzin
Presentazione ZorzinPresentazione Zorzin
Presentazione Zorzin
 
DDive11 - Novità Lotus Notes e Domino 8.5.3
DDive11 - Novità Lotus Notes e Domino 8.5.3DDive11 - Novità Lotus Notes e Domino 8.5.3
DDive11 - Novità Lotus Notes e Domino 8.5.3
 
SVILUPPO DI UNA APPLICAZIONE PER L’ACQUISIZIONE DI DATI DA SUPPORTO CARTACEO:...
SVILUPPO DI UNA APPLICAZIONE PER L’ACQUISIZIONE DI DATI DA SUPPORTO CARTACEO:...SVILUPPO DI UNA APPLICAZIONE PER L’ACQUISIZIONE DI DATI DA SUPPORTO CARTACEO:...
SVILUPPO DI UNA APPLICAZIONE PER L’ACQUISIZIONE DI DATI DA SUPPORTO CARTACEO:...
 
ecdl-modulo-7-reti-informatiche
ecdl-modulo-7-reti-informaticheecdl-modulo-7-reti-informatiche
ecdl-modulo-7-reti-informatiche
 
Enterprise Spring and Flex applications
Enterprise Spring and Flex applicationsEnterprise Spring and Flex applications
Enterprise Spring and Flex applications
 
Installazione del cms alfresco
Installazione del cms alfrescoInstallazione del cms alfresco
Installazione del cms alfresco
 
Sistemi operativi proprietari
Sistemi operativi proprietariSistemi operativi proprietari
Sistemi operativi proprietari
 
Sviluppo di un'applicazione ibrida su dispositivo mobile per l'interfacciamen...
Sviluppo di un'applicazione ibrida su dispositivo mobile per l'interfacciamen...Sviluppo di un'applicazione ibrida su dispositivo mobile per l'interfacciamen...
Sviluppo di un'applicazione ibrida su dispositivo mobile per l'interfacciamen...
 
8. Architetture web
8. Architetture web8. Architetture web
8. Architetture web
 
SQLite in Xamarin.Forms
SQLite in Xamarin.FormsSQLite in Xamarin.Forms
SQLite in Xamarin.Forms
 
Con04 glossario
Con04 glossarioCon04 glossario
Con04 glossario
 

Mais de Deft Association

deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020Deft Association
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT ToolsDeft Association
 
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...Deft Association
 
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...Deft Association
 
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeft Association
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeft Association
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeft Association
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deft Association
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeft Association
 
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi AndroidDeftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi AndroidDeft Association
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualDeft Association
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Deft Association
 
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deft Association
 
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...Deft Association
 
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...Deft Association
 
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...Deft Association
 

Mais de Deft Association (17)

Deft - Botconf 2017
Deft - Botconf 2017Deft - Botconf 2017
Deft - Botconf 2017
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
 
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
 
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
 
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
 
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi AndroidDeftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
 
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
 
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
 
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
 
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...
DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Use...
 

Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics

  • 1. WINDOWS 8 FORENSICS MATTIA EPIFANI (E CLAUDIA MEDA) DEFTCON MILANO, 11 APRILE 2014
  • 2. WINDOWS 8 FORENSICS COSAVEDREMO  Le «App» in Windows 8  User Assist  Search Charm History  Account locale vs.Account Microsoft  Prefetch File  History File (Internet Explorer)  Thumbnails
  • 3. APPLICAZIONI Due tipi di applicazioni Metro App Applicazioni Desktop I classici Programmi  Approvate e certificate da Microsoft  App integrate  App scaricabili dal Microsoft Store  140.000 App
  • 6. METRO APP  Le informazioni relative a ciascuna App sono memorizzate all’interno di 3 nuovi percorsi nel file system  %Root%Program FilesWindowsApps  %Root%Users%User%AppDataLocalPackages%App%  %Root%Users%User%AppDataLocalMicrosoftWindowsApplication Shortcuts
  • 7. CARTELLA PROGRAM FILESWINDOWSAPPS  Il file LNK rimanda alla cartella che contiene:  Eseguibile della App  Librerie  File di supporto  Icone
  • 8. CARTELLA APPDATALOCALPACKAGES%APP%  Per ciascuna Metro App  File di configurazione (es. username, parametri dell’applicazione, ecc.)  Informazioni sull’applicazione (es. file scambiati, messaggi, allegati, indirizzi email, profili visitati, ecc.)
  • 9. CARTELLA APPDATALOCALMICROSOFTWINDOWSAPPLICATION SHORTCUTS  Per ciascuna Metro App esiste una cartella contenente un file LNK  Dall’analisi delle Application Shortcuts è possibile recuperare la struttura del Metro Start (componente App) dello specifico utente
  • 10. USERASSIST  Lo User Assist è una chiave già presente all’interno delle precedenti versioni di Windows  Utile per determinare la frequenza di utilizzo di un’applicazione (per ciascun utente) e la data di ultima esecuzione dell’applicazione  Per le Metro App le informazioni della chiave UserAssist sono conservate nel registro UsrClass.dat all’interno della chiave LocalSettingsSoftwareMicrosoftWindowsCurrentVersionAppModelSystemAppData
  • 11. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Le configurazione dell’utente sono conservate nella cartella del profilo AppDataLocalPackagesMicrosoft.windowscommunicatisapps_8wekyb3d8bbwe  L'applicazione Contatti può incorporare diversi account (es. Microsoft Live, Facebook, ecc.)  L'applicazione Mail può incorporare diverse caselle di posta elettronica (es. Gmail, Hotmail, ecc.) Contatti Mail
  • 12. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella LocalStateIndexedLiveComm  InternetUID: identifica univocamente un utente Microsoft  Una sotto cartella per i dati dell’applicazione Mail e e una per i dati dell’applicazione Contatti
  • 13. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella Mail  Singoli file .eml  Header in chiaro  Testo in Base64  Problemi in fase di indexing?
  • 14. ESEMPIO:ANALISI DELLE COMMUNICATIONS APP  Cartella People  Cartella AddressBook: contiene i singoli file .eml con info in chiaro come nome, cognome, email, profilo Facebook, ecc.  Cartella Me: informazioni sugli account dell’utente  Cartella ACINetCache: cache della navigazione attraverso l’applicazione (es. Facebook)
  • 15. ESEMPIO:ANALISI DELLA APPLICAZIONE SKYPE  Le informazioni tradizionali (main.db, chatsync, ecc.) sono conservate nella cartella di configurazione del programma AppDataLocalPackagesMicrosoft.SkypeApp_kzf8qxf38zg5cnLocalState%skypeusername%  Le informazioni relative ai file scambiati sono conservate anche nel registro UsrClass.dat di ciascun utente LocalSettingsSoftwareMicrosoftWindowsCurrentVersionAppModelSystemAppDa taMicrosoft.SkypeApp_kzf8qxf38zg5cPersistedStorageItemTableManagedByApp
  • 16. ESEMPIO:ANALISI DELLA APPLICAZIONE SKYPE  Viene creato un {GUID} per ciascun file scambiato (inviato/ricevuto)  Per ogni {GUID} esistono cinque valori:  LastUpdateTime: timestamp di ricezione/invio del file  Flags: valore REG_DWORD (0x00000005 – Invio / 0x00000000 Ricezione)  FilePath: percorso di salvataggio del file  Link: altre informazioni sul file
  • 17. SEARCH CHARM HISTORY  Strumento che permette di cercare all'interno del sistema applicazioni, file e impostazioni  Nuovo chiave nel registro NTUSER.DAT SoftwareMicrosoftWindowsCurrentVersionExplorerSearchHistoryMicrosoft.Window s.FileSearchApp  Windows 8 and 8.1: Search Charm History http://dfstream.blogspot.it/2013/09/windows-8-and-81-search-charm-history.html  Search history onWindows 8 and 8.1 http://www.swiftforensics.com/2014/04/search-history-on-windows-8-and-81.html
  • 19. ACCOUNT LOCALEVS ACCOUNT MICROSOFT  Esistono due tipologie di account in Windows 8:  Account Locale – classico account presente nei SO precedenti  Account Microsoft – nuova tipologia
  • 20. ACCOUNT LOCALEVS ACCOUNT MICROSOFT  Se è in uso un Account Locale, la hive SAM coincide con le versioni precedenti  Se è in uso un Account Microsoft, la hive SAM presenta nuovi valori  InternetUserName: email utilizzata da utente per registrazione account Microsoft  InternetUID: associa utente (email) a MicrosoftWindows Live (si trova in ogni app che richiede inserimento email da parte dell'utente – es. Skype)  InternetSID: identificativo dell'utente online  GivenName: nome utente associato ad account Microsoft  Surname: cognome utente associato ad account Microsoft
  • 21. SAMPARSE.PL - REGRIPPER PLUGIN  Estrae informazioni relative all’account Microsoft dell'utente:  Account Type  Internet User Name  Internet UID  Given Name  Surname  Internet Provider GUID  Internet SID
  • 22. PREFETCH FILE  Possono essere presenti fino a 1024 file di prefetch (precedenti versioni di Windows 128)  Utili fino ad ora in Windows per determinare  Programmi eseguiti (eventualmente anche disinstallati)  Nome dell’applicazione  Numero di esecuzioni  Data e ora di prima esecuzione  Data e ora di ultima esecuzione  http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html  http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html
  • 23. PREFETCH FILE  File signature  1 byte Versione del Sistema Operativo  0x11 XP  0x17W7  0x18W8  4 byte  signature (SCCA)  4 byte  Nome applicazione
  • 24. PREFETCH FILE  Last AccessTime  Timestamp relativo all'ultimo utilizzo dell'applicazione.  Windows 8 memorizza gli ultimi 8 timestamp mar, 19 novembre 2013 17.16.11 UTC mar, 19 novembre 2013 08.34.27 UTC
  • 25. PEN DRIVE USB  Presenti due nuovi valori nel registro che memorizzano:  Device Last Insertion Date  Device Last Removal Date  Windows 8 New Registry Artifacts Part 1 - New DeviceTimestamps http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html  Device LastRemovalDate & LastArrivalDate Behavior inWindows 8 http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html
  • 26. INTERNET EXPLORER 10 (E SUCCESSIVI)  File di cronologia e cache in un nuovo formato  Basati su database ESE (Extensible Storage Engine), già utilizzato per il database di Windows Search e per altre strutture dati in Windows 7  Es. WebCacheV01.dat  Nirsoft Browsing HistoryView  http://www.nirsoft.net/utils/browsing_history_view.html  Nirsoft ESE DatabaseView  http://www.nirsoft.net/utils/ese_database_view.html  Forensic Analysis of the ESE database in Internet Explorer 10 http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf
  • 28. THUMBNAILS  Sono ritornati i fileThumbs.db come in Windows XP…  Ma in un formato diverso  E creati solo per file visualizzati all’interno di cartelle del profilo dell’utente  Sono anche presenti i tradizionali file Thumbcache, già introdotti da Windows 7 (anzi di più…)  Windows 8Thumbs.db files - still the same and not the same! http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same-and.html
  • 29. WINDOWS PHONE 8 FORENSICS MATTIA EPIFANI (E CLAUDIA MEDA) MILANO, 10 APRILE 2014
  • 30. WINDOWS PHONE 8 FORENSICS  Nuovo sistema operativo utilizzato prevalentemente da Nokia e HTC  Utilizza diversi sistemi di protezione  Secure Boot (basato su signed firmware)  Full disk encryption della memoria interna (BitLocker)  Local e Remote Wiping  Lock code  App sandboxing  Non sono al momento disponibili tecniche per:  Passcode cracking  Acquisizione fisica, anche con passcode noto
  • 31. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  L’acquisizione logica è supportata da pochi software forensi e con capacità limitate  UFED Cellebrite Touch è l’unico che riesce ad estrarre la rubrica dei contatti, attraverso connessione Bluetooth  UFED e Oxygen Forensics supportano l’acquisizione dei dati multimediali e delle informazioni del sistema operativo  Seriale del telefono  Versione del S.O.  Immagini  Documenti  Video  Musica
  • 32. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  Le immagini contengono:  Data di scatto  Modello di telefono utilizzato  Informazioni di geoposizionamento (se attive)  http://www.gps-coordinates.net/
  • 33. WINDOWS PHONE 8 FORENSICS – ACQUISIZIONE LOGICA  I documenti possono contenere metadati interni (Office/PDF)
  • 34. WINDOWS PHONE 8 FORENSICS – BACKUP  Il backup dei dati utente si può fare solo online su account SkyDrive  Non è possibile quindi trovare un backup sul computer  Nel backup possono essere salvati:  Contatti  SMS  Registro chiamate  Calendario  Lista delle applicazioni installate  Configurazioni delle applicazioni  Immagini, Documenti eVideo  I dati di un backup possono essere unicamente ripristinati su un dispositivo conWindows Phone 8  I ricercatori di Elcomsoft stanno studiando metodi per permettere il download del backup (come già hanno fatto per iCloud)
  • 35. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Metodo sperimentale (DONTRY IT AT HOME!)  Principio: installare un’applicazione non firmata da Microsoft  Di default non è possibile, tuttavia…  Creando un account MSDN sul sito web Microsoft è possibile associare il dispositivo Windows Phone all’utente sviluppatore  In questo modo si possono caricare 2 applicazioni direttamente da PC  Le applicazioni non devono essere per forza firmate da Microsoft
  • 36. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Installo l’applicazione  W8Webserver http://forum.xda-developers.com/showthread.php?t=2355034  Apre un server web sul dispositivo in ascolto sulla porta 9999  Attivo la connessioneWiFi sul dispositivo  Creo una rete tra il dispositivo e il computer di acquisizione (NON CONNESSA AD INTERNET!)
  • 37. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM  Riesco ad accedere a parte del file system e del registro di sistema  Non è possibile al momento accedere alle cartelle delle applicazioni…ma stanno arrivando i primi sistemi di Rooting (già esistenti per i Samsung con WP8)
  • 38. WINDOWS PHONE 8 FORENSICS – ACCESSO LIVE AL FILE SYSTEM
  • 39. WINDOWS 8 FORENSICS – IISFA MEMBERBOOK 2013
  • 40. WINDOWS FORENSIC ANALYSIS TOOLKIT, 4TH EDITION
  • 41. WINDOWS 8 FORENSICS - RIFERIMENTI  Windows 8 Update http://ad-misc.s3.amazonaws.com/aduc12_computer-forensics_04_windows-8- updates.pdf  Windows 8 Forensics http://forensicinsight.org/wp-content/uploads/2012/03/INSIGHT-Windows-8- Forensics.pdf  Windows 8 Forensic Guide http://propellerheadforensics.files.wordpress.com/2012/05/thomson_windows-8- forensic-guide2.pdf  Windows 8: a forensic First Look http://www.forensicfocus.com/downloads/windows-8-forensics-josh-brunty.pdf  What's New in the Prefetch for Windows 8?? http://www.invoke-ir.com/2013/09/whats-new-in-prefetch-for-windows-8.html  Windows Prefetch (.PF) files http://www.swiftforensics.com/2013/10/windows-prefetch-pf-files.html  Forensic Analysis of the ESE database in Internet Explorer 10 http://hh.diva-portal.org/smash/get/diva2:635743/FULLTEXT02.pdf  Windows 8 New Registry Artifacts Part 1 - New Device Timestamps http://www.swiftforensics.com/2013/11/windows-8-new-registry-artifacts-part-1.html  Device LastRemovalDate & LastArrivalDate Behavior in Windows 8 http://www.swiftforensics.com/2013/12/device-lastremovaldate-lastarrivaldate.html  Windows 8 Thumbs.db files - still the same and not the same! http://www.swiftforensics.com/2014/04/windows-8-thumbsdb-files-still-same- and.html  Windows 8 Recovery Forensics https://digital-forensics.sans.org/summit-archives/2012/windows-8-recovery-forensics- understanding-the-three-rs.pdf  Windows 8: Tracking Opened Photos http://dfstream.blogspot.ch/2013/03/windows-8-tracking-opened-photos.html  Amcache.hve in Windows 8 - Goldmine for malware hunters http://www.swiftforensics.com/2013/12/amcachehve-in-windows-8-goldmine-for.html  Amcache.hve - Part 2 http://www.swiftforensics.com/2013/12/amcachehve-part-2.html
  • 42. DFA OPEN DAY 2014  5 Giugno 2014  Università degli Studi di Milano  Giornata di studio di 8 ore sui temi:  OSINT e Investigazioni Digitali  Security e Incident Response aziendale  Partecipazione gratuita  www.perfezionisti.it
  • 43. Q&A? Mattia Epifani  Digital Forensics Analyst & Mobile Device Security Analyst  CEO @ REALITY NET – System Solutions  IISFA Italian Chapter  DFA Association  GCFA, GMOB, CEH, CHFI, CCE, CIFI, ECCE,AME,ACE, MPSC Mail mattia.epifani@realitynet.it Twitter @mattiaep Linkedin http://www.linkedin.com/in/mattiaepifani Blog http://mattiaep.blogspot.it