Monday, December 1, 2008

FACE: Automated digital evidence discovery and correlation

Interessante pesquisa/protótipo de ferramenta para
correlacionar resultados de forense de disco/ forense
de memória/ forense de rede: (pdf).

O conceito é muito interessante, e é bem possível que
vejamos isto como commodity em alguns anos, talvez
através de um padrão/protocolo aberto de
relacionamento entre estas tecnologias e fabricantes...

Abstract:

"Digital forensic tools are being developed at a brisk pace in response
to the ever increasing variety of forensic targets. Most tools are
created for specific tasks – filesystem analysis,memory analysis,
network analysis, etc. – and make little effort to interoperate with
one another. This makes it difficult and extremely time-consuming
for an investigator to build a wider view of the state of the system
under investigation. In this work, we present FACE, a framework
for automatic evidence discovery and correlation from a variety of
forensic targets. Our prototype implementation demonstrates the
integrated analysis and correlation of a disk image, memory image,
network capture, and configuration log files. The results of this
analysis are presented as a coherent view of the state of a target
system, allowing investigators to quickly understand it. We also
present an advanced open-source memory analysis tool, ramparser,
for the automated analysis of Linux systems."
at

3 comments:

  1. Tony Rodrigues12/02/2008 12:24 PM

    Interessante; Já baixei o pdf para ler com calma. Por alto, parece fazer a mesma correlação que o pyFlag, que está cada vez mais bacana.
    O grupo que venceu a conferência DWXYZ-sei-lá-o-que, que tem tantas siglas que eu não me lembro mais, usou o pyFlag para correlacionar dados de fontes diferentes.

    Abração !

    ReplyDelete
  2. SS12/05/2008 12:16 PM

    É verdade Tony.. o pyFlag é muito bom mesmo e foi usado pelo time que ganhou o DFRWS (www.dfrws.org) - que siglazinha difícil mesmo..

    Outro challenge legal - até mais completo e complexo em desafios e técnicas necessárias para completar - é o do DC3 (www.dc3.mil/challenge), já viste?

    ReplyDelete
  3. Tony Rodrigues12/19/2008 1:47 PM

    Rapaz, eu já tinha visto esse site sim, mas perdi o interesse depois de tentar sem sucesso achar as challenges. Será que só tem acesso a elas ao fazer a inscrição no contest ?

    ReplyDelete