Selective file dumper
Da Wikipedia, l'enciclopedia libera.
Selective File Dumper è un tool Open Source sviluppato da Nanni Bassetti e Denis Frati, che facilita la ricerca dei file per tipologia o meglio per estensione (es. .doc o .jpg), realizzato principalmente per l'informatica forense. Il progetto nasce dall'esigenza di facilitare la ricerca ed l'estrazione di tutti i file di un certo tipo, utilizzando il software Sleuthkit, in ambiente Linux. In particolare, evita la duplicazione dei file recuperati (referenziati e cancellati) che avviene utilizzando in seguito Foremost per effettuare data carving, al fine di estrarre i file anche dallo spazio non allocato. Grazie all'operazione di carving, si possono estrarre anche quei file che sono stati rinominati, ovvero non viene presa in considerazione la sola estensione. Il software ha pure la possibilità di effettuare una ricerca per keyword su tutti i file recuperati ed avere dei log file riepilogativi.
Il progetto è basato su un Linux Bash Script interattivo, e lavora su un file immagine o direttamente su un dispositivo. Il tool consente inoltre di estendere il file di configurazione di Foremost, interno allo script.
SFDumper è presente nella nuova Linux live distro CAINE, sviluppata dall'Università di Modena.
I software utilizzati dallo script sono Open Source, testati ed accettati dalla comunità di informatica forense. Si tratta di:
- Sleuthkit - per il recupero dei file referenziati e cancellati.
- Foremost - per il data carving.
- Sha256deep – per calcolare il codice hash dei file referenziati, eliminati e carvati.
- Grep - per la ricerca di parole chiave.
- Awk - per analizzare l'output del software di cui sopra.
- Sed - per analizzare l'output del software di cui sopra.
- dd – per fornire il bitstream della partizione prescelta come input per Foremost.
