Un kit essenziale, preferibilmente basato su software libero, consente di coprire acquisizione, analisi e reportistica.
Contesto e Teoria
Seleziona tool affidabili, ben documentati e con community attive. Prediligi formati standard e output riproducibili.
Svolgimento Tecnico
Acquisizione: Guymager / dc3dd con hashing.
Analisi host: Autopsy + Sleuth Kit; Plaso/Log2Timeline per timeline.
Rete: Wireshark e Zeek per PCAP e telemetrie.
Memoria: Volatility per RAM dump.
Automazione: Python per parser e report.
Errori comuni: installazioni estemporanee, mancato version pinning, assenza di checklist.
Strumenti Utili
Guymager, dc3dd — imaging.
Autopsy / Sleuth Kit — analisi dischi e artefatti.
Plaso/Log2Timeline — timeline.
Volatility — memory forensics.
Wireshark, Zeek — rete.
CyberChef — trasformazioni e decoding.
Caso Pratico
Creazione di una live USB con toolkit libero, checklist e modelli di report: pronti per acquisire e analizzare senza toccare l’OS del reperto.
Riferimenti e Risorse Esterne
Manuali e wiki dei progetti open source citati.
Guide alla costruzione di ambienti live e all’hardening.
Conclusione
Un kit open, coerente e documentato accelera ogni indagine. Domani: il glossario di base.