E’ buffo, ma non ho mai trovato il tempo per scrivere una completa review di DEFT. Oggi, il giorno del mio santo (buon santo Stefano a tutti i miei omonimi) posso dedicare un pò del mio tempo libero per raccontarvi, anche in un modo informale, cos’è e cosa fa DEFT v5.


“Sbarcato” da circa 6 mesi su distrowatch occupando con successo (arrivando anche al sedicesimo posto per una settimana) la top 100 delle distribuzioni Linux mondiali, DEFT, acronimo di Digital Evidence e Forensic Toolkit, altro non è che un grosso sacco (un computer forensics bag se proprio vogliamo usare termini anglosassoni moderni) contenente una distribuzione live cd Linux e una Forensic GUI, chiamata DEFT Extra, che interfaccia una collezione di programmi informatico forensi per sistema operativi Microsoft Windows.


DEFT Linux è una personalizzazione della distribuzione Xubuntu Linux sviluppata secondo le metodologie del NIST per l’implementazione di sistemi e software ad usi informatico forensi. Attualmente basata su Kernel 2.6.31, LXDE come  desktop environment e Thunar come file manager, DEFT raccoglie una accurata selezione dei migliori tool per la disk forensic come:
  • The Sleuthkit, una collezione di utility per eseguire operazioni di disk forensic come il recupero file cancellati, time line, ricerca di contenuti ecc…
  • Autopsy Forensic Browser, l’interfaccia grafica di The Sleuthkit
  • Dhash, software per l’acquisizione e calcolo di hash rapido su memorie di massa e file
  • Guymager, software per la parallelizzazione di acquisizioni di memorie di massa
  • Linen, software per l’acquisizione di memorie di massa fornito dalla Guidance Software
  • dcfldd e dd rescue, software per l’acquisizione di memorie di massa
  • Md5 e Sha1 deep, tool per il calcolo di hash
  • Foremost, software per il carving di dati
  • Photorec, software per il carving di dati
  • Scalpel, software per il carving
  • Hexedi, editor esadecimale di file e device
  • Search file, tool per la ricerca avanzata di file
  • Mount Manager, tool per il mount assistito di memorie di massa
  • Gpart, tool per la gestione di device e file system

i migliori tool per la Network Forensic come:

  • Xplico, network forensic analysis tool
  • Wireshark, network protocol analyzer
  • Nessus, security scanner
  • Nmap, security scanner
  • Kismet, wireless network detector
  • Ettercap, suite per eseguire attacchi con metodologia “man in the middle”

i migliori tool per il cracking di password come Ophcrack e Jhon the Ripper, i migliori tool per l’individuazione e l’analisi di malware e virus come Clam antivirus, Rkhunter, John the ripper e Chkrootkit. Oltre a tutto questo “ben di Dio”, esistono anche piccole utility come TrID, uno dei migliori identificatori di tipo di file, oppure mc, un ottimo file manager testuale, che aiutano l’analista durante l’attività investigativa e recordmydesktop per eseguire dei video per documentare l’attività peritale.

DEFT Extra è una interfaccia grafica che permette di eseguire molteplici operazioni tipiche nei sequestri di materiale informatico; disegnata per alterare il meno possibile il sistema durante l’attività di pre analisi, DEFT Extra permette di acquisire il contenuto di memorie di massa e della memoria ram, calcolare hash, analizzare la navigazione Internet dei più importanti browser come Firefox, IE, Opera e Chrome, rilevare gli user name e password salvate, analizzare il Registro di Windows, recuperare file cancellati, analizzare il sistema alla ricerca di rootkit, malware o virus, analizzare i log di Skype, eseguire time line, effettuare analisi della corrispondenza locale di posta elettronica, mettere sotto osservazione un computer mediante l’utilizzo di un keylogger, carpire informazioni sui dispositivi esterni collegati nel computer posto ad analisi e molto altro ancora.

Per una lista dettagliata dei tool vi rimando alla pagina ufficiale.