Your forensic launcher box
Nuovo aggiornamento per Bento! Ho appena rilasciato la versione di luglio 2022.
Bento è una suite di programmi utili agli scopi di live forensics e incident response.
È stato assemblato per fornire uno strumento di supporto ai sopralluoghisti della Polizia Scientifica per le attività di sopralluogo informatico e per dare agli altri first responder un toolkit in grado di aiutarli ad affrontare le più comuni attività di identificazione, rilievo, acquisizione, repertazione e preservazione di evidenze digitali da sistemi operativi Windows, Linux e Mac OSX in modalità live.
Non è scopo di Bento fornire strumenti di analisi forense al di fuori degli accertamenti strettamente necessari in modalità live e delle finalità di triage.
Bento è stato presentato in anteprima ad HackInBo Winter Edition 2018 e da allora viene aggiornato con una periodicità di circa 6 mesi.
La versione attuale è la 2022.7, è scaricabile da qui e deve restituire il seguente hash:
- MD5: b7e4bd554b706e81f4e24a1006cdf4b9 *Bento2022.7_public.7z
### CHANGE LOG
Dalla release precedente:
- Aggiornato SyMenu e tutti i pacchetti
- Integrato WinTriage
- Aggiunto dfirt 1.0 (https://github.com/mamun-sec/dfirt)
- Aggiunto LinuxCatScale 1.3.1 (https://github.com/FSecureLABS/LinuxCatScale)
- Rimosso Binalyze ACQUIRE (a causa del blocco del download diretto via SPS)
### COSE DA FARE
A causa di limitazioni nelle licenze d’uso, non è stato possibile ridistribuire in Bento questi software, che possono essere eventualmente integrati dall'utente finale:
1) Sysinternals Suite
La suite è interamente supportata da SyMenu, quindi per scaricare tutti i componenti è sufficiente selezionare dal menu "Tools" la voce "Get new apps", selezionare il tab "SyMenu Suite", applicare il filtro di ricerca ":pub sysinternals", spuntare tutte applicazioni e premere il pulsante "Apply all".
2) Magnet Forensics
EDD and MagnetRAMCapture possono essere scaricati dal sito di Magnet Forensics, a questi indirizzi:
http://www.magnetforensics.com/free_tools/EncryptedDiskDetector
http://www.magnetforensics.com/free_tools/MagnetRAMCapture
Una volta acquisiti i due eseguibili, salvarli nella cartella
\Bento\ProgramFiles\SPSSuite\BentoSuite
3) KAPE
KAPE è supportato da SyMenu Suite, quindi per scaricarlo è sufficiente selezionare dal menu "Tools" la voce "Get new apps", selezionare il tab "SyMenu Suite", cercare "KAPE", spuntare la relativa voce in elenco e premere il pulsante "Apply all".
4) AccessData FTK Imager Lite, FTK Imager e FTK Imager Command Line
FTK Imager Lite è supportato da SyMenu Suite, quindi per scaricarlo è sufficiente selezionare dal menu "Tools" la voce "Get new apps", selezionare il tab "SyMenu Suite", cercare "FTK Imager Lite", spuntare la relativa voce in elenco e premere il pulsante "Apply all".
Poichè FTK Imager Lite non è più sviluppato, dalla pagina https://accessdata.com/product-download è possibile scaricare il pacchetto di installazione di FTK Imager, installarlo su una workstation fidata e copiare il contenuto della cartella C:\Program Files\AccessData\FTK Imager nel percorso \Bento\ProgramFiles\SPSSuite\BentoSuite\FTK Imager
Dalla pagina https://accessdata.com/product-download è inoltre possibile scaricare FTK Imager Command Line Versions:
- per Debian/Ubuntu
da mettere nella cartella \Bento\ProgramFiles\linux\ftkimager\debian
- per Fedora
da mettere nella cartella \Bento\ProgramFiles\linux\ftkimager\fedora
- per Mac OSX
da mettere nella cartella \Bento\ProgramFiles\macosx\ftkimager
- per Windows
da mettere nella cartella \Bento\ProgramFiles\windows-cli\ftkimager
5) AChoir
Avviare una volta AChoir BUILDER dal menu di Bento utilizzando una postazione Internet fidata per poter completare il toolkit.