Archivio tag: accessdata

Corso intensivo Digital Forensics

E’ terminato un nuovo corso intensivo di una settimana con lo scopo di rifinire la professionalità di una nuova azienda che si è dotata di un laboratorio estremamente valido dedicato alla Digital Forensics.

Nei due giorni che mi hanno visto impegnato nella docenza abbiamo introdotto la Digital Forensics nelle sue fasi principali, evidenziando le diverse professionalità richieste e suggerendo numerosi accorgimenti frutto di anni di esperienza sul campo.
La fasi di identificazione, acquisizione e conservazione sono state sviscerate e analizzate nei dettagli, con particolare cura per le delicate attività di live forensics.
Sono state analizzate le diverse modalità di copia forense, in particolare di sistemi complessi e valutando ogni mezzo a disposizione (write blocker hardware, duplicatori, distribuzioni Linux quali Deft, l’utilizzo della LAN, ecc.).
Abbiamo trattato in dettaglio alcuni argomenti specifici di grande interesse e attualità, quali Facebook, Cloud Forensics, gli ambienti virtualizzati, l’analisi del Malware, ecc.
Le ultime ore sono state dedicate a suggerimenti su come redigere una relazione scritta efficace e a come comportarsi in udienza.

Con queste basi forti e assodate, i restanti docenti hanno potuto affrontare in dettaglio temi relativi all’analisi in laboratorio, come il partizionamento, i file system più diffusi (NTFS, FAT, EXT, HFS+, ecc.), data recovery, windows e mac forensics, antiforensics, mobile forensics con particolare attenzione per iOS e Android, e l’utilizzo della suite FTK.

Come negli altri eventi passati, ho avuto la fortuna di lavorare con studenti che si sono rivelati professionisti appassionati, disponibili e affamati di conoscenza, con molta soddisfazione anche per noi docenti.

Visualizzare le copie forensi

GUIDA ALLA VISUALIZZAZIONE DELLE COPIE FORENSI

Talvolta le Forze dell’Ordine chiedono come poter visionare il contenuto di una copia forense.
Molti si aspettano infatti di poter visualizzare direttamente il contenuto dei dischi copiati, e si imbattono invece in una serie di file dal formato sconosciuto.

La copia forense può essere prodotta principalmente in due formati: “Expert Witness Format”, spesso erroneamente chiamato “formato Encase”, (estensione “.ewf” o “.e01”) o in formato “raw” (estensione “.dd”, “.raw”, “.img”, ecc.).

Esistono numerosi software a pagamento per visualizzare il contenuto di una copia forense, ma l’operazione può essere compiuta anche con un software commerciale ad uso gratuito: FTK Imager.
Ecco una breve guida per visualizzare il contenuto delle copie forensi utilizzando un sistema operativo Microsoft Windows.

 

1 – INSTALLAZIONE DEL SOFTWARE

Scaricare il software dal sito della AccessData.
http://www.accessdata.com/support/product-downloads
Il software è “FTK Imager”, attenzione non la versione “Lite”. Premere su “download”
Inserire la propria e-mail ed i propri dati (altrimenti inserire info@synaptic.it), scaricare il file ed installarlo come Amministratore del pc.
Se necessario, riavviare il pc.

 

2 – APERTURA DELLA COPIA FORENSE

Avviare FTK Imager.
Il software presenta una schermata simile alla seguente.

FTK Imager

Scegliere il menu “FILE” e la voce “IMAGE MOUNTING”.
Nella schermata successiva premere il bottone “…” evidenziato nell’immagine seguente.

FTK Imager

Individuare la copia forense da visualizzare, selezionarla e premere “APRI”. Nell’esempio seguente la copia forense scelta è chiamata “USB_02”.

FTK Imager

Nella schermata seguente verificare che alla voce “MOUNT METHOD” sia selezionata l’opzione “BLOCK DEVICE / READ ONLY” e premere il tasto “MOUNT”.

FTK Imager

L’immagine è stata “montata” e aprendo “Esplora Risorse” di Windows (scorciatoia tasto Windows + E) si noteranno nuove unità logiche.
A questo punto è possibile operare come se la sorgente originale fosse direttamente collegata al pc tramite un write-blocker hardware, e sarà quindi possibile visualizzarne il contenuto, copiare file, ecc.

Terminata l’analisi l’immagine deve essere “smontata”.
Selezionare una alla volta tutte le voci presenti di “MAPPED IMAGES” e per ciascuna premere il tasto “UNMOUNT”.
Esaurite le voci, premere il tasto “CLOSE” e chiudere FTK Imager.

FTK Imager