Archivio tag: dd

Visualizzare le copie forensi

GUIDA ALLA VISUALIZZAZIONE DELLE COPIE FORENSI

Talvolta le Forze dell’Ordine chiedono come poter visionare il contenuto di una copia forense.
Molti si aspettano infatti di poter visualizzare direttamente il contenuto dei dischi copiati, e si imbattono invece in una serie di file dal formato sconosciuto.

La copia forense può essere prodotta principalmente in due formati: “Expert Witness Format”, spesso erroneamente chiamato “formato Encase”, (estensione “.ewf” o “.e01”) o in formato “raw” (estensione “.dd”, “.raw”, “.img”, ecc.).

Esistono numerosi software a pagamento per visualizzare il contenuto di una copia forense, ma l’operazione può essere compiuta anche con un software commerciale ad uso gratuito: FTK Imager.
Ecco una breve guida per visualizzare il contenuto delle copie forensi utilizzando un sistema operativo Microsoft Windows.

 

1 – INSTALLAZIONE DEL SOFTWARE

Scaricare il software dal sito della AccessData.
http://www.accessdata.com/support/product-downloads
Il software è “FTK Imager”, attenzione non la versione “Lite”. Premere su “download”
Inserire la propria e-mail ed i propri dati (altrimenti inserire info@synaptic.it), scaricare il file ed installarlo come Amministratore del pc.
Se necessario, riavviare il pc.

 

2 – APERTURA DELLA COPIA FORENSE

Avviare FTK Imager.
Il software presenta una schermata simile alla seguente.

FTK Imager

Scegliere il menu “FILE” e la voce “IMAGE MOUNTING”.
Nella schermata successiva premere il bottone “…” evidenziato nell’immagine seguente.

FTK Imager

Individuare la copia forense da visualizzare, selezionarla e premere “APRI”. Nell’esempio seguente la copia forense scelta è chiamata “USB_02”.

FTK Imager

Nella schermata seguente verificare che alla voce “MOUNT METHOD” sia selezionata l’opzione “BLOCK DEVICE / READ ONLY” e premere il tasto “MOUNT”.

FTK Imager

L’immagine è stata “montata” e aprendo “Esplora Risorse” di Windows (scorciatoia tasto Windows + E) si noteranno nuove unità logiche.
A questo punto è possibile operare come se la sorgente originale fosse direttamente collegata al pc tramite un write-blocker hardware, e sarà quindi possibile visualizzarne il contenuto, copiare file, ecc.

Terminata l’analisi l’immagine deve essere “smontata”.
Selezionare una alla volta tutte le voci presenti di “MAPPED IMAGES” e per ciascuna premere il tasto “UNMOUNT”.
Esaurite le voci, premere il tasto “CLOSE” e chiudere FTK Imager.

FTK Imager