Aprire la copia forense di un PC

Talvolta gli avvocati, i clienti o le Forze dell’Ordine ci chiedono come poter aprire le copie forensi e leggerne il contenuto. Molti si aspettano infatti di poter aprire con facilità i dischi copiati, e si imbattono invece in una serie di file dal formato sconosciuto.
Per questo motivo abbiamo deciso di realizzare una serie di guide brevi e operative.
In questo articolo spieghiamo come aprire la copia forense di un PC, una chiavetta, un disco USB o una microSD, e visualizzarne il contenuto.

Quale software usare per aprire la copia forense di un PC?

La copia forense di un PC o di un supporto USB (come una chiavetta, un disco esterno o una scheda di memoria MicroSD) può essere prodotta principalmente in due formati: Expert Witness Format, che ha file con estensione .e01 (spesso erroneamente chiamato formato Encase) o formato Raw, con estensioni .dd o .img.
Esistono numerosi software a pagamento per visualizzare il contenuto di una copia forense, ma l’operazione può essere compiuta anche con un software commerciale ad uso gratuito: FTK Imager.
I passaggi descritti prevedono che si utilizzi un computer con Windows (non esistono alternative gratuite per macOS).

Installare il software

Ecco i passaggi da compiere per ottenere e installare FTK Imager.

  1. Scarica il software dal sito della Exterro cliccando sul seguente link.
    https://www.exterro.com/digital-forensics-software/ftk-imager
    Premi su “free download”, inserisci i tuoi dati e il tuo indirizzo email.
  2. Scarica il file e installa il programma seguendo le indicazioni. Se necessario, riavvia il PC.
  3. Avvia FTK Imager.

Il software presenterà una schermata simile alla seguente.

Come aprire la copia forense di un PC con FTK Imager

A questo punto puoi scegliere:

  • Puoi usare FTK Imager per navigare il contenuto della copia forense.
  • Oppure puoi usare FTK Imager per “montare” la copia forense, sarà come aver collegato un disco USB al PC.

Opzione 1: Usare FTK Imager per aprire la copia forense

Premi sul menu “File” e “Add Evidence Item”.

Apri la copia forense con FTK Imager

Sciegli la voce “Image File” (copia forense in inglese).

Scegli Image File

Ora individua la copia forense da visualizzare, selezionala e premi “Apri”.
Nell’esempio seguente la copia forense scelta è chiamata “jo-favorites-usb-2009-12-11.E01”.
Se ci sono molti file con estensioni diverse (e01, e02, e03, ecc.) in realtà si tratta di una sola copia forense suddivisa in più file. Seleziona il primo file (e01) e FTK Imager si occuperà di ricostruire tutto la copia forense automaticamente.

Scegli la copia forense

Ora puoi navigare il contenuto delle cartelle e vedere i file in anteprima, utilizzando le funzionalità interne di FTK Imager.

Naviga la copia forense con FTK Imager

Quando hai terminato, clicca sul menu “File” alla voce “Remove All Evidence Items” e poi chiudi FTK Imager.

Opzione 2: Aprire la copia forense come un disco USB

Apri FTK Imager, premi sul menu “File” e “Image Mounting”.

Image Mounting
Scegli la copia forense

Ora individua la copia forense da visualizzare, selezionala e premi “Apri”.
Nell’esempio seguente la copia forense scelta è chiamata “jo-favorites-usb-2009-12-11.E01”.
Se ci sono molti file con estensioni diverse (e01, e02, e03, ecc.) in realtà si tratta di una sola copia forense suddivisa in più file. Seleziona il primo file (e01) e FTK Imager si occuperà di ricostruire tutto la copia forense automaticamente.

Scegli la copia forense

Nella schermata seguente alla voce “Mount Method” puoi scegliere “Block Devide / Read Only” (se non vuoi modificare il contenuto dei file), o “Block Devide / Writable” (se vuoi poter modificare i file, e non preoccuparti: la copia forense rimarrà intatta). Poi premi il tasto “Mount”.

Scegli la modalità di lettura

L’immagine è stata “montata” e aprendo “Esplora Risorse” di Windows (scorciatoia tasto Windows + E) si noteranno nuove unità logiche.
A questo punto è possibile operare come il disco originale che è stato copiato fosse direttamente collegato al PC. Se hai scelto l’opzione Block Devide / Read Only” sarà come se tu stessi utilizzando un write-blocker hardware, e sarà quindi possibile visualizzarne il contenuto, copiare file, ecc. senza temere di modificare l’originale.

Chiudere la copia forense

Terminata l’analisi l’immagine deve essere “smontata”.
Seleziona una alla volta tutte le voci presenti di “Mapped Images” e per ciascuna premi il tasto “Unmount”.
Esaurite le voci, primi il tasto “Close” e chiudi FTK Imager.

Smonta l'immagine

Conclusioni

Grazie a questi semplici passaggi ora sei in grado di aprile la copia forense di un PC o di un supporto USB, di leggerne il contenuto, aprire i file e fare le dovute valutazioni.

Synaptic ha le competenze e la tecnologia per eseguire copie forensi di PC, di supporti USB, di cellulari, di chat, di pagine Web. Possiamo aiutarvi in caso di spionaggio aziendale da parte di dipendenti, hackeraggio da parte di ex partner, danneggiamento volontario di materiale informatico, stalking, diffamazione o minacce.
Contattaci per avere maggiori informazioni.