la copia forense: modalità operative (pt. 2)
TRANSCRIPT
Università di CagliariDipartimento di Ingegneria
Elettrica ed Elettronica
Coordinatore: Massimo Farina
Seminario di
INFORMATICA FORENSEA.A. 2014/2015
La copia forense: modalità operative (pt. 2)
di Alessandro [email protected]
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
I REPERTI OGGETTO DI ANALISI
In qualunque scena del crimine troviamo dispositivi high-tech.
Tra quest'ultimi, quelli di interesse per la computer forensics sono
quelli in grado, in qualsiasi modo, di memorizzare informazioni.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
ESERCITAZIONE - LEZIONE 1
“Una società di ricerca finanziata dal governo ha messo a puntoun nuovo sistema di cifratura che consentirebbe un vantaggioconsistente alla nazione, permettendo comunicazionivirtualmente inviolabili. Ovviamente se anche altre nazioniottengono lo stesso sistema si perde il vantaggio, per cui il livellodi segretezza del progetto è massimo.C’è un problema: il responsabile della sicurezza informatica dellasocietà si è accorto di un accesso insolito ad alcuni file delprogetto, in particolare allo schema elettronico deldispositivo. Con l’aiuto delle forze dell’ordine si è riusciti aprendere con le mani nel sacco il presunto colpevole, ma l’unicairregolarità rilevata è un pendrive USB trovato indosso alsospetto.”
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
REGOLE DI INGAGGIO
• Il reperto è la pendrive usb;
• La pendrive sospetta viene consegnata al forenser incaricato al quale vengono date le seguenti regole di ingaggio:
1. calcolo dell’hash del device in md5 e sha1;
2. la pendrive non presenta etichette o riferimenti esterni, si richiede pertanto l’estrazione del S.N. (Serial Number) e modello della stessa;
3. analisi e tipologia del/i filesystem;
4. offset iniziale del/i filesystem (potrebbero esserci più partizioni)
5. acquisizione della copia forense;
6. verifica e riscontro della corretta esecuzione della copia;
7. stesure della relazione tecnica;
8. preparazione per la consegna del reperto e della copia.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
LINEE GUIDA PER IL FORENSER• Utilizzo della distribuzione live: NBCAINE 4.0
• Per i punti 3 e 4 utilizzare comandi da shell;
• Per il punto 5 e 6 utilizzare GUYMAGER e riscontro con AIR, per scrupolo eseguire anche una copia con dd da riga di comando;
• Tutte le evidenze devono scrupolosamente essere verificate con hash md5 e sha1, in caso di non corrispondenza degli hash ripetere l’operazione fino ad avere esatta corrispondenza;
• Non ci sono regole specifiche per la stesura della relazione: deve descrivere tutte le attività senza che si possa obiettare che la copia risulti differente rispetto al reperto originale, (rimasto intatto come da consegna);
• Una volta terminata la relazione finale, descrivere la preparazione del reperto e del materiale oggetto dell’incarico e pronti per la consegna.
• Tutte le attività possono essere analizzate e descritte teoricamente, il consiglio, per chi potesse, è quello di simulare il tutto praticamente utilizzando una qualsiasi chiavetta usb per simulare il reperto oggetto di indagine, creando una piccola partizione di 1 GB e scrivendoci alcuni file. Una volta definito che quello è il reperto ricordatevi sempre che dev’essere cristallizzato.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
UTILIZZO DELLA DISTRIBUZIONE LIVE DI NBCAINE 4.0• mi collego sul sito di riferimento e scarico la ISO di Nbcaine 4.0
http://www.caine-live.net/Downloads/nbcaine4.0.iso
Utilizzo il tool Unetbooting per creare un device di boot con la distro di nbcaine 4.0 (http://unetbootin.sourceforge.net) appena scaricata
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
CREAZIONE DEL SUPPORTO/DEVICE LIVE
1. CD live => masterizzazione della ISO
2. USB bootable => tool “Unetbootin”
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
PREPARAZIONE DEL PC OPERATIVO
• Verifico da BIOS: ordine di avvio dei device e ora corretta
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
AVVIO DELL’AMBIENTE OPERATIVO• Inserimento del device di boot per l’esecuzione della copia live di
NBCAINE 4.0 come impostato da BIOS
CD
USB
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
PREPARAZIONE AREA DEDICATA AL CASO
• Cartella principale dedicata al caso:
es. case-kingston
• Sottocartelle organizzate:
acquisizioni
risultati
report
temp
NOTA IMPORTANTE! = backup del lavoro svolto
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
PENDRIVE SUSPECT = REPERTO ORIGINALE
• Trattare con molta cautela..
• Non presenta riferimenti esterni (modello e serial number)
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
COLLEGAMENTO DEL REPERTO
• con tutte le cautele del caso collegare il reperto = pendrive usb al pc operativo che esegue la live di nbcaine;
• si apre una shell di comando e si verifica con il comando dmesg se il dispositivo è stato riconosciuto correttamente.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
1. CALCOLO DELL’HASH DEL DEVICE
• output a video
md5sum /dev/sdb && sha1 /dev/sdb
• output su file hash-kingston
• md5sum /dev/sdb > risultati/hash-kingston
• sha1 /dev/sdb >> risultati/hash-kingston
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
2. ACQUISIZIONE DELLE INFO SUL DEVICE
• Per ottenere le info su device usb, eseguire il seguente comando da shell:
cat /proc/scsi/usb-storage/*
cat /proc/scsi/usb-storage/* > risultati/kingston.device
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
3. VERIFICA DELLA TIPOLOGIA DEL/I FILESYSTEM
• Eseguire il seguente comando da shell: fdisk -l /dev/sdb
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
4. VERIFICA DEGLI OFFSET**Indica la distanza tra due elementi all'interno di un gruppo di elementi dello stesso tipo. (es.ELEMENTI= A R T S G K E | OFFSET DI K RISPETTO A T = 3)
• eseguire il comando da shell per la verifica delle partizioni: mmls /dev/sdb
offset partizione FAT32 = 0000000063
offset partizione LINUX = 0002088450
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
VERIFICA PARTIZIONE WINDOWS
• fsstat -f fat -o 0000000063 /dev/sdb
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
VERIFICA PARTIZIONE LINUX
• fsstat -f ext3 -o 0002088450 /dev/sdb
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
5. ACQUISIZIONE DELLA COPIA FORENSE: GUYMAGER
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
COMPARAZIONE DEGLI HASH MD5 E SHA1• Una volta terminata la copia la prima cosa da fare è verificare che gli hash
corrispondano a quelli estratti per il device originale (/dev/sdb)
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
6. ANALISI DEL FILESYSTEM DELL’IMMAGINE ACQUISITA
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
COMPARAZIONE DI IMMAGINE E DEVICE CON FDISK
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
COPIA DELL’IMMAGINE CON GUYMAGER
• importante è anche fare copia della copia sulla quale lavorare e averne sempre una intonsa da dove poter riprendere in caso di problemi, questo evita tutta la procedura di acquisizione e verifica già vista in precedenza
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
MOUNT DELLA COPIA FORENSE
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
CLUSTER SIZE
• fsstat -f fat -o 63 kingston.dd
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
7. RELAZIONE TECNICA
• Sintetica: dato che non necessita di riportare eccessivi particolari tecnici
dell’analisi ma solo ciò che interessa dal punto di vista giuridico;
• Semplificata: colui che legge e valuta l’esito è di principio un fruitore
inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile,
bisogna eliminare terminologie non consuete e spiegare a livello
elementare quanto rilevato;
• Asettica: non deve contenere giudizi personali dell’operatore né tanto
meno valutazioni legali sulle informazioni rilevate a meno che tali
considerazioni non siano state espressamente richieste.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
CATENA DI CUSTODIA• La catena di custodia è un documento che contiene le informazioni di ciò che è stato fatto
con la prova originale e con le copie forensi realizzate, a partire dall'acquisizione fino ad arrivare al giorno del processo.
• Tipiche informazioni che possono essere contenute inizialmente in questo documento sono:
Numero del caso
Società incaricata dell'investigazione
Investigatore assegnato al caso
Natura e breve descrizione del caso
Investigatore incaricato della duplicazione dei dati
Data e ora di inizio custodia
Luogo in cui il supporto è stato rinvenuto
Produttore del supporto
Modello del supporto
Numero di serie del supporto
• Ogni volta che i supporti oggetto di indagini vengono affidati ad un nuovo investigatore, nella catena di custodia, dovrà essere aggiunta un'informazione contenente:
Nome dell'incaricato all'analisi Data e ora di presa in carico del supporto Data e ora di restituzione del supporto
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
8. CONSEGNA DEL MATERIALE
• predisposizione della catena di custodia;
• preparazione del materiale da consegnare con opprtuni imballaggi e sigilli;
• consegna al committente.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
FINE ESERCITAZIONE
sessione domande e risposte
prima di procedere..
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
CI METTIAMO DALL’ALTRA PARTE
• adesso impersoniamo il soggetto che riceve il materiale e deve trattare la prova:
potrebbe in questo caso trattarsi di un
collega al quale si passa la fase di analisi
potrebbe essere un perito che deve
operare per l’analisi del caso
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
FRAGILITA’ DEI REPERTI
• Tutti i dispositivi oggetto di interesse (REPERTI) vanno gestiti e controllati con i dovuti accorgimenti del caso.
• Non possono essere gestiti con leggerezza da parte dell'operatore.
• Fragilità della prova: data l'immaterialità della prova contenuta al suo interno, con estrema facilità può essere distrutta od alterata.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
DA DOVE SI INIZIA?
• predisposizione della catena di custodia del materiale ricevuto;
• si stabiliscono tempi e risorse;
• si procede alla predisposizione di un ambiente operativo in relazione quella che sarà la strategia da adottare: PROFILO INVESTIGATIVO.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
IL DATO• a questo punto si passa alla fase di analisi e ricerca
del dato..
MA QUAL È IL DATO DA RICERCARE?
L'aspetto più importante per un digitalforenser è quello di seguire una
metodologia investigativa standard e ben definita per la soluzione del problema
forense che gli è stato sottoposto.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
REGOLE DI INGAGGIO1. Acquisire il reperto
file immagine
2. Eseguire l’analisi per l’acquisizione delle seguenti evidenze:
informazioni su utilizzo di tool di acquisizione di informazioni dalla rete;
l’utilizzo della mail con allegati;
consultazione di alcuni siti di hacking o relativi ad attività illecite;
utilizzo di social network.
• Relazione tecnica e consegna del materiale elaborato.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
EVIDENZE DA RICERCARE
• invio mail a utente [email protected] con allegato;
• consultazione dei seguente siti web:
hackday.com
blackhat.com
jumptuck.com
informazioni in merito ad attacchi DDoS
• eventuale account e utilizzo di facebook
• utilizzo di programmi di sniff in rete
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
METODOLOGIA INVESTIGATIVA
• Profilo investigativo: determinazione dei passi
operativi necessari allo svolgimento del caso,
tenendo in considerazione il tempo necessario per
ciascuno;
• Determinazione delle risorse necessarie (hardware,
software open source e professionali);
• Determinazione dei rischi e relativa predisposizione
di una catena di custodia;
• Analisi e recupero della prova digitale;
• Stesura del report finale (relazione tecnica).
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
LA PROVA INFORMATICA / REPERTO
OFF-LINE ON-LINE
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
OFF-LINE / POST MORTEM
• ..rimozione dei dispositivi di memoria
predisposizione della catena di custodia
acquisizione delle prove (file immagine)
• FILE IMMAGINE
acquisizione delle info sul file
mount dell’immagine
analisi e ricerca
documentazione di tutte le attività operative
recupero della prova
predisposizione della catena di custodia
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
ON-LINE / LIVE
• ACQUISIZIONE LIVE analisi e valutazione del rischio, i tempi sono molto
importanti in questo caso;
analisi irripetibile, presenza delle parti e verbalizzazione del tutto;
acquisizione dell’immagine del desktop;
dump della memoria volatile (in questo caso si manipola il reperto che perde la sua caratteristica della cristallizzazione);
spegnimento del sistema staccando il cavo di alimentazione;
rimozione di tutti i dispositivi di memoria..
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
ACQUISIZIONE DEL DESKTOP CRISTALLIZZATO
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
ACQUISIZIONE DEL DESKTOP
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
PRIMI ELEMENTI DA VALUTARE
1. Il soggetto è colto in flagrante
elementi richiesti nelle regole di ingaggio (incarico),
sono già evidenti:
1. il sito blackhat.com
2. uno sniffer di rete operativo e visibile sul desktop
2. Profilo del soggetto
si evidenzia una buona dose di ingenuità
un apparente ma effettivo disordine che fa pensare che
non curi troppo la gestione e l’organizzazione dei dati
presenti all’interno del suo sistema/computer
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
DUMP DELLA MEMORIA VOLATIVE / RAM
• non tocchiamo altro e procediamo con il dump: ma cosa succede?
da questo momento in poi la prova diventa irripetibile in quanto per procedere con il dump occorre eseguire in memoria un programma dedicato;
conseguente variazione dei registri di memoria e perdita della cristallizzazione originale;
bugia.. una variante è stata già eseguita..
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
FTKIMAGER
• Viene utilizzato per creare immagini forensi di:
Hard drive
CD e DVD
RAM
• Mostrare i contenuti di:
dischi locali
periferiche locali con storage
• Mostra i contenuti dei dump effettuati
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
DUMP DELLA RAM
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
FTK IMAGER: RESTITUISCE UN LOG DI ATTIVITÀ• Created By AccessData® FTK® Imager 3.1.2.0
Case Information: xxxxxxxxxxx
Case Number: xxxxxxxxxxx
Evidence Number: xxxxxxxxxxx
Unique Description: xxxxxxxxxxx
Examiner: xxxxxxxxxxx
• Notes:
Information for xxxxxxxxxxxxxxxx
• [Computed Hashes]
MD5 checksum: c8c931761211e246af9fd601a6d0b258
SHA1 checksum: 9cf522a3ac6e3937afc8e9c1f75d3e720836292f
• Image information:
Acquisition started: Fri Jan 23 16:33:07 2015
Acquisition finished: Fri Jan 23 16:35:23 2015
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
APERTURA DEL FILE IMMAGINE ACQUISITO
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
ANALISI DEL DUMP
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
MOLTI DATI UTILI PRESENTI IN MEMORIA
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
ANALISI DEI PROCESSI CON VM MAP
• Tool di analisi dei processi in esecuzione sviluppato da Mark Russinovic
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
WIN-UFO (ULTIMATE FORENSICS OUTFLOW)• win-ufo.org
• Informazioni preliminari sul caso e avvio..
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
I TOOLS DI WIN-UFO
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
RICERCA DATI SU FACEBOOK
• evidenza di un accesso su facebook
• username e password memorizzati
• EVIDENZA PRESENTE!
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
RICERCA SOFTWARE DI SNIFFING
• Evidenza presente anche in questo caso:
Nirsoft SmartSniff
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
RICERCA DATI DI NAVIGAZIONE
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
TIMELINE ACTIVITY
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
OFF-LINETerminata la fase di acquisizione delle evidenze live e irripetibili si procede:
• si spegne il sistema/computer staccando direttamente l’alimentazione, in questo modo si evita che un corretto shutdown vada a chiudere o sovrascrivere informazioni utili.
• Se per es. fosse stato programmata la cancellazione del pagefile.sys piuttosto che la cronologia dei browser o dei file recenti alla chiusura delle applicazioni, questo verrebbe evitato.
• Una volta che il sistema è spento, si estraggono tutti i supporti di memoria, si predispone la catena di custodia e si procede con la copia forense dei reperti per l’acquisizione del file immagine che andremo ad analizzare.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
LA COPIA DELLA COPIA
• Terminata la copia forense con le procedure viste nella parte 1 è necessario:
fare sempre una o più copia dell’immagine acquisita e verificarne l'integrità;
in particolar modo quando si lavora su file image e poter sempre fare un roll-back, evitando tutto il procedimento di riacquisizione.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
L’ANALISI
A questo punto si può procedere con la fase di analisi:
su file immagine: montato in ro come se fosse un device:
mount -o ro,nodev,noexec,noatime,offset=xxxxxx,loop/<path>/file.img /mnt/<dir-mount>
su device clone: il risultato è identico, ma con un device clone è anche possibile riesumare il sistema originale in versione live. Occorre notare che in questo caso i risultati ottenuti possono essere utilizzati dal forenser solo per incrociare e verificare dati ottenuti con l’analisi del file immagine cristallizzato.
E’ ovvio che eseguendo l’analisi in questa modalità la prova originale risulta alterata e pertanto inutilizzabile.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
OPZIONI DI MOUNT
• ro: forza il montaggio in sola lettura;
• nodev: non interpreta i file di dispositivo presenti sul filesystem;
• noexec non permette l’esecuzione dei file eseguibili presenti sul filesystem;
• noatime: non aggiorna la data di accesso ai singoli file o directory;
• loop: specifica al kernel che il primo parametro non è un device ma un file immagine
• offset: il primo blocco del file system che si intende montare
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
ANALISI DELLA PROVA OFF-LINE
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
AUTOPSY• Autopsy Forensic Browser fornisce l'interfaccia grafica e l'ambiente di
collegamento dei vari programmi, permettendo di ottenere risultati omogenei ed una gestione strutturata del caso.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
AUTOPSY: CARATTERISTICHE
• E' bene chiarire che non si tratta di un tool “tuttofare”, non ha funzionalità di copia e duplicazione disco:
non permette la maggior parte delle analisi funzionali a livello applicativo (es. analisi registry windows, analisi mail, .dat files);
non è adatto alla network forensics;
svolge al meglio le funzioni per le quali è progettato: in particolare l'analisi a livello filesystem.
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
I DATI DEL CASO
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
MOUNT DEL FILE IMMAGINE
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
RICERCA DI HACKDAY
• 10 riferimenti trovati
Hex o ASCII
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
RICERCA DI JUMPTUCK.COM
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
RICERCA DI MAIL INVIATE
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
RICERCA DATI SU FACEBOOK
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
Grazie per l’attenzione
it.linkedin.com/in/abonu
@abonu
SEMINARIO DI INFORMATICA FORENSE
La copia forense: modalità operative (pt. 2)di Alessandro Bonu
71
Licenza
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare,eseguire o recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi
ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modoin cui tu usi l’opera.
Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne
un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente aquesta.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini dellalicenza di quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di questecondizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra