La Digital Forensics è di sicuro un argomento molto complesso, ed uno degli obbiettivi dell’analisi è sicuramente il Filesystem.

Diversi livelli di analisi possono essere compiute su di esso, vi riporto indicazioni sulla parte dei metadati, appunto Metadata Layer.

Un esempio di questo è lo spazio non allocato lo “slack space”. Il più importante di queste è, la MFT (Master File Table), corrispondente al file $mft, questo contiene un record per ogni file e directory contenuti all’interno del volume e per ognuno di essi una serie di attributi.

L’analisi di questa parte è possibile tramite l’acquisizione dell’immagine del disco, uno strumento utile a ciò è FTK Imager.

Ecco alcuni degli attributi ed una breve descrizione, importanti per l’analisi:

• $DATA, contenuto del file.
• $STANDARD_INFORMATION, contiene I valori MAC (Modified, Accessed, Changed) del file.
• $FILE_NAME, contiene il nome del file, riferimenti alla directory di appartenenza.

Ovviamente un esempio di analisi completa la troviamo nel corso di analisi forense.

Shadow Copy (chiamata anche Volume Snapshot Service o VSS, o Previous Versions / Versioni Precedenti) è una caratteristica introdotta con Windows XP SP1, Windows Server 2003 e disponibile in tutte le versioni successive di Microsoft Windows.

Permette la creazione manuale o automatica di copie di backup di un file, di una cartella o di uno specifico volume ad un dato momento. È usata da Windows Backup and Restore e dal servizio Volume Shadow Copy per ripristinare i file.

Le copie shadow sono istantanee in tempo reale che contengono informazioni su file system, cartelle, programmi e file congelate in un determinato istante. Vengono create ogni volta che viene attivato un punto di ripristino.

Per esaminare le copie shadow nel modo tradizionale, gli esaminatori possono usare il "vssadmin" e il comando "mklink", tools da linea di comando nativi in windows

Per identificare la copia shadow bisogna aprire il prompt di comandi con permessi amministrativi e lanciare il seguente comando:

vssadmin list shadows

Per creare un link simbolico (nel nostro esempio c:\shadow1) che punta alla copia shadow selezionata utilizziamo il comando "mklink", facendo attenzione a non dimenticare lo backslash finale:

mklink /d c:\shadow1 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Ora possiamo analizzare la copia Shadow accedendo alla cartella c:\shadow1.

Questa è solo una delle tante fasi di analisi, tanti altri approfondimenti vi aspettano nel nostro ricco e completo corso di Certified Professional Forensic Analyst. #PillolediAnalisiForense

L'analisi dei collegamenti, o link analysis, è una tecnica di analisi dei dati utilizzata per esaminare la connessione tra qualsiasi tipo di oggetto come nodi, persone, transazioni, organizzazioni, ecc.

I collegamenti tra gli oggetti possono essere fisici, digitali o relazionali. Aiuta gli investigatori a visualizzare i dati per una migliore analisi del contesto dei collegamenti tra persone o entità diverse.

L'analisi dei collegamenti viene spesso utilizzata nell'ottimizzazione dei motori di ricerca, nell'analisi della sicurezza, nel mercato e nella ricerca medica. Nelle indagini penali, gli investigatori utilizzano software di analisi dei collegamenti per eseguire il processo di analisi per scopi forensi digitali.

L'analisi dei collegamenti aiuta gli investigatori a creare una rappresentazione visiva dei legami tra le persone coinvolte in quel crimine. La complessità dell'analisi dei collegamenti dipende dal numero di collegamenti esistenti nella comunicazione.

La link analysis e la timeline analysis nell'analisi forense digitale vengono eseguite dagli esaminatori per trovare la relazione tra il nodo, le persone, la transazione e le organizzazioni entro un periodo di tempo.

Questo processo porta alla creazione di un grafico che assomiglia ad un diagramma UML, dove esistono Entità, rappresentate da persone, documenti, organizzazioni, eventi e Relazioni che rappresentano il legame tra i nodi.

In pratica i passaggi che portano al documento finale dovrebbero contenere:

1. Creazione di entità di interessa
2. Documentare tutte le informazioni in possesso sulle entità
3. Definire le relazioni tra le entità
4. Rappresentare queste relazioni

Un settore consolidato della analisi forense è la Windows Forense, ovvero lo studio dei dati acquisiti ai fini investigativi da sistemi Microsoft Windows.

La larga diffusione dei sistemi Microsoft ha fatto sì che appunto ci sia un ramo dell’analisi forense dedicata a questo.

Tutti sappiamo e ci siamo sentiti dire che il registro di Windows è una miniera di informazioni, un repository di tutte le informazioni presenti in Windows. Una parte quindi importante nella analisi delle prove acquisite.

La modalità di acquisizione ci permette di indagare su alcune o tutte le chiavi presenti nel registro.

Il registry ha una struttura ad albero costituita da chiavi, sottochiavi e valori, che trae origine da cinque sezioni (hives):

• HKEY_CLASSES_ROOT
• HKEY_CURRENT_USER
• HKEY_LOCAL_MACHINE
• HKEY_USER
• HKEY_CURRENT_CONFIG

Le chiavi riportano informazioni di qualsiasi tipo, sia temporale che di dettaglio dati. Per esempio possiamo risalire a gli ultimi file aperti da un programma, a gli ultimi file eseguiti oppure i file che vengono automaticamente caricati all’avvio e molto altro ancora, di seguito alcune delle chiavi usate per tali esigenze:

La chiave:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Riporta informazioni circa i file e cartelle aperte a partire dal menù “Recenti” del menù “Start”.

La chiave:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDIMRU

Riporta informazioni circa i file aperti o salvati attraverso una finestra di dialogo Windows

La chiave:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastvisitedPidIMRU

Riporta informazioni circa i file eseguibili usati da un’applicazione per aprire i file visti nella chiave precedente.

Questa è solo una delle tante fasi di analisi forense applicata sul registro, ovviamente il tutto viene facilitato da software ad hoc come RegRipper, Autopsy ed altri. #PillolediAnalisiForense