La Digital Forensics è di sicuro un argomento molto complesso, ed uno degli obbiettivi dell’analisi è sicuramente il Filesystem.
Diversi livelli di analisi possono essere compiute su di esso, vi riporto indicazioni sulla parte dei metadati, appunto Metadata Layer.
Un esempio di questo è lo spazio non allocato lo “slack space”. Il più importante di queste è, la MFT (Master File Table), corrispondente al file $mft, questo contiene un record per ogni file e directory contenuti all’interno del volume e per ognuno di essi una serie di attributi.
L’analisi di questa parte è possibile tramite l’acquisizione dell’immagine del disco, uno strumento utile a ciò è FTK Imager.
Ecco alcuni degli attributi ed una breve descrizione, importanti per l’analisi:
- $DATA, contenuto del file.
- $STANDARD_INFORMATION, contiene I valori MAC (Modified, Accessed, Changed) del file.
- $FILE_NAME, contiene il nome del file, riferimenti alla directory di appartenenza.
Ovviamente un esempio di analisi completa la troviamo nel corso di analisi forense.