Dark Mirror

La "Computer Forensics" è una scienza che studia l'analisi e il recupero di dati informatici. E' una tecnica usata dalle forze dell'odine per procurarsi prove da usare durante un processo. In questo articolo vi spiegherò le basi della Computer Forensics. Iniziamo a vedere la mentalità da adottare e i principi da seguire:

• Non contaminare in alcun modo le prove
• Utilizzare il più possibile copie di dati e non i dati originali
• Esaminare il più possibile i dati di cui si è in possesso
• Annotare tutte le informazioni che si possono ricavare (come partizioni, tipo di filesystem, capacità del disco, spazio utilizzato etc...)
• Esaminare lo spazio allocato ma non utilizzato per trovare files cancellati e recuperarli
• Assicurarsi che le copie di dischi su cui si lavorerà siano integre

Detto questo iniziamo ad attaccare i dischi che dobbiamo analizzare e montarli in ONLY READ e in NO EXECUTION:
Floppy:

CD

Hard Disk

Ora che abbiamo montato i dischi analizziamo le partizioni e ci salviamo in un file le informazioni ricavate

Ora verifichiamo l'integrità dei dishi:

Ora otteniamo con DD (un ottimo strumento Open Source praticamente sempre preinstallato nelle varie distro) delle copie BIT per BIT di ogni disco. (Ci metterà un po' di tempo)

Per esempio

Assicuratevi che l'immagine ottenuta sia ugale al disco con un checksum

Ora annotiamo le informazioni sui tipi di files:

Ora il recupero di dati:

Infine vi presento uno strumento piuttosto completo creato apposta per la Computer Forensics: Autopsy
Per avviarlo runnate "autopsy" da root e andate con un brower che supporti javascript a http://localhost:9999/autopsy
Potete analizzare sia un immagine di DD che un disco e vedere le informazioni sui files, ottenere files eliminati e tanto altro. Buon divertimento!