Appunti VERIFICATO
FORENSIC
17 visualizzazioni
22 download
Nessun voto ancora
Di cosa parla
- Immagine Forense (Copia / Bit Stream Image): Tecnica che riproduce un dispositivo bit a bit, includendo lo slack space. Viene creata con copiatori forensi (es. Tableau TD3, Oxygen Forensic) e write blocker, assicurando che sia STATICA e verificata tramite valori hash.
- Metodi di Acquisizione:
- Clonazione: Replica esatta, non distingue l'originale, senza compressione.
- Copia Immagine: Creazione di un file immagine del disco sorgente, suddivisibile (split) e comprimibile (EWF, AFF).
- Esempio di comando
ddper la copia.
- Catena di Custodia: Documento essenziale che traccia l'intero processo di gestione della prova, dall'acquisizione al processo, includendo dettagli sui reperti, attori, valori digest (hash) e tempistiche, fondamentale per ricostruire il trattamento e identificare alterazioni.
- Carving: Tecnica eseguita su una copia forense per recuperare file (anche corrotti) la cui traccia è stata persa dalla tabella di allocazione. Funziona scansionando i bit per header e footer noti (es. %PDF, EOF). Limiti includono file sovrascritti, frammentati o senza header/footer caratterizzante (es. file di testo). Strumenti come RECUVA.
- Acquisizione Dati Avanzata (quando le interfacce tradizionali falliscono):
- Chip-Off: Dissaldatura/estrazione del chip per il dump del contenuto binario e ricostruzione.
- HW JTAG: Connessione alle porte JTAG per decodificare e leggere i dati direttamente dal chip.
- Rete GSM: Struttura di comunicazione mobile.
- BTS (Base Transceiver Station): Gestisce i canali di comunicazione con i cellulari (MS).
- BSS (Base Station Subsystem): Controlla BSS e NSS, gestisce frequenze e decide l'handover.
- Handover: Spostamento di un cellulare tra BTS diverse, per ottimizzare segnale (confinamento) o mantenere comunicazione (salvataggio), spesso indicativo di movimento geografico.
- Tabulati Telefonici: Registri contenenti informazioni come IMEI (identificativo del dispositivo fisico) e IMSI (identificativo della SIM).
- Timeline: Sequenza cronologica delle operazioni su un PC (creazione, modifica, lettura). Essenziale per verificare le modifiche confrontando gli hash dei file.
- Ruoli Forensi:
- CTU (Consulente Tecnico d'Ufficio): Esperto nominato dal giudice.
- CTP (Consulente Tecnico di Parte): Esperto nominato dalle parti, a supporto del giudice.