Consulenza

Analisi forense e recupero dati cancellati

Per importante cliente di Brescia operante nel settore dell'investigazione privata, abbiamo effettuato un'attività di informatica forense atta a recuperare dei documenti cancellati da un hard disk.

Per svolgere questo compito abbiamo utilizzato un convertitore SATA-USB che ci ha consentito di connettere l'hard disk ai nostri PC.

Inoltre per poter operare sui dati in sicurezza abbiamo utilizzato una distro Linux specifica per le attività forensi chiamata Kali , avviata da una memoria USB in modalità forense (forensics mode).


In seguito abbiamo effettuato il mount dell'immagine del disco in formato EWF (Expert Witness Format) e sul file ottenuto (ewf1) da questa operazione abbiamo lanciato dei tools per il recupero di file cancellati detti "file carving tools" più o meno specifici a seconda del tipo di partizione che si vuole analizzare (FAT, NTFS, EXT2, EXT3, ecc.) e del tipo di file che si vuole recuperare (documenti, immagini JPEG, ecc.) come Foremost , Scalpel , Magic Rescue , Test Disk , PhotoRec ecc.

Questi tools scorrono un intero disco o la sua immagine, alla ricerca dei byte che compongono l'header dei tipi di file che si vogliono recuperare.

Ad esempio, nel caso di documenti Word docx, questi tool vanno alla ricerca dei byte di inizio di un file zip (i docx non sono altro che archivi zip). Poi cercano i byte di fine del footer o, nel caso in cui non vengano trovati, dalle informazioni contenute nell'header tentando di capire quanto possa essere lungo il file e salvano dall'inizio dell'header il quantitativo di byte calcolato in un file con l'estensione cercata (docx, xlsx, zip, ecc.).

Questo approccio funziona perché i filesystem, quando cancelliamo un file, non lo cancellando davvero, ma in realtà lo marcano come sovrascrivibile e pertanto i byte che compongono tale file restano sul disco fino a che non vengono sovrascritti da altri file. Grazie a questo comportamento i tools utilizzati sono in grado di recuperare anche totalmente dei file cancellati.

Il difetto di questo metodo è che recupera sia i file "buoni" (completi) sia i file non validi in quanto cancellati e sovrascritti parzialmente da altri file.

Per questo motivo abbiamo sviluppato degli script che testano ogni singolo file recuperato per verificarne la validità e per scartare i file non validi.

Sui file validi poi abbiamo lanciato un secondo script, sempre sviluppato da noi, che effettua all'interno di ciascun file la ricerca della stringa di interesse.

In questo modo siamo riusciti a recuperare più versioni degli stessi documenti: versioni cancellate, versioni cestinate e le versioni attuali.

Infine, trattandosi in questo caso specifico di un disco con partizioni NTFS (Windows) siamo riusciti a recuperare ulteriori versioni dei file di interesse grazie ad una funzionalità di Microsoft detta Shadow Copy: dove attiva effettua l'immagine del disco (file aperti compresi) a intervalli regolari salvando solo le differenze dei file modificati da un'immagine (detta snapshot) a quella successiva.

Grazie ad un tool specifico abbiamo potuto analizzare gli snapshot creati da Shadow Copy per estrarre tutte le "fotografie" del file prese nei vari istanti temporali soddisfacendo completamente le esigenze del Cliente.

ATTENZIONE: SERVIZIO DI CONSULENZA SOSPESO#

Non offriamo più questo tipo di consulenza.

Questo articolo resta per documentare un'attività che abbiamo svolto in passato, ma che non facciamo più.

Votazione pagina#

[Voti: 22 Media voto: 4.5/5]
Autore: Giovanni Chiodi
Senior software developer con più di 10 anni di esperienza nello sviluppo di soluzioni web based, enterprise, su misura. Dal 2011 socio fondatore di Garda Informatica Snc condivide questa avventura col fratello Lorenzo.

Promemoria sui Cookie e sulla Privacy

Leggi l'informativa
closeIcona closesearchIcona searchmore vertIcona more vertmenuIcona menulinkIcona link