Case History: Analisi Forense e Recupero Dati Cancellati

[Voti: 23    Media Voto: 4.6/5]

Recupero Dati Cancellati

Per importante cliente di Brescia operante nel settore dell’investigazione privata, abbiamo effettuato un’attività di informatica forense atta a recuperare dei documenti cancellati da un hard disk.

Per svolgere questo compito abbiamo utilizzato un convertitore SATA-USB che ci ha consentito di connettere l’hard disk ai nostri PC.

Inoltre per poter operare sui dati in sicurezza abbiamo utilizzato una distro Linux specifica per le attività forensi chiamata Kali, avviata da una memoria USB in modalità forense (forensics mode).


 

In seguito abbiamo effettuato il mount dell’immagine del disco in formato EWF (Expert Witness Format) e sul file ottenuto (ewf1) da questa operazione abbiamo lanciato dei tools per il recupero di file cancellati detti “file carving tools” più o meno specifici a seconda del tipo di partizione che si vuole analizzare (FAT, NTFS, EXT2, EXT3, ecc.) e del tipo di file che si vuole recuperare (documenti, immagini JPEG, ecc.) come Foremost, Scalpel, Magic Rescue, Test Disk, PhotoRec ecc.

Questi tools scorrono un intero disco o la sua immagine, alla ricerca dei byte che compongono l’header dei tipi di file che si vogliono recuperare.

Ad esempio, nel caso di documenti Word docx, questi tool vanno alla ricerca dei byte di inizio di un file zip (i docx non sono altro che archivi zip). Poi cercano i byte di fine del footer o, nel caso in cui non vengano trovati, dalle informazioni contenute nell’header tentando di capire quanto possa essere lungo il file e salvano dall’inizio dell’header il quantitativo di byte calcolato in un file con l’estensione cercata (docx, xlsx, zip, ecc.).

Questo approccio funziona perché i filesystem, quando cancelliamo un file, non lo cancellando davvero, ma in realtà lo marcano come sovrascrivibile e pertanto i byte che compongono tale file restano sul disco fino a che non vengono sovrascritti da altri file. Grazie a questo comportamento i tools utilizzati sono in grado di recuperare anche totalmente dei file cancellati.

Il difetto di questo metodo è che recupera sia i file “buoni” (completi) sia i file non validi in quanto cancellati e sovrascritti parzialmente da altri file.

Per questo motivo abbiamo sviluppato degli script che testano ogni singolo file recuperato per verificarne la validità e per scartare i file non validi.

Sui file validi poi abbiamo lanciato un secondo script, sempre sviluppato da noi, che effettua all’interno di ciascun file la ricerca della stringa di interesse.

In questo modo siamo riusciti a recuperare più versioni degli stessi documenti: versioni cancellate, versioni cestinate e le versioni attuali.

Infine, trattandosi in questo caso specifico di un disco con partizioni NTFS (Windows) siamo riusciti a recuperare ulteriori versioni dei file di interesse grazie ad una funzionalità di Microsoft detta Shadow Copy: dove attiva effettua l’immagine del disco (file aperti compresi) a intervalli regolari salvando solo le differenze dei file modificati da un’immagine (detta snapshot) a quella successiva.

Grazie ad un tool specifico abbiamo potuto analizzare gli snapshot creati da Shadow Copy per estrarre tutte le “fotografie” del file prese nei vari istanti temporali soddisfacendo completamente le esigenze del Cliente.

Hai bisogno di recuperare dei file cancellati da una chiavetta USB, da un hard disk o le foto della memory card di una fotocamera digitale? Contattaci!.

Garda Informatica

Garda Informatica

Garda Informatica sviluppa software su misura nella forma di Web Application, App Ibride per iOS/Android/Windows Phone, Crawler Web, Gestionali Web o semplici Connettori per l'integrazione tra software di terze parti.
Garda Informatica