FTK Imager è un software open-source di AccessData che viene utilizzato per creare copie accurate delle prove originali senza apportare effettivamente alcuna modifica ad esse. L’immagine della prova originale rimane la stessa e ci permette di copiare i dati ad una velocità molto più veloce, che possono essere presto conservati e possono essere analizzati ulteriormente.
Il FTK Imager fornisce anche la funzione di controllo di integrità incorporata che genera un rapporto hash che aiuta a confrontare l’hash della prova prima e dopo la creazione dell’immagine della prova originale.
Tabella dei contenuti
- Creazione di un’immagine forense
- Cattura della memoria
- Analisi del dump dell’immagine
- Montaggio dell’immagine sull’unità
- Immagine del contenuto personalizzato usando AD encryption
- Decrypt AD Encryption
- Ottenere i file protetti
- Detect EFS Encryption
- Export Files
Cominciamo con la creazione di una copia immagine della prova originale.
Creazione di un’immagine forense
L’imaging forense è uno dei passi più cruciali nelle indagini forensi digitali. È il processo di fare una copia di archivio o di backup dell’intero disco rigido. È un file di archiviazione che contiene tutte le informazioni necessarie per avviare il sistema operativo. Tuttavia, questo disco immagine deve essere applicato al disco rigido per funzionare. Non si può ripristinare un disco rigido mettendo i file dell’immagine del disco su di esso, perché deve essere aperto e installato sul disco utilizzando un programma di imaging. Un singolo disco rigido può contenere molte immagini disco. Le immagini disco possono anche essere memorizzate su unità flash con una maggiore capacità.
Apri FTK Imager di AccessData dopo averlo installato, e vedrai la finestra pop-up che è la prima pagina in cui si apre questo strumento.
Ora, per creare un’immagine disco. Clicca su File > Create Disk Image.
Ora puoi scegliere la sorgente in base all’unità che hai. Può essere un’unità fisica o logica a seconda della tua prova.
Un’unità fisica è l’hardware di archiviazione primaria o il componente all’interno di un dispositivo, che viene utilizzato per memorizzare, recuperare e organizzare i dati.
Un’unità logica è generalmente uno spazio di disco che viene creato sopra un disco rigido fisico. Un’unità logica ha i suoi parametri e le sue funzioni perché opera in modo indipendente.
Ora scegliete la fonte del vostro drive di cui volete creare una copia immagine.
Aggiungi il percorso di destinazione dell’immagine che verrà creata. Dal punto di vista forense, dovrebbe essere copiata in un disco rigido separato e dovrebbero essere create più copie della prova originale per prevenire la perdita di prove.
Selezionate il formato dell’immagine che volete creare. I diversi formati per creare l’immagine sono:
Raw(dd): È una copia bit per bit della prova originale che viene creata senza aggiunte o cancellazioni. Non contengono metadati.
SMART: è un formato di immagine usato per Linux che non è più molto usato.
E01: sta per EnCase Evidence File, che è un formato comunemente usato per le immagini ed è simile a
AFF: Sta per Advanced Forensic Format che è un tipo di formato open-source.
Ora, aggiungi i dettagli dell’immagine per procedere.
Ora finalmente aggiungi la destinazione del file immagine, dai un nome al file immagine e poi clicca su Fine.
Una volta aggiunto il percorso di destinazione, potete ora iniziare con l’Imaging e cliccare anche sull’opzione di verifica per generare un hash.
Ora aspettiamo qualche minuto che l’immagine venga creata.
Dopo che l’immagine è stata creata, viene generato un risultato Hash che verifica l’Hash MD5, l’Hash SHA1 e la presenza di eventuali settori danneggiati.
Cattura della memoria
È il metodo per catturare e scaricare il contenuto di un contenuto volatile in un dispositivo di memorizzazione non volatile per conservarlo per ulteriori indagini. Un’analisi ram può essere condotta con successo solo quando l’acquisizione è stata eseguita accuratamente senza corrompere l’immagine della memoria volatile. In questa fase, l’investigatore deve fare attenzione alle sue decisioni di raccogliere i dati volatili, poiché non esisteranno più dopo il riavvio del sistema.
Ora, cominciamo con la cattura della memoria.
Per catturare la memoria, cliccate su File > Capture Memory.
Scegliete il percorso di destinazione e il nome del file di destinazione, e cliccate su capture memory.
Ora aspettiamo qualche minuto che la ram venga catturata.
Analisi Immagine Dump
Ora analizziamo l’immagine Dump RAW una volta che è stata acquisita con FTK imager. Per iniziare l’analisi, clicca su File> Add Evidence Item.
Ora seleziona la fonte del file dump che hai già creato, quindi qui devi selezionare l’opzione file immagine e clicca su Next.
Scegliete il percorso del dump dell’immagine che avete catturato cliccando su Sfoglia.
Una volta che il dump dell’immagine è collegato alla parte di analisi, vedrete un albero delle prove che ha il contenuto dei file del dump dell’immagine. Questo potrebbe avere sia dati cancellati che sovrascritti.
Per analizzare ulteriormente altre cose, ora rimuoveremo questo elemento di prova cliccando con il tasto destro del mouse sul caso e cliccando su Remove Evidence Item
Montaggio dell’immagine sul disco
Per montare l’immagine come un disco nel sistema, clicca su File >Montaggio immagine
Una volta che la finestra Mount Image to Drive appare, puoi aggiungere il percorso del file immagine che vuoi montare e cliccare su Mount.
Ora potete vedere che il file immagine è stato montato come un’unità.
Immagine di contenuto personalizzata con crittografia AD
FTK imager ha una caratteristica che gli permette di crittografare i file di un tipo particolare secondo il requisito dell’esaminatore. Clicca sui file che vuoi aggiungere all’immagine del contenuto personalizzato insieme alla crittografia AD.
Tutti i file selezionati saranno visualizzati in una nuova finestra e poi clicca su Create Image per procedere.
Compilare i dettagli richiesti per la prova che deve essere creata.
Aggiungi ora la destinazione del file immagine che deve essere creato, dai un nome al file immagine e poi seleziona la casella con crittografia AD, e poi clicca su Fine.
Sarà visualizzata una nuova finestra per criptare l’immagine, Ora rendi e reinserisci la password che vuoi aggiungere per la tua immagine.
Ora per vedere i file criptati, clicca su File> Add Evidence Item…
La finestra per decriptare i file criptati apparirà una volta aggiunta la fonte del file. Inserisci la password e clicca su OK.
Ora vedrai i due file criptati dopo aver inserito le password valide.
Decifra l’immagine AD1
Per decifrare l’immagine del contenuto personalizzato, clicca su File> Decifra l’immagine AD1.
Ora devi inserire la password per il file immagine che è stato criptato e clicca su Ok.
Ora, aspetta qualche minuto finché l’immagine decriptata viene creata.
Per vedere l’immagine di contenuto personalizzato decriptata, aggiungi il percorso del file decriptato e clicca su Finish.
Sarà ora in grado di vedere i file criptati usando la password corretta per decriptarli.
Ottieni file protetti
Alcuni file sono protetti durante il recupero, per ottenere questi file, clicca su File> Ottieni file protetti
Apparirà una nuova finestra e clicca su sfoglia per aggiungere la destinazione del file che è protetto e clicca sull’opzione che dice recupero password e tutti i file di registro e clicca su OK.
Ora vedrete tutti i file protetti in un unico posto
Rileva EFS Encryption
Quando una cartella o un file è criptato, possiamo rilevarlo usando questa funzione di FTK Imager.
Un file è criptato in una cartella per proteggere il suo contenuto.
Per rilevare la crittografia EFS, cliccare su File >Detect EFS Encryption
Si può vedere che la crittografia viene rilevata.
Esporta file
Per esportare i file e le cartelle dal file imaged alla tua cartella, puoi cliccare su File > Esporta file.
Ora puoi vedere i risultati dell’esportazione del numero di file e cartelle che sono stati copiati nel sistema.
Autore: Jeenali Kothari è un’appassionata di Digital Forensics e ama scrivere contenuti tecnici. Puoi raggiungerla qui
.