Acquisizione forense
Informazioni presenti su PC Investigazioni forensi su computer
Computer forensics
Analisi forense del computer
Network forensics
Analisi forense della rete
E-Mail forensics
Analisi di comunicazioni a mezzo email
Database Forensics
Analisi forense di database
Analisi forense di nastri di backup ed estrazione dati
Attrezzature forense
L’Informatica Forense è la disciplina che studia l’insieme delle attività che sono rivolte all’analisi e alla soluzione dei casi legati alla criminalità informatica, comprendendo tra questi i crimini realizzati con l’uso di un computer, diretti a un computer o in cui il computer può comunque rappresentare una fonte di prova.
Gli scopi dell’informatica forense sono di conservare, identificare, acquisire, documentare e interpretare i dati presenti su un computer.
A livello generale si tratta di individuare le modalità migliori per :
- acquisire le prove senza alterare o modificare il sistema informatico su cui si trovano.
- garantire che le prove acquisite su altro supporto siano identiche a quelle originarie.
- analizzare i dati senza alterarli.
Tecnologie e risorse
Most frequent questions and answers
D.I.M. – Digital Investigation Manager
Strumento orientato alla gestione del laboratorio di analisi e di repertazione/catalogazione delle prove di reato acquisite, nel rispetto della tracciabilità del supporto e delle metodologie adottate.
Parallel Port Cable Acquisition
Questo metodo dovrebbe essere usato solo quando nessun’altro metodo di acquisizione o di preview funziona. In generale si utilizza per computer portatili con HD difficilmente rimovibili e che non supportano DOS PCMCIA o schede di rete, oppure quando si vuole acquisire un HD con tecnologia RAID da un computer che non ha canale IDE.
ICS Solo III
Unità di acquisizione rapida di qualsiasi supporto disco, con possibilità di creare simultaneamente due copie del disco.
Network Cable Acquisition
Il metodo consente agli utenti di acquisire o vedere in anteprima il media su cui si vuole investigare via rete e solo mediante cavo cross.
EnCase Forensic V6
EnCase è il tool più utilizzato nelle procedure di investigazione informatica da parte di organizzazioni governative e forze dell’ordine a livello mondiale. Esso mette a disposizione diverse modalità di acquisizione, tenendo conto delle diverse esigenze e delle diverse fonti da cui trarre prove.
Drive to Drive Acquisition
Hardware da esaminare viene fisicamente collegato al computer dell’investigatore cosicché i supporti (Storage e Subject IDE drives) sono collegati alla stessa scheda madre.
TABLEAU WriteBlock Windows Acquisition
TABLEAU WriteBlock è un dispositivo che offre un ottimo livello di prestazione. Si tratta di uno dei più avanzati hardware write-blocking che protegge il dispositivo di memorizzazione collegato da qualsiasi tipo di scrittura (accidentale o volontaria) e permette quindi l’acquisizione del media sorgente in Windows in maniera estremamente sicura e veloce.
Acquiring Removable Media
In questa modalità è possibile acquisire i dati da supporti removibili come Zip Disks, Jaz Disks, Floppy Disk, Superdisks, CD-ROM, CD-R, CD-RW…
Acquiring Palm PDAs
Questa modalità consente di reperire informazioni da palmari.
FTK Imager
Strumento per la creazione dell’immagine del disco oggetto di ispezione. I formati supportati sono: dd raw (Linux), EnCase* (E01), FTK Imager logical image, Ghost* (forensic, uncompressed images only), ICS, SafeBack* (up to v. 2.0 only), SMART (S01) ed i principali formati CD e DVD (IsoBuster CUE, CloneCD, Alcohol, PlexTools, Virtual CD, ISO, Duplicator, Adaptec/Roxio Easy CD Creator, Ahead
Nero, Prassi, Gear, WinOnCD, Disk Juggler, Philips OptImage (CD-i editor), Prassi DVD, Veritas, Sonic, Pinnacle)