Guida completa su FTK Imager

FTK Imager è un software open-source di AccessData che viene utilizzato per creare copie accurate delle prove originali senza apportare effettivamente alcuna modifica ad esse. L’immagine della prova originale rimane la stessa e ci permette di copiare i dati ad una velocità molto più veloce, che può essere presto conservata e può essere analizzata ulteriormente.

Il FTK Imager fornisce anche la funzione di controllo di integrità incorporata che genera un rapporto hash che aiuta nella corrispondenza dell’hash della prova prima e dopo la creazione dell’immagine della prova originale.

Tabella dei contenuti
Creazione di un’immagine forense
Cattura della memoria
Analisi Immagine Dump
Montaggio dell’immagine sul drive
Immagine di contenuto personalizzata con crittografia AD
Decifra l’immagine AD1
Ottenere i file protetti
Rileva la crittografia EFS
Esporta file

Tabella dei contenuti

Creazione di un’immagine forense
Cattura della memoria
Analisi del dump dell’immagine
Montaggio dell’immagine sull’unità
Immagine del contenuto personalizzato usando AD encryption
Decrypt AD Encryption
Ottenere i file protetti
Detect EFS Encryption
Export Files

Cominciamo con la creazione di una copia immagine della prova originale.

Creazione di un’immagine forense

L’imaging forense è uno dei passi più cruciali nelle indagini forensi digitali. È il processo di fare una copia di archivio o di backup dell’intero disco rigido. Si tratta di un file di archiviazione che contiene tutte le informazioni necessarie per avviare il sistema operativo. Tuttavia, questo disco immagine deve essere applicato al disco rigido per funzionare. Non si può ripristinare un disco rigido mettendo i file dell’immagine del disco su di esso, perché deve essere aperto e installato sul disco utilizzando un programma di imaging. Un singolo disco rigido può contenere molte immagini disco. Le immagini disco possono anche essere memorizzate su unità flash con una maggiore capacità.

Apri FTK Imager di AccessData dopo averlo installato, e vedrai la finestra pop-up che è la prima pagina in cui si apre questo strumento.

Ora, per creare un’immagine disco. Clicca su File > Create Disk Image.

Ora puoi scegliere la sorgente in base all’unità che hai. Può essere un’unità fisica o logica a seconda della tua prova.

Un’unità fisica è l’hardware di archiviazione primaria o il componente all’interno di un dispositivo, che viene utilizzato per memorizzare, recuperare e organizzare i dati.

Un’unità logica è generalmente uno spazio di disco che viene creato sopra un disco rigido fisico. Un’unità logica ha i suoi parametri e funzioni perché opera in modo indipendente.

Ora scegli la fonte del tuo disco di cui vuoi creare una copia immagine.

Aggiungi il percorso di destinazione dell’immagine che sta per essere creata. Dal punto di vista forense, dovrebbe essere copiata in un disco rigido separato e dovrebbero essere create più copie della prova originale per prevenire la perdita di prove.

Seleziona il formato dell’immagine che vuoi creare. I diversi formati per creare l’immagine sono:

Raw(dd): È una copia bit per bit della prova originale che viene creata senza aggiunte e o cancellazioni. Non contengono metadati.

SMART: È un formato di immagine che era usato per Linux che non è più usato popolarmente.

E01: Sta per EnCase Evidence File, che è un formato comunemente usato per le immagini ed è simile a

AFF: Sta per Advanced Forensic Format che è un tipo di formato open-source.

Ora, aggiungi i dettagli dell’immagine per procedere.

Ora finalmente aggiungi la destinazione del file immagine, nomina il file immagine e poi clicca su Fine.

Una volta aggiunto il percorso di destinazione, puoi ora iniziare con l’Imaging e cliccare anche sull’opzione verifica per generare un hash.

Ora aspettiamo qualche minuto che l’immagine venga creata.

Dopo che l’immagine viene creata, viene generato un risultato Hash che verifica l’Hash MD5, l’Hash SHA1 e la presenza di eventuali settori danneggiati.

Cattura della memoria

È il metodo di catturare e scaricare il contenuto di un contenuto volatile in un dispositivo di memorizzazione non volatile per conservarlo per ulteriori indagini. Un’analisi ram può essere condotta con successo solo quando l’acquisizione è stata eseguita accuratamente senza corrompere l’immagine della memoria volatile. In questa fase, l’investigatore deve fare attenzione alle sue decisioni di raccogliere i dati volatili perché non esisteranno più dopo che il sistema sarà stato riavviato.

Ora, cominciamo con la cattura della memoria.

Per catturare la memoria, cliccate su File > Cattura memoria.

Scegliete il percorso di destinazione e il nome del file di destinazione, e cliccate su cattura memoria.

Ora aspettiamo qualche minuto che la ram venga catturata.

Analisi Immagine Dump

Ora analizziamo l’immagine Dump RAW una volta acquisita con FTK imager. Per iniziare l’analisi, clicca su File> Add Evidence Item.

Ora seleziona la fonte del file dump che hai già creato, quindi qui devi selezionare l’opzione file immagine e clicca su Next.

Scegliete il percorso del dump dell’immagine che avete catturato cliccando su Sfoglia.

Una volta che il dump dell’immagine è collegato alla parte di analisi, vedrete un albero delle prove che ha il contenuto dei file del dump dell’immagine. Questo potrebbe avere sia dati cancellati che sovrascritti.

Per analizzare ulteriormente altre cose, ora rimuoveremo questo elemento di prova cliccando con il tasto destro sul caso e cliccando su Remove Evidence Item

Montaggio dell’immagine sul drive

Per montare l’immagine come drive nel sistema, clicca su File >Montaggio immagine

Una volta apparsa la finestra Monta immagine su unità, puoi aggiungere il percorso del file immagine che vuoi montare e cliccare su Monta.

Ora puoi vedere che il file immagine è stato montato come un’unità.

Immagine di contenuto personalizzata con crittografia AD

FTK imager ha una caratteristica che gli permette di crittografare file di un tipo particolare secondo il requisito dell’esaminatore. Clicca sui file che vuoi aggiungere all’immagine di contenuto personalizzato insieme alla crittografia AD.

Tutti i file selezionati saranno visualizzati in una nuova finestra e poi clicca su Create Image per procedere.

Compilare i dettagli richiesti per la prova che deve essere creata.

Ora aggiungi la destinazione del file immagine che deve essere creato, dai un nome al file immagine e poi seleziona la casella con crittografia AD, e poi clicca su Fine.

Sarà visualizzata una nuova finestra per criptare l’immagine, ora renter e reinserire la password che vuoi aggiungere per la tua immagine.

Ora per vedere i file criptati, clicca su File> Add Evidence Item…

La finestra per decriptare i file criptati apparirà una volta aggiunta la fonte del file. Inserisci la password e clicca su OK.

Ora vedrai i due file criptati dopo aver inserito le password valide.

Decifra l’immagine AD1

Per decifrare l’immagine del contenuto personalizzato, clicca su File> Decifra l’immagine AD1.

Ora devi inserire la password per il file immagine che è stato criptato e clicca su Ok.

Ora, aspetta qualche minuto finché l’immagine decriptata viene creata.

Per vedere l’immagine di contenuto personalizzato decriptata, aggiungi il percorso del file decriptato e clicca su Finish.

Ora sarai in grado di vedere i file criptati usando la password corretta per decriptarli.

Ottenere i file protetti

Alcuni file sono protetti durante il recupero, per ottenere questi file, cliccare su File> Ottenere file protetti

Si aprirà una nuova finestra e cliccare su sfoglia per aggiungere la destinazione del file che è protetto e cliccare sull’opzione che dice recupero password e tutti i file di registro e cliccare su OK.