













































Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Questo documento, estratto dal corso di informatica giuridica tenuto da giuseppe vaciago all'università degli studi dell'insubria, offre una introduzione alle tecniche di indagine forensic sui sistemi informatici. Vengono trattati temi come il registro di sistema, la steganografia, i cookie, i log file, il keylogger e l'analisi di email. Il documento illustra come recuperare informazioni utili per un'indagine telematica attraverso il registro di sistema e i file di log, e descrive come funzionano i cookie e come analizzarli. Vengono inoltre presentate le tecniche di steganografia e il concetto di keylogger. Il documento conclude con alcuni casi giurisprudenziali che illustrano l'importanza di una corretta indagine forensic.
Tipologia: Appunti
1 / 53
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!














































Giuseppe Vaciago
Agenda1.^
Investigazioni telematiche
2.^
Computer Forensics
3.^
La prime applicazioni giurisprudenziali
4.^
Cenni sugli aspetti processuali delleinvestigazioni telematiche
Il processore si attiva avviando una procedura di controllo
che
verifica il corretto funzionamentoDopo
aver
verificato,
dà
disposizione
al
di
avviare
il
sistema operativoIl BIOS legge la procedura da seguire in una zona protetta delcomputer
di
avviare
il
sistema
operativo
detta
Master
Boot
Record
Attraverso
il^
registro
di^
sistema
è^
possibile
recuperare
informazioni
utili
ad
un’indagine.
Ad
esempio
dalla
chiave
HKEY_LOCAL_MACHINE è possibile conoscere quali periferichesono state installate all’interno di un computer e quindi sapere seuna chiave USB è stata recentemente usata per prelevare dati:1. Dal menù Start/Esegui digitare
regedit
Il^
termine
steganografia
è
composto
dalle
parole
greche
stèganos
(nascosto)
e
gràfein
(scrittura)
e
individua
una
tecnica risalente all'antica Grecia che si prefigge di nascondere lacomunicazione tra due interlocutori.Nel
campo
dell'informatica,
due
utenti
possono
utilizzare
la
steganografia digitale per inviarsi messaggi nascosti all'interno difile di "copertura" (
filigrana elettronica
), come immagini o altri
file multimediali: in questo tipo di file l'alterazione di pochi bitnon altera in modo evidente il contenuto.
1. Creazione di un file steganografato Invisible secret:http://www.softpedia.com/progDownload/Invisible-Secret-Download-6044.html
(versione trial 15 giorni)
2. Individuazione di un file steganografato Stegdetect:http://www.outguess.org/download.php
(versione Window Binary)
1.^
Undelete Plus
è un software molto utile per i supporti removibili
(memorie USB) a.^
Installare il software reperibile all’indirizzo: http://www.undelete-plus.com/download.html b.^
Selezionare l’unità di cui si vuole scansionare il contenuto cancellato c.^
Provare a recuperare il file attraverso il comando undelete
2.^
Attraverso
Win Hex, invece,
è possibile altresì conoscere almeno il
titolo dei file cancellati a.^
Installare il software Win Hex reperibile all’indirizzo:http://www.x-ways.net/winhex/ b.^
Selezionare dal menù Tools Open Disk e scegliere l’unità desiderata
Un primo banale sistema per poter cancellare le tracce è svuotare la
cache
del proprio
browser per la navigazione in reteIn informatica, la
cache
(nascondiglio, deposito segreto, in inglese) è un insieme di
dati che viene memorizzato in una posizione temporanea, dalla quale possa essererecuperato velocemente su richiesta.Per fare ciò sul browser Internet Explorer di Microsoft è sufficiente andare sul menùstrumenti/opzioni/elimina ed eliminare: File
: Copie di pagine web, immagini ed elementi multimediali salvati per una più rapida visualizzazione Cookies
(letteralmente "biscottini"): sono piccoli file di testo che i siti web utilizzano
per immagazzinare alcune informazioni nel computer dell'utente al fine di velocizzareun nuovo accesso. I cookie sono inviati dal sito web e memorizzati sul computer.Possono essere volatili (si cancellano dopo aver spento il computer) o persistenti. Cronologia
: indica tutti i siti e le pagine web visitate
Moduli
: indicano tutte le tipologie di ricerche effettuate
Password
: memorizzano tutte le password inserite
Nell’analisi compariranno sei valori che consistono in: 1. Key
: il nome della variabile contenuta nel cookie
2. Value
: valore della variabile
3. Host
: sito che ha generato il cookie
4. Secure
: compare True se il cookie dopo essere stato generato viene scaricato
nel computer tramite un sistema di sicurezza, altrimenti compare False
5. Modified date
: data e ora dell’ultima modifica della variabile del cookie
6. Expiration date
: data in cui il cookie non sarà più considerato valido
I valori interessanti in una indagine informatica sono Host e Modified date
I file di log sono file che, registrando tutte le operazioni compiutedall’elaboratore elettronico durante il suo funzionamento, contengonorilevanti
informazioni
relativi
al
sistema,
compresi
i
servizi
e
le
applicazioni in funzione.In un normale computer di casa coesistono diversi tipi di file di log:-^ log di sistema
: memorizza gli eventi significativi che intercorrono
tra il sistema, come fornitore di servizi e le applicazioni, come clientidei servizi stessi;-^ log di applicazione
: molte applicazioni prevedono i propri log su
cui sono registrati eventi caratteristici dell'applicazione;-^ log di base dati
: in questo caso è il sistema gestore di base dati
che
registra
le
operazioni
fatte
sulla
base
dati
(inserimento,
aggiornamento, cancellazione di record).