Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Indagine forense su sistemi informatici: registri, steganografia, cookie, log, keylogger e, Appunti di Elementi di Informatica

Questo documento, estratto dal corso di informatica giuridica tenuto da giuseppe vaciago all'università degli studi dell'insubria, offre una introduzione alle tecniche di indagine forensic sui sistemi informatici. Vengono trattati temi come il registro di sistema, la steganografia, i cookie, i log file, il keylogger e l'analisi di email. Il documento illustra come recuperare informazioni utili per un'indagine telematica attraverso il registro di sistema e i file di log, e descrive come funzionano i cookie e come analizzarli. Vengono inoltre presentate le tecniche di steganografia e il concetto di keylogger. Il documento conclude con alcuni casi giurisprudenziali che illustrano l'importanza di una corretta indagine forensic.

Tipologia: Appunti

2018/2019

Caricato il 28/04/2019

Luca125
Luca125 🇮🇹

3.8

(9)

37 documenti

1 / 53

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Elementi di Computer Forensics
Giuseppe Vaciago
Agenda
1. Investigazioni telematiche
2. Computer Forensics
3. La prime applicazioni giurisprudenziali
4. Cenni sugli aspetti processuali delle
investigazioni telematiche
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35

Anteprima parziale del testo

Scarica Indagine forense su sistemi informatici: registri, steganografia, cookie, log, keylogger e e più Appunti in PDF di Elementi di Informatica solo su Docsity!

Elementi di Computer Forensics

Giuseppe Vaciago

Agenda1.^

Investigazioni telematiche

2.^

Computer Forensics

3.^

La prime applicazioni giurisprudenziali

4.^

Cenni sugli aspetti processuali delleinvestigazioni telematiche

Introduzione: BiosIntroduzione:

Bios

Il processore si attiva avviando una procedura di controllo

che

verifica il corretto funzionamentoDopo

aver

verificato,

disposizione

al

BIOS

di

avviare

il

sistema operativoIl BIOS legge la procedura da seguire in una zona protetta delcomputer

di

avviare

il

sistema

operativo

detta

Master

Boot

Record

Introduzione:Introduzione

: RegistroRegistro di

di sistema

sistema

Introduzione:Introduzione

: RegistroRegistro di

di sistema

sistema

Attraverso

il^

registro

di^

sistema

è^

possibile

recuperare

informazioni

utili

ad

un’indagine.

Ad

esempio

dalla

chiave

HKEY_LOCAL_MACHINE è possibile conoscere quali periferichesono state installate all’interno di un computer e quindi sapere seuna chiave USB è stata recentemente usata per prelevare dati:1. Dal menù Start/Esegui digitare

regedit

  1. Scegliere la cartella HKEY_LOCAL_MACHINE3. Selezionare la cartella System4. Selezionare la cartella MountedDevices5. Verificare in fondo all’elenco l’unità dei Dos Device6. Selezionare e cliccare l’unità interessata e verificare dai “dativalore” la dicitura “Storage Removable Media”

SteganografiaSteganografia

Il^

termine

steganografia

è

composto

dalle

parole

greche

stèganos

(nascosto)

e

gràfein

(scrittura)

e

individua

una

tecnica risalente all'antica Grecia che si prefigge di nascondere lacomunicazione tra due interlocutori.Nel

campo

dell'informatica,

due

utenti

possono

utilizzare

la

steganografia digitale per inviarsi messaggi nascosti all'interno difile di "copertura" (

filigrana elettronica

), come immagini o altri

file multimediali: in questo tipo di file l'alterazione di pochi bitnon altera in modo evidente il contenuto.

SteganografiaSteganografia

1. Creazione di un file steganografato Invisible secret:http://www.softpedia.com/progDownload/Invisible-Secret-Download-6044.html

(versione trial 15 giorni)

2. Individuazione di un file steganografato Stegdetect:http://www.outguess.org/download.php

(versione Window Binary)

Recupero datiRecupero

dati cancellati

cancellati

1.^

Undelete Plus

è un software molto utile per i supporti removibili

(memorie USB) a.^

Installare il software reperibile all’indirizzo: http://www.undelete-plus.com/download.html b.^

Selezionare l’unità di cui si vuole scansionare il contenuto cancellato c.^

Provare a recuperare il file attraverso il comando undelete

2.^

Attraverso

Win Hex, invece,

è possibile altresì conoscere almeno il

titolo dei file cancellati a.^

Installare il software Win Hex reperibile all’indirizzo:http://www.x-ways.net/winhex/ b.^

Selezionare dal menù Tools Open Disk e scegliere l’unità desiderata

Cancellare le proprie tracceCancellare le proprie tracce

Un primo banale sistema per poter cancellare le tracce è svuotare la

cache

del proprio

browser per la navigazione in reteIn informatica, la

cache

(nascondiglio, deposito segreto, in inglese) è un insieme di

dati che viene memorizzato in una posizione temporanea, dalla quale possa essererecuperato velocemente su richiesta.Per fare ciò sul browser Internet Explorer di Microsoft è sufficiente andare sul menùstrumenti/opzioni/elimina ed eliminare: File

: Copie di pagine web, immagini ed elementi multimediali salvati per una più rapida visualizzazione Cookies

(letteralmente "biscottini"): sono piccoli file di testo che i siti web utilizzano

per immagazzinare alcune informazioni nel computer dell'utente al fine di velocizzareun nuovo accesso. I cookie sono inviati dal sito web e memorizzati sul computer.Possono essere volatili (si cancellano dopo aver spento il computer) o persistenti. Cronologia

: indica tutti i siti e le pagine web visitate

Moduli

: indicano tutte le tipologie di ricerche effettuate

Password

: memorizzano tutte le password inserite

Analisi di un cookieAnalisi di un

cookie

Nell’analisi compariranno sei valori che consistono in: 1. Key

: il nome della variabile contenuta nel cookie

2. Value

: valore della variabile

3. Host

: sito che ha generato il cookie

4. Secure

: compare True se il cookie dopo essere stato generato viene scaricato

nel computer tramite un sistema di sicurezza, altrimenti compare False

5. Modified date

: data e ora dell’ultima modifica della variabile del cookie

6. Expiration date

: data in cui il cookie non sarà più considerato valido

I valori interessanti in una indagine informatica sono Host e Modified date

File di LogFile di Log

I file di log sono file che, registrando tutte le operazioni compiutedall’elaboratore elettronico durante il suo funzionamento, contengonorilevanti

informazioni

relativi

al

sistema,

compresi

i

servizi

e

le

applicazioni in funzione.In un normale computer di casa coesistono diversi tipi di file di log:-^ log di sistema

: memorizza gli eventi significativi che intercorrono

tra il sistema, come fornitore di servizi e le applicazioni, come clientidei servizi stessi;-^ log di applicazione

: molte applicazioni prevedono i propri log su

cui sono registrati eventi caratteristici dell'applicazione;-^ log di base dati

: in questo caso è il sistema gestore di base dati

che

registra

le

operazioni

fatte

sulla

base

dati

(inserimento,

aggiornamento, cancellazione di record).

File di LogFile di Log

File di LogFile di Log

File di LogFile di Log

File di LogFile di Log