






























Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Appunti presi in aula - parte di Giacci
Tipologia: Sbobinature
1 / 38
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!































È importante svolgere un sistema di indagini in modo corretto, cioè senza alterare/modificare le prove: acquisizione corretta delle prove, in modo da non contaminarle, rispettando il loro stato e che nessuno si possa opporre alla correttezza del nostro processo. Ci si muove in un ambito nuovo e molto delicato, bisogna essere molto informati per non passare da tecnico a imputato. (Intercettazione ambientale (registrare conversazioni di cui non si fa parte) → è permessa solo alle forze dell’ordine (reato penale, 3-5 anni))
Ci occupiamo di 3 aspetti:
Ad esempio, dobbiamo stabilire se è stato fatto l’accesso ad un certo sito: non sequestro il mouse, lo schermo, ecc, ma ci si limita all’analisi da effettuare, quindi solo il disco del pc. Ci sono anche casi in cui si sequestra tutto, però, in generale, le prove devono essere limitate. Al posto del sequestro, si può anche copiare la prova senza interrompere l’attività del professionista ed incorrere in danni economici. In alcuni casi, la tastiera è sequestrata se, ad esempio, si vuole avere un campione biologico che non rientra nella nostra perizia, ma nelle indagini. In ogni caso, tutti gli ordini di sequestro sono impartiti dal giudice.
piattaforma di comportamenti da attuare:
NTP (Network Time Protocol), che definisce i vari orari nel mondo, che danno un filmato delle operazioni di perizia. Per questo non è possibile stabilire un algoritmo, ma solo delle linee guida. Per far ciò possiamo usare sia Software open source che Software commerciali.
dell’analisi investigativa, si può trattare di:
prova di luce; per memory card e USB disk c’è lo switch hardware per la protezione da scrittura ed il sacchetto antistatico + involucro antiurto. PRESERVARE LA PROVA NEL SEQUESTRO DI PERSONAL COMPUTER Si prevede che il pc sia spento al momento del sequestro.
Attività generali:
è vietato in molti Paesi della Comunità europea, Italia compresa (Artt. 340, 617 e 617 bis del Codice Penale).
Questa attività si deve fare sempre. Se si sequestra un disco si deve fare la duplicazione perché si lavora su essa e MAI sull’originale. Alcuni casi che inducono al ricorso della duplicazione dei supporti:
Si deve garantire la sola lettura del dispositivo. È un dispositivo riconosciuto dal giudice, quindi si consiglia di utilizzare questo anziché un’altra metodologia (esempio: Linux sola lettura). Il write blocker ( WB ) è un dispositivo hardware che impedisce ogni tipo di scrittura verso il supporto ad esso collegato. Il WB si rende necessario per:
In cosa consiste? Catturare la comunicazione tra più dispositivi che comunicano. La cosa più importante è definire gli obiettivi. Non si può catturare tutto. (…) CARATTERISTICHE
4 soldi abbiamo fatto il famoso switch managed. Lo switch viene gestito dal sistema operativo attraverso il quale si accede al backplane (bus virtuale/logico che collega 4 reti), mi ci attacco e intercetto i dati. CREARE UNA SONDA – IL SISTEMA OPERATIVO
Ora che abbiamo la nostra sonda, dobbiamo fare sniffing attraverso tcpdump (come Wireshark??, ma non ha ambiente grafico). Utilizza il formato … che un po’ tutti i software di analisi dei dati di reti conoscono. Con tcpdump stiamo catturando il traffico, ma poi dobbiamo analizzarlo attraverso programmi preposti all’analisi che applicano filtri (es.: il traffico che proviene dalla sorgente X o il traffico che ha come destinazione Y oppure tutto il traffico http o DNS). TCPDUMP, software che non opera in ambiente grafico. FLAG UTILI:
facendo vedere. Se ci sono 2 partizioni da 1 GB ciascuna e il disco è da 4 GB, devo indagare sulla parte nascosta per capire cosa c’è dietro. (Potrebbe essere un altro sistema operativo). NOTAZIONE CHS → LIMITI Chi l’ha progettata ha usato:
- noatime : non aggiorna la data di accesso a directory e file. Questo è importantissimo perché la prima cosa da fare quando si accede a un disco rigido è stabilire la timeline, ossia una lista cronologica di accessi. - offset : numero, specifica l’offset in byte da cui montare. MONTAGGIO DI UN IMMAGINE DI UN DISCO Il comando mount crea un collegamento tra un file system ed un dispositivo fisico. Il semplice montaggio del file di immagine non permette al sistema di determinare la corretta geometria del disco, quindi bisogna fare un passaggio intermedio (quindi prima di effettuare il montaggio), ossia ricorrere ai loop device , per effettuare il mount di una immagine. Creare un device virtuale collegato all’immagine del disco: losetup /dev/loop0
formattato da un pc Apple che inizia a scrivere la sua APM a partire dal secondo settore. Il primo settore resta inalterato. Parte l’indagine sul disco e noi crediamo ci sia un sistema Windows e lo analizziamo come un sistema Windows. In più con fdisk - lo anche Linux casca nello stesso tranello. (Quando ci arriva un disco ed il secondo settore è occupato, bisogna controllare.)
Alcune tipologie di entry:
La tabella FAT è composta da un numero di record pari al numero di cluster (settori/grandezza del cluster). Ogni record ha un solo campo che sarà uguale a: