File System Forensic Analysis

di Maurizio Anconelli

Il filesystem è il campo di battaglia di ogni analista forense. La conoscenza approfondita dei sistemi e delle strutture di salvataggio dei dati è un prerequisito indispensabile. Brian Carrier pubblica il primo ed unico testo dedicato esclusivamente all'analisi forensica dei filesystem.

La competenza di Carrier nell’analisi fornsica è indubbia. The Sleuth Kit, la sua realizzazione più nota, lo dimostra senza ombra di dubbio.

Quello che stupisce leggendo il testo è la capacità di rendere fruibili ed immediate una serie di nozioni non proprio semplici ed alla portata di tutti. Indubbiamente gli argomenti trattati non sono alla portata di un utente alle prime armi ma, chiunque possieda nozioni informatiche paragonabili a quelle di un sistemista junior può apprendere senza fatica la maggior parte dei contenuti.

Un esempio per tutti è costituito dall’illustrazione degli indirizzamenti CHS, LBA e per settore. Ho letto molti testi che cercano di spiegarne il funzionamento partendo dalle limitazioni Bios ed ATA, passando per la struttura dei dischi fissi terminando spesso in complicate funzioni binarie di traduzione degli indirizzi che complicano inutilmente l’argomento.

Carrier riesce a semplificare il tutto pur non omettendo i necessari riferimenti tecnici, evidenziando inoltre la differenza tra indirizzamento fisico e logico dei settori.

Il testo è ben strutturato, la parte iniziale è dedicata all’approfondimento dei supporti e della struttura dei dati, delle partizioni e dei volumi.

La parte centrale è un tuffo negli abissi dei più conosciuti filesystem, della loro struttura e di tutte le nozioni utili ad un analista forense.

Da apprezzare particolarmente il lavoro dedicato al sistema NTFS, del quale la stessa Microsoft non ha mai rilasciato analisi approfondite.

I numerosi esempi sono realizzati utilizzando The Sleuth Kit ed altri tools Open Source che permettono una visione chiara dei meccanismi e dei concetti illustrati.

Gli strumenti forensici disponibili attualmente agevolano le indagini presentandoci i dati e filtrandoli in modo da ridurre al minimo il lavoro ‘sporco’ sul sistema, in qualche caso permettendo un certo grado di ignoranza sui meccanismi basilari dei filesystem. Ignoranza che può in risultare devastante in altri casi.

Per questo ritengo il libro di Carrier indispensabile, sia come testo di apprendimento puro che come guida di riferimento nel lavoro quotidiano.

Brian Carrier

File System Forensic Analysis

2005 -Addison-Wesley Professional

Lingua: Inglese

Indice:

  • Part I - Foundations

    - Digital Investigation Foundations

    - Computer Foundations

    - Hard Disk Data Acquisition

  • Part II – Volume Analysis

    - Volume Analysis

    - PC-Based Partitions

    - Server-Based Partitions

    - Multiple Disk Volumes

  • Part III – File System Analysis

    - File System Analysis

    - FAT Concepts and Analysis

    - FAT Data Structures

    - NTFS Concepts

    - NTFS Analysis

    - NTFS Data Structures

    - Ext2 and Ext3 Concepts and Analysis

    - Ext2 and Ext3 Data Structures

    - UFSI and UFS2 Concept and Analysis

    - UFSI and UFS2 Data Structures

  • Appendix A – The Sleuth Kit and Autopsy



Per informazioni contattare staff@cybercrimes.it
Il logo cybercrimes.it e le immagini relative sono di proprietà del sito.
La documentazione presente nel sito è soggetta alla licenza Creative Commons ed è quindi liberamente riproducibile riportando il nome dell'autore originale.

>>>Forum<<<

Google
Web
cybercrimes.it

Lo Staff di Cybercrimes.it

Anconelli Maurizio

ISFCE


Denis Frati

Denis Frati 05/2007 - 10/2010

hackin9

Hard Disk Forensics e Specifiche ATA