X-Ways Forensics e supporto extfs
Tra le novità della release 11.8 di X-Ways Forensics, di particolare importanza è il supporto ai filesystem ext2 ed ext3 (oltre a cdfs/iso 9660/Joliet), che permette una completa analisi di supporti provenienti da stazioni Linux.
Per testare al meglio le nuove funzionalità ho eseguito le prove con un floppy formattato in ext2 ed un hard-disk contenente un’installazione Debian con partizioni Ext3, creando e cancellando dei file ad hoc nella directory home.
Per quanto riguarda il floppy, ho creato un’immagine fisica del disco, per poi analizzarla con calma senza i tempi di latenza del drive floppy.
Ciò ha permesso di controllare anche il funzionamento dell’interpretazione dell’immagine come disco (Specialist -> Interpret Image File As Disk). L’operazione è stata eseguita senza alcun problema, è stato correttamente rilevato il tipo di Filesystem (ext2) e la dimensione dei blocchi (1024k).
Il funzionamento del browser delle directory è speculare alle analisi di filesystem Microsoft, è stata aggiunta la voce “Inode Modification” contenente la data di ultima modifica dell’inode e nel menu a comparsa è possibile posizionarsi direttamente sul primo byte dell’inode del file (Go To Inode).
Partizione Ext3
Attraverso il menu Access dell’editor è possibile accedere direttamente ai record del superblock. Ciò avviene attraverso un template apposito creato da Jens Kirschner, visibile nella directory principale del programma (Ext Superblock.txt).
Altri template disponibili (View – Template Manager) utili nell’analisi di filesystem extfs sono:
Ext Directory Entry.txt (Struttura delle Directory Entry - Casey)
Ext Group Descriptor.txt (Struttura dei Group Descriptor - Kirschner)
Ext Inode.txt (Struttura degli Inode - Casey)
Reiser Superblock.txt ( Struttura del Superblock di una partizione ReiserFS – Kirschner)
A causa della struttura dell’extfs, è impossibile il recupero di file per nome e quindi la relativa voce nel menu Disk Tools non è evidenziata. Se però è stata cancellata un’intera directory, WinHex crea una cartella “Deleted Files” con i file recuperati identificati per nome.
Con l’opzione “By Type”, è stato eseguito in ogni caso un recupero completo dei file cancellati.
Nel menu delle opzioni per il recupero “By Type” è presente la nuova voce “Ext2/Ext3 block logic”, che permette il recupero seguendo le caratteristiche peculiari dei filesystem Ext, che consistono nell’inserimento di puntatori a blocchi ulteriori nel tredicesimo blocco del file. Senza questo accorgimento il tredicesimo blocco verrebbe considerato parte del file, creando problemi nella ricostruzione dello stesso.
Abilitando l’opzione, il tredicesimo blocco non viene mai considerato come contenente parte del file, e le informazioni dei puntatori vengono utilizzate per trovare i blocchi restanti.
Diversamente dai sistemi FAT e NTFS, non è possibile reinserire i file cancellati nelle directory di provenienza. Non vedremo quindi i file cancellati tra quelli esistenti ma nella cartella “Deleted Files”, che verrà riempita dopo una seconda scansione dei cluster (Tools –Disk Tools- Rescan Cluster Chain).
Ovviamente le etichette del programma non cambiano: i blocchi del filesystem linux sono i cluster dei relativi filesystem Microsoft, per cui navigando manualmente attraverso superblock e group descriptor, dobbiamo spostarci al cluster X (Blocco X).
Gallery
Sempre per quanto riguarda la navigazione è possibile andare direttamente ad un inode, attraverso la nuova voce “Go To Inode” del menu Position.
I test (recupero file, gallery view, hash sets, drive contents table) sono stati eseguiti con successo, la velocità di esecuzione delle operazioni non mostra sensibili differenze rispetto alle rispettive su filesystem di Windows.
E’ facile comprendere la terribile utilità di queste nuove funzioni di X-Way Forensic. Basti pensare alla recente proliferazione di sistemi con dual-boot Win/Linux, ed alla comodità di poter analizzare i relativi supporti senza dover cambiare piattaforma di lavoro.
Con queste funzionalità (e quelle in arrivo), X-Ways Forensics si avvia a diventare una killer-application nel campo dell’indagine digitale.
