Migliori programmi di informatica forense
Aggiornato il:
Usare un programma gratuito di informatica forense per trovare e recuperare tutti i dati in un computer
Nei casi eclatanti di omicidio, durante i processi giudiziari più intricati, quelli riguardanti reati come truffa, corruzione oppure anche nei casi di divorzio, di fedeltà matrimoniale e cose cosi, una delle cose che viene controllata per primi sono i computer di vittime e sospettati.
Ma ovviamente il poliziotto non si mette a scartabellare un pc cercando a mano se c'è qualcosa di strano, utilizza alcuni programmi che permettono di analizzare automaticamente tutti i dati memorizzati nel computer, compresi quelli che sono stati cancellati.
Questa attività di ricerca individuazione e studio dei file in un computer è l'informatica forense che cerca le prove da usare nei processi giudiziari.
In ogni caso, nel piccolo del quotidiano, senza scomodare la scientifica di CSI, si può facilmente controllare un computer e trovare tutti i dati in esso contenuti, creando un indice o database ordinato e facilmente consultabile dei file, delle email, della cronologia internet, delle fotografie, compresi i dati nascosti nei meandri della memoria di un pc e quelli cancellati.
1) Il primo programma di informatica forense da segnalare è Digital Investigation Framework un software open source che si può installare su Windows e su Linux.
Digital Forensics Framework (DFF) è un programma gratuito scritto in Pyton che si può scaricare gratis facendo il download del programma con Pyton compreso (su Windows il file di installazione completo è dff-with-dependencies-1.1.0.exe).
Al termine dell'installazione si può lanciare la GUI dal menu Start ed utilizzare il programma.
L'interfaccia grafica non è troppo intuitiva ed è in inglese quindi qualcuno potrebbe trovare difficoltà a capirne l'utilizzo.
2) Un programma molto più semplice da utilizzare, ugualmente potente è OS Forensics di cui esiste, per ora, una versione gratuita.
Dopo averlo scaricato e installato, si può aprire l'interfaccia che mostra una serie di strumenti per penetrare dentro il computer e trovare ogni tipologia di dato e informazione memorizzato nel pc. La versione gratuita ha qualche limite nella ricerca dei file e nella decodifica.
La differenza tra OS Forensics e DFF è che questa volta l'interfaccia principale è molto più intuitiva e diventa facile creare un indice di tutti i file sul disco per ricercare le informazioni sospette e tipologie diverse di dati.
E 'possibile fare una ricerca approfondita per tipi specifici di dati, come email, file zip, documenti Office, pagine web, o specificare tipi di file personalizzati durante la fase di configurazione avanzata.
Le opzioni avanzate permettono di specificare le estensioni dei file che si desidera includere nella scansione.
OS Forensics non trova solo i file esistenti sul disco ma anche le tracce dei file cancellati su settori non allocati dell'hard disk.
L'indicizzazione dei dati potrebbe richiedere del tempo a seconda delle dimensioni della cartella selezionata e le prestazioni del computer.
Una volta creato l'indice è possibile utilizzare la ricerca per trovare file specifici che sono stati indicizzati in precedenza.
Grazie ad un tool portatile da copiare su penna USB si può fare la copia esatta dell'hard disk di un computer che poi si può analizzare con OS Forensics su un altro computer.
Tra i tool più interessanti ci sono:
- La ricerca all'interno dei file di testo e delle e-mail
- La copia forense per copiare i file da una cartella ad un'altra mantenendone le proprietà intatte e quindi le date di creazione modifica ecc.
- Visualizzatore disco Raw per vedere i dati grezzi di tutti i dischi.
- Visualizzazione dei dettagli di memoria di tutti i processi.
- Ricerca dei file cancellati.
- Ricerca di file con contenuti che non corrispondono al tipo di file, ad esempio quindi gli archivi nascosti o le estensioni false (facile nascondere una foto cambiando l'estensione no?).
- Ricerca password usate su internet e decrittografia automatica dei file protetti.
OSFClone è un'immagine ISO da masterizzare su un CD, DVD o su una penna USB.
L'installazione su penna USB richiede l'esecuzione del file ImageUSB.exe e qualche passaggio aggiuntivo descritto nella pagina di istruzioni.
Riavviando il computer con boot da lettore CD/DVD o da penna USB, OSFClone si avvia immediatamente ed automaticamente, indipendentemente dal sistema operativo installato sul computer. Un programma auto-boot si avvia al posto del sistema operativo, non richiede autenticazioni o password del proprietario del pc e funziona anche se Windows non funzionasse più.
Non c'è interfaccia grafica ma, anche se solo a riga di comando, è davvero semplice da utilizzare. All'inizio si deve premere Invio poi il programma visualizza subito le opzioni disponibili in un menu di testo. Tramite la tastiera si sceglie una delle opzioni scrivendo il numero e si preme invio per cominciare l'operazione.
OFSClone è in grado di creare immagini copia del disco o di una partizione, in formato raw (IMG, ISO o BIN) o in formato Forensics Advance (AFF).
Un'altra opzione interessante è la possibilità di verificare che l'unità clonata sia identica all'hard disk copiato, confrontando gli hash tra il clone e unità di origine.
Una volta ottenuta la copia di un hard disk, per aprirla anche su un altro computer, si deve può usare il software OSFMount che permette di montare l'immagine e analizzarla.
3) Un altro programma di informatica forense assolutamente open source è Linux Caine (Computer Aided Investigative Environment) una distribuzione Linux Live da usare avviando un computer da cd che contiene tanti strumenti per investigare a fondo in un computer e scoprirne il suo uso.
4) Dagli stessi autori di Cain, si può scaricare un programma per Windows è WinTaylor, una raccolta di tool per trovare dati e file nel pc.
Ma ovviamente il poliziotto non si mette a scartabellare un pc cercando a mano se c'è qualcosa di strano, utilizza alcuni programmi che permettono di analizzare automaticamente tutti i dati memorizzati nel computer, compresi quelli che sono stati cancellati.
Questa attività di ricerca individuazione e studio dei file in un computer è l'informatica forense che cerca le prove da usare nei processi giudiziari.
In ogni caso, nel piccolo del quotidiano, senza scomodare la scientifica di CSI, si può facilmente controllare un computer e trovare tutti i dati in esso contenuti, creando un indice o database ordinato e facilmente consultabile dei file, delle email, della cronologia internet, delle fotografie, compresi i dati nascosti nei meandri della memoria di un pc e quelli cancellati.
1) Il primo programma di informatica forense da segnalare è Digital Investigation Framework un software open source che si può installare su Windows e su Linux.
Digital Forensics Framework (DFF) è un programma gratuito scritto in Pyton che si può scaricare gratis facendo il download del programma con Pyton compreso (su Windows il file di installazione completo è dff-with-dependencies-1.1.0.exe).
Al termine dell'installazione si può lanciare la GUI dal menu Start ed utilizzare il programma.
L'interfaccia grafica non è troppo intuitiva ed è in inglese quindi qualcuno potrebbe trovare difficoltà a capirne l'utilizzo.
2) Un programma molto più semplice da utilizzare, ugualmente potente è OS Forensics di cui esiste, per ora, una versione gratuita.
Dopo averlo scaricato e installato, si può aprire l'interfaccia che mostra una serie di strumenti per penetrare dentro il computer e trovare ogni tipologia di dato e informazione memorizzato nel pc. La versione gratuita ha qualche limite nella ricerca dei file e nella decodifica.
La differenza tra OS Forensics e DFF è che questa volta l'interfaccia principale è molto più intuitiva e diventa facile creare un indice di tutti i file sul disco per ricercare le informazioni sospette e tipologie diverse di dati.
E 'possibile fare una ricerca approfondita per tipi specifici di dati, come email, file zip, documenti Office, pagine web, o specificare tipi di file personalizzati durante la fase di configurazione avanzata.
Le opzioni avanzate permettono di specificare le estensioni dei file che si desidera includere nella scansione.
OS Forensics non trova solo i file esistenti sul disco ma anche le tracce dei file cancellati su settori non allocati dell'hard disk.
L'indicizzazione dei dati potrebbe richiedere del tempo a seconda delle dimensioni della cartella selezionata e le prestazioni del computer.
Una volta creato l'indice è possibile utilizzare la ricerca per trovare file specifici che sono stati indicizzati in precedenza.
Grazie ad un tool portatile da copiare su penna USB si può fare la copia esatta dell'hard disk di un computer che poi si può analizzare con OS Forensics su un altro computer.
Tra i tool più interessanti ci sono:
- La ricerca all'interno dei file di testo e delle e-mail
- La copia forense per copiare i file da una cartella ad un'altra mantenendone le proprietà intatte e quindi le date di creazione modifica ecc.
- Visualizzatore disco Raw per vedere i dati grezzi di tutti i dischi.
- Visualizzazione dei dettagli di memoria di tutti i processi.
- Ricerca dei file cancellati.
- Ricerca di file con contenuti che non corrispondono al tipo di file, ad esempio quindi gli archivi nascosti o le estensioni false (facile nascondere una foto cambiando l'estensione no?).
- Ricerca password usate su internet e decrittografia automatica dei file protetti.
OSFClone è un'immagine ISO da masterizzare su un CD, DVD o su una penna USB.
L'installazione su penna USB richiede l'esecuzione del file ImageUSB.exe e qualche passaggio aggiuntivo descritto nella pagina di istruzioni.
Riavviando il computer con boot da lettore CD/DVD o da penna USB, OSFClone si avvia immediatamente ed automaticamente, indipendentemente dal sistema operativo installato sul computer. Un programma auto-boot si avvia al posto del sistema operativo, non richiede autenticazioni o password del proprietario del pc e funziona anche se Windows non funzionasse più.
Non c'è interfaccia grafica ma, anche se solo a riga di comando, è davvero semplice da utilizzare. All'inizio si deve premere Invio poi il programma visualizza subito le opzioni disponibili in un menu di testo. Tramite la tastiera si sceglie una delle opzioni scrivendo il numero e si preme invio per cominciare l'operazione.
OFSClone è in grado di creare immagini copia del disco o di una partizione, in formato raw (IMG, ISO o BIN) o in formato Forensics Advance (AFF).
Un'altra opzione interessante è la possibilità di verificare che l'unità clonata sia identica all'hard disk copiato, confrontando gli hash tra il clone e unità di origine.
Una volta ottenuta la copia di un hard disk, per aprirla anche su un altro computer, si deve può usare il software OSFMount che permette di montare l'immagine e analizzarla.
3) Un altro programma di informatica forense assolutamente open source è Linux Caine (Computer Aided Investigative Environment) una distribuzione Linux Live da usare avviando un computer da cd che contiene tanti strumenti per investigare a fondo in un computer e scoprirne il suo uso.
4) Dagli stessi autori di Cain, si può scaricare un programma per Windows è WinTaylor, una raccolta di tool per trovare dati e file nel pc.
Posta un commento