La creazione di una copia forense è il processo con il quale è possibile creare una copia identica di dati.

Quando l’hard disk da copiare è cifrato, la copia forense di un hard disk cifrato genera una copia bit a bit cifrata. Qualora fosse disponibile la password è possibile accedere ai dati in chiaro, in caso contrario ciò non è possibile.

Vediamo come è possibile acquisire una copia forense del supporto decifrato quando si interviene su un computer già acceso procedendo con un’acquisizione live oppure su un hard disk decifrato a volo, collegandolo a un write blocker, per un’acquisizione post mortem.

Copia forense di HD cifrato con FTK Imager

FTK Imager è un software scaricabile gratuitamente dal sito AccessData.

FTK Imager consente di visualizzare un’anteprima del contenuto di un volume fisico, di un volume logico o di un’immagine forense.

Oltre alla visualizzazione dei contenuti, FTK Imager consente di eseguire la copia forense di un computer, di hard disk, di SSD e di ogni altro supporto di memorizzazione. Permette inoltre di eseguire la copia forense della RAM.

Il software FTK Imager si propone come strumento di pronto intervento a cui far seguire l’analisi forense con il tool FTK (Forensic ToolKit) sempre dell’AccessData.

Funzionalità di FTK Imager

Oltre alla copia forense di un computer cifrato che vedremo più avanti, vediamo quali sono tutte le funzionalità di FTK Imager:

• crea immagini forensi di dischi rigidi locali, floppy disk, dischi Zip, CD e DVD
• crea copia di intere cartelle o singoli file da vari punti all’interno del file system del supporto in esame
• crea il dump della memoria RAM
• visualizza in anteprima file e cartelle su dischi rigidi locali, unità di rete, floppy disk, dischi Zip, CD e DVD
• visualizza in anteprima il contenuto delle immagini forensi memorizzate sul computer, su un supporto esterno o su un’unità di rete
• esegue ricerche per parola chiave per ASCII ed esadecimale
• monta un’immagine per una vista di sola lettura tramite l’esplora risorse di Windows
• esporta file e cartelle da immagini forensi
• visualizza e recupera i file che sono stati eliminati dal Cestino, che non siano stati ancora sovrascritti
• calcola l’hash di dischi rigidi locali, floppy disk, dischi Zip, CD e DVD
• calcola l’hash di un’immagine forense
• calcola l’hash dei vari file contenuti in un’immagine forense o in un file system

Copia forense HD cifrato con FTK Imager: vediamo come fare

Per eseguire una copia forense di un hard disk, di norma, si utilizza l’opzione “Physical Drive”

Tuttavia in questo modo si vedrebbero le varie partizioni non leggibili. Pertanto si rende necessario utilizzare l’opzione “Logical Drive”.

Ecco dunque la differenza.

Con “Physical Drive” si vede la partizione con file system non riconosciuto poichè cifrato. Viceversa montando il file system con “Logical Drive” è possibile visualizzare il contenuto senza alcuna difficoltà.