Digital Forensics

Acquisizione di un hard disk con FTK Imager

15/05/2009

Access Data FTK Imager è un software gratuito per l'acquisizione di dispositivi digitali (hard disk, memory card, navigatori satellitari, ecc.) in ambiente Windows.

Il tutorial si riferisce all'acquisizione di un hard disk (IDE o S-ATA), collegato al computer forense tramite interfaccia USB.

PROTEZIONE DALLA SCRITTURA

In un sistema operativo Windows, non essendo possibile montare i dispositivi in sola lettura, è necessario garantirne la protezione attraverso un write blocker hardware o software.

Se si desidera una protezione hardware, la scelta più opportuna è quella di un write blocker con interfaccia USB sia verso il dispositivo che verso la macchina di acquisizione (es. Tableau T8 Forensic USB Bridge). In questo caso è sufficiente dotarsi di un adattatore cui collegare l'hard disk che converta l'interfaccia IDE o S-ATA in USB (es. Adattatore Lindy da USB a SATA & IDE) e connettere quest ultimo al write blocker.

Se si desidera una pretazione software è necessario attivare un blocco sulle porte USB a livello di sistema operativo, prima di collegare l'hard disk alla macchina di acquisizione tramite l'adattatore.

Su Internet sono disponibili diverse soluzioni freeware per il blocco delle porte USB in ambiente Windows. Una soluzione semplice e funzionale è M2CFG Usb Write Blocker, che consente di attivare un blocco sulle porte USB della macchina di acquisizione. È importante notare che questa operazione funziona solamente in ambiente operativo Microsoft Windows XP SP2 o superiore. Inoltre è necessario attivare la protezione PRIMA di connettere l'hard disk da acquisire tramite l'apposito adattatore.

 FTK IMAGER

FTK Imager è un programma di acquisizione dati che può essere utilizzato per fornire una rapida anteprima del contenuto di un hard disk e, se necessario, crearne un'immagine forense.

Per garantire l'integrità della copia questo software realizza una duplicazione bit-per-bit del dispositivo. L'immagine è in questo modo identica all'originale, incluso lo spazio non allocato e lo slack space.

Durante la fase di copia forense il programma verifica che l'hash dell'immagine realizzata e quello dell'hard disk coincidano. Sono disponibili due funzioni di hash: Message Digest 5 (MD5) e Secure Hash Algorithm (SHA-1).

FTK Imager supporta i file system FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, HFS, HFS+ e Reiser.

Con FTK Imager è quindi possibile:

• Visualizzare un’anteprima della struttura logica (partizioni, cartelle e file) dell'hard disk
• Creare un’immagine forense dell'hard disk
• Visualizzare un’anteprima del contenuto di un’immagine forense, precedentemente acquisita
• Esportare file e cartelle da un’immagine forense
• Calcolare l’hash (MD5 e SHA1) dell’immagine forense e di ogni singolo file incluso nell’immagine stessa

ACQUISIZIONE

Di seguito si riportano i passi operativi consigliati per l'acquisizione di un hard disk IDE o SATA in ambiente Windows.

Per portare a termine l'acquisizione sono necessari:

• Hard disk da acquisire, con interfaccia IDE o SATA
• Hard disk esterno con interfaccia USB 2.0 su cui salvare l'immagine
• Personal computer con sistema operativo Microsoft Windows XP SP2 o superiore, dotato di almeno 2 porte USB 2.0
• Software M2CFG Usb Write Blocker (freeware)
• Software FTK Imager 2.60 o superiore (freeware)
• Adattatore da IDE/SATA a USB 

PASSI OPERATIVI

• Avviare il programma M2CFG Usb Write Blocker

• Selezionare la voce "USB Write Protection (for all USB devices) is ON" e fare clic su OK

• Collegare l'adattatore ad una fonte di alimentazione sicura (possibilmente sotto gruppo di continuità)

• Collegare il cavo dati dell'hard disk all'adattatore

• Collegare il cavo di alimentazione dell'hard disk all'adattatore

• Collegare l'adattatore su una porta USB del computer

• Collegare il disco di destinazione su una porta USB del computer

• Avviare il programma FTK Imager

Selezionare la voce "Create Disk Image" nel menu File

Nella schermata “Select Source”, selezionare la voce “Physical Drive” e fare clic su Avanti

Nella schermata “Select Drive”, selezionare nel menu a tendina la voce corrispondente all'hard disk da acquisire e fare clic sul tasto Finish

Nella schermata “Create Image”, fare clic su Add per selezionare la destinazione desiderata per l’immagine dell'hard disk

• Nella schermata “Select Image Type”, selezionare il formato per la copia forense. FTK Imager può creare immagini in format dd, Smart oppure Encase. Selezionare il formato desiderato e fare clic su Avanti

• Nella schermata “Evidence Item Information”,  inserire i dettagli relativi all'hard diskche si sta acquisendo

Nella schermata “Select Image Destination”, selezionare il percorso di salvataggio ed il nome dell’immagine. Se si desidera suddividere l’immagine in più file separati specificare la dimensione di ognuno. Per proseguire fare clic sul tasto Finish

• Nella schermata “Create Image” compare la voce relativa alla destinazione creata.
  Verificare che siano segnate le voci “Verify images after they are created” e “Create directory listings of all files in the image after they are created” e fare clic sul tasto Start per avviare l’acquisizione

• Attendere la creazione dell’immagine e la generazione del Directory Listing

• Il programma calcola gli hash MD5 e SHA1 della sorgente e dell’immagine creata e li confronta. Fare clic sul tasto Close per terminare l’acquisizione

Al termine dell’acquisizione, nella cartella di destinazione sono presenti 3 file:

• File immagine dell'hard disk in formato dd
• File di testo contenente le informazioni di acquisizione
• File in formato CSV contenente il Directory Listing del file system dell'hard disk