www.MegaLab.it

NTFS è un robusto e flessibile filesystem (ovvero l'intero sistema di organizzazione di dati all'interno della partizione).

NTFS basa questo meccanismo sulla MFT (Master File Table), una tabella nella quale sono memorizzati i metadati, gli attributi dei file e quindi le loro posizioni fisiche all'interno del disco.

Un record della MFT è sostanzialmente diviso in due parti: la prima contiene i metadati del file, la seconda gli attributi dello stesso e la sua posizioni fisica nei cluster della partizione.

Volendo semplificare al massimo, per cluster si intendono i vari spazi di memorizzazione all'interno del disco.

Dunque avevamo appena terminato di creare un nuovo caso di investigazione: ora nella home corrispondente al nostro caso, clicchiamo sul pulsante Analyze...

Nella pagina in cui ci troveremo potremo quindi scegliere che tipo di analisi intraprendere.

File Browsing Mode

Cliccando sul pulsante File Analyze ci accingeremo ad usare il modo File Browsing, ossia una modalità che ci consente la completa esplorazione dei file, dei suoi attributi e dei rispettivi metadati all'interno della partizione. Comprendiamo meglio la situazione con questa immagine:

Dunque possiamo navigare tranquillamente nel filesystem della nostra partizione in analisi. A colpo d'occhio possiamo vedere la varie date di creazione, modifica e accesso.

Se clicchiamo sul nome di un file, in basso comparirà il suo contenuto, visualizzabile ed esportabile sia in ASCII che in HEX (questo sarà utile dopo).

Ma poniamo l'attenzione all'ultima colonna, quella dei metadati. Per ogni record è presente un link: cliccandolo saremo condotti nella locazione fisica dove risiedono i metadati del file in questione:

In questa pagina vediamo tutte le voci tipiche dei metadati. La prima (Pointed by file) indica che il file in questione è explorer.exe, più in basso è indicato il tipo di file e i vari metadati.

Se scorriamo ancora verso il basso possiamo identificare gli attributi che ci indicano dove sono posizionati fisicamente i dati del file (cluster):

Cliccando su tale link, visualizzeremo ancora una volta il contenuto del file con la possibilità di salvarlo semplicemente cliccando su Export.

Recupero dei file cancellati

Torniamo al menu principale della modalità File Browsing (dove c'era la tabella dei file) e noteremo che sulla sinistra è presente il pulsante All deleted files. Cliccandoci, verranno automaticamente listati tutti i file eliminati. Si può tentare di ripristinarli semplicemente facendo click su di essi e, una volta mostrato il relativo contenuto, concludendo con Export.

Ricerca keyword

Cliccando nel pulsante Keyword Searh ci si presenta un'altra metodologia di analisi, basata su una stringa che digiteremo, la quale verrà cercata in tutto il filesystem.

Questa tecnica è molto comoda ma la ricerca richiede, comprensibilmente, parecchio tempo.

Quando terminata verrà mostrato il riepilogo dei risultati per la ricerca sia come ASCII sia come Unicode:

(La parola chiave cercata nell'esempio è Internet).

In questo caso veniamo informati della grande quantità di risultati trovati e che essi sono visibili nel file /var/lib/autopsy/nome/host1/output/immagine.dd-0-0-0.srch (risultati ASCII) e in /var/lib/autopsy/nome/host1/output/immagine.dd-0-0-1.srch (risultati Unicode).

Apriamo un file indicato e vedremo l'elenco dei risultati, ossia tutti i cluster in cui è situata la parola chiave cercata:

Ricerca manuale all'interno del filesystem

Anche se all'atto pratico non risulta il metodo più pratico, è possibile visitare uno ad uno i cluster dell'intera partizione.

Per farlo, è presente l'apposito pulsante Data Unit, cliccando il quale ci verrà chiesto di inserire l'indirizzo del cluster su cui vogliamo dirigerci.

Discorso analogo per esplorare la MFT: la sezione in questione è Meta Data, dove è possibile far visita ai vari record della MFT. Se clicchiamo su Allocation List, possiamo scorrerli perfino uno ad uno.