Definizione del quesito
Individuiamo obiettivi, soggetti, periodo temporale, parole chiave e sorgenti pertinenti.
Esaminiamo dati e dispositivi digitali per ricostruire eventi, individuare gli elementi pertinenti al quesito tecnico e documentare in modo verificabile le conclusioni raggiunte.
L’analisi forense è la fase successiva all’acquisizione. Salvo esigenze specifiche, l’esame viene svolto sulla copia di lavoro e non sul dispositivo originale, così da preservare la sorgente e consentire la verifica delle operazioni.
File, metadati, registri di sistema, database delle applicazioni e altri artefatti vengono elaborati in relazione a un quesito definito. Lo scopo non è raccogliere indiscriminatamente ogni dato disponibile, ma individuare le informazioni pertinenti e interpretarle nel loro contesto tecnico e temporale.
I risultati vengono valutati insieme ai limiti della sorgente, agli effetti del sistema operativo e alle eventuali informazioni mancanti, evitando conclusioni che i dati non consentono di sostenere.
Il piano di lavoro viene definito in base al quesito, alle sorgenti disponibili e al contesto dell’incarico.
Correlazione di date, accessi, modifiche, esecuzioni e altri eventi per ricostruire una sequenza temporale.
Esame di file, cartelle, proprietà, percorsi, partizioni, collegamenti e strutture tecniche della sorgente.
Ricerca di file o frammenti residui, quando non risultano sovrascritti, cifrati o rimossi dal supporto.
Filtri per parole chiave, intervalli temporali, tipologie di file, hash e altri criteri pertinenti all’indagine.
Programmi eseguiti, documenti recenti, account, periferiche e altre tracce di utilizzo registrate dal sistema.
Confronto tra dispositivi, account, comunicazioni, log e copie differenti per verificare coerenze e relazioni.
Una timeline forense riunisce eventi provenienti da sorgenti differenti: file system, log, browser, applicazioni, dispositivi esterni e altri artefatti. L’ordinamento cronologico aiuta a verificare quando una determinata attività può essere avvenuta e quali elementi risultano collegati.
I timestamp non vengono interpretati isolatamente. Fuso orario, sincronizzazione dell’orologio, aggiornamenti, copie di file e comportamento delle applicazioni possono modificare o duplicare le informazioni temporali. Per questo gli eventi vengono confrontati con più fonti e con il contesto disponibile.
Una data non equivale automaticamente a un’azione dell’utente. Origine e significato del timestamp devono essere verificati prima di attribuirgli valore interpretativo.
PC, notebook, HDD, SSD, memorie USB, schede e immagini forensi.
Database delle app, comunicazioni, media, log e metadati acquisibili.
Messaggi, intestazioni, allegati, archivi locali e dati di contesto disponibili.
Registri, archivi, configurazioni e dati provenienti da infrastrutture pertinenti.
Individuiamo obiettivi, soggetti, periodo temporale, parole chiave e sorgenti pertinenti.
Controlliamo identificativi, valori hash, formati e disponibilità dei dati acquisiti.
Prepariamo gli artefatti per ricerche, filtri e analisi ripetibili, registrando gli strumenti impiegati.
Verifichiamo gli elementi rilevanti, confrontiamo più sorgenti e controlliamo ipotesi alternative.
Organizziamo evidenze, riferimenti, limiti e conclusioni nella forma concordata per l’incarico.
Un singolo artefatto raramente descrive da solo l’intera vicenda. L’analisi può confrontare una stessa informazione tra computer, smartphone, account, email, registri e supporti differenti, verificando compatibilità temporali e tecniche.
La correlazione non deve confondere associazione e attribuzione: la presenza di un file, di un account o di un dispositivo non dimostra automaticamente chi abbia compiuto una determinata azione. Le conclusioni vengono formulate in proporzione alla qualità e alla completezza degli elementi disponibili.
La forma della consegna viene concordata in base all’utilizzo previsto.
Metodo, sorgenti, strumenti, risultati, riferimenti agli artefatti e limiti dell’analisi.
Sequenze di eventi, elenchi filtrati e contenuti pertinenti in formati consultabili.
Percorsi, hash, identificativi e riferimenti che consentono di controllare quanto riportato.
Il recupero non è garantito: sovrascrittura, cifratura, TRIM e stato del supporto possono rendere i dati parziali o non più disponibili.
File, volumi e applicazioni protetti possono impedire o limitare l’accesso alle informazioni.
La presenza di un artefatto non identifica automaticamente la persona che ha utilizzato il sistema.
L’assenza di un dato non dimostra necessariamente che un evento non sia avvenuto: la sorgente può non averlo registrato o conservarlo.
Normalmente sì, perché consente di analizzare una sorgente preservata e verificabile. In situazioni particolari il piano operativo può includere esami live o dati già acquisiti da terzi.
No. Il recupero mira a rendere nuovamente accessibili dati persi; l’analisi forense interpreta artefatti digitali in relazione a uno specifico quesito.
Sì, quando formato e stato dei dati lo consentono. I criteri di ricerca vengono definiti e documentati prima o durante l’analisi.
Dipende da volume dei dati, numero di sorgenti, complessità del quesito, cifratura e quantità di artefatti da verificare.
Indicaci dispositivi o copie disponibili, contesto, periodo di interesse, obiettivo dell’analisi e scadenze. Ti aiuteremo a definire un perimetro proporzionato al caso.