Copia forense computer

Copie forensi di computer e dispositivi

La copia forense di un computer (sia esso dotato di sistema operativo Windows che Apple) è un’attività in cui il contenuto dell’unità di memorizzazione del computer (HDD meccanico, SSD o altra tecnologia) viene duplicato e cristallizzato nel momento in cui è sottoposto a tale operazione. La copia forense del computer permette non solo di certificare i dati presenti, ma anche di estrarre informazioni memorizzate all’interno del dispositivo e non visibili all’utente, nonché il recupero dei dati cancellati. 

La copia forense è altresì il punto di partenza per qualsiasi altra analisi le cui risultanze debbano sfociare in una perizia che abbia validità legale all’interno di un Procedimento Giudiziario. La copia forense, infatti, permette di effettuare analisi e produrre documentazione incontestabile, in quanto i dati vengono acquisiti in modalità forense e cristallizzati.

Necessiti di una copia forense?

Chiamaci subito
Oppure contattaci online

Tipologia di copia forense

La copia forense di un computer (rispetto a quella di uno smartphone), avviene quasi esclusivamente in “Modalità fisica”: questa tipologia di acquisizione è la più completa possibile a livello tecnico e permette di effettuare non solo analisi approfondite, ma anche di recuperare eventuali dati ed informazioni cancellate nel tempo oppure nascoste all’interno di cartelle di sistema difficilmente esplorabili e consultabili mediante la semplice navigazione tra le directory.
La modalità fisica, in ogni caso, non è l’unica soluzione possibile, in quanto, a quest’ultima, se ne può aggiungere un’ulteriore, adottata in specifici contesti: la modalità “logica”.

Nell'immagine vengono mostrati i dati acquisiti in base alla tipologia di copia forense attuata. Salvo impedimenti particolari, si procede sempre all'acquisizione di una copia fisica, per poi procedere all'estrazione delle informazioni necessarie.

Questa modalità di acquisizione, permette di effettuare la copia esclusivamente dei file o delle cartelle di interesse, ove non sia possibile procedere con una copia fisica. 
Vi sono dei contesti in cui la copia integrale del supporto di memoria non è possibile per molteplici ragioni (pensiamo, ad esempio, al caso in cui lo stesso computer sia condiviso da più dipendenti): per sopperire a ciò, si procede quindi ad una copia relativamente ai dati di interessi, che saranno poi successivamente analizzati mediante specifici software forensi.

Cerchi una perizia informatica forense?

Se necessiti di una perizia informatica forense, contattaci telefonicamente o mediante il modulo online. Operiamo in tutta Italia.

Chiamaci subito
Oppure contattaci online

Acquisizione da computer acceso o spento?

La copia forense di un computer può avvenire da acceso oppure da spento. Nel primo caso, si parla di “acquisizione live” e può essere eseguita mediante appositi software in grado di effettuare la cristallizzazione dei dati contenuti nel supporto di memoria, per poi calcolarne il valore di hash
Il vantaggio di poter effettuare un’acquisizione di tipo “live” è data dalla possibilità di acquisire, oltre ai dati memorizzati nell’hard disk, anche le informazioni presenti nella RAM, all’interno della quale vengono spesso rinvenute password memorizzate in chiaro, chiavi di decriptazione e molto altro.

Le acquisizioni da computer spento, invece, possono avvenire sia mediante l’utilizzo di sistemi operativi forensi (come, ad esempio, l’utilizzo di una Distro Linux appositamente sviluppata per acquisizioni ed indagini informatiche), i quali vengono eseguiti all’interno del computer da acquisire senza alterare l’hard disk, sia mediante strumentazione esterna (i c.d. “acquisitori forensi).
La scelta di utilizzare una sistema operativo ad hoc o un duplicatore forense dipende generalmente dal contesto: ove possibile, si procede mediante distribuzioni Linux, mentre, se è necessario procedere su più supporti, velocizzando le operazioni, è possibile optare per un duplicatore forense.

Write Blocker hardware durante l'utilizzo

Write Blocker

Sia che si utilizzi un sistema operativo forense, sia che si opti per un duplicatore, nel momento in cui si procede alla copia forense del computer (o di un qualsiasi supporto di memoria), è importante che vi sia l’utilizzo di un Write-Blocker. Questo sistema, che può essere sia software che hardware, ha lo scopo di impedire l’alterazione (anche involontaria) dei dati contenuti all’interno della memoria che si intende acquisire. Così facendo, si potrà preservare il supporto originale, evitando che venga “inquinato” durante le operazioni di copia.

Caricamento di Magnet Axiom, strumento di analisi delle copie forensi di un computer

Copia ed analisi

L’analisi di una copia forense avviene, cronologicamente parlando, in un momento successivo all’acquisizione. L’analisi viene effettuata mediante l’utilizzo di appositi software in grado di procedere alla c.d. “indicizzazione dei dati”, ovvero alla catalogazione delle informazioni che sono estratte durante la copia forense.
Le informazioni estratte e catalogate sono molteplici, molte delle quali inaccessibili all’utente senza la produzione di una copia forense e relativa analisi a mezzo di software specifici. Tra queste informazioni risultano, a mero titolo d’esempio: dispositivi USB collegati, file eliminati, file copiati, cronologia di navigazione in incognito e molto altro. Spesso la copia forense di un computer e la successiva analisi sono l’unica soluzione non solo per dimostrare eventuali risultanze, ma anche per accedere a specifiche informazioni.