PDA

Visualizza versione completa : Esperti di pc ...come fanno ?


miciotta62
03-11-2009, 10.41.31
negli ultimi casi specie quello di garlasco
si sente spesso parlare delle varie perizie
informatiche e che si riesce a capire ogni
cosa che uno fa sul pc, tipo apertura word
e anche modifiche a un testo, visulizzaz.
immagini e video e di che tipo.

ora vi chiedo ma come fanno. so che c'e il
registro degli eventi ma sia in servizi
che applicazioni , non si vede tutto cio'!

quindi come fanno, c'e un registro particolare
o si usa un programma particolare o insomma
come fanno a capire tutto quello che uno fa sul
pc ?

P8257 WebMaster
03-11-2009, 11.09.34
Ci sono molte metodologia per risalire all'utilizzo di certi tipi di programmi, il registro eventi o il registro di configurazione sono soltanto strumenti che permettono un'analisi superficiale,proprio a livello di prima occhiata.

Non mi occupo di questa branca dell'informatica ma posso dirti che ogni azione che esegui su un computer può essere virtualmetne "rintracciata" se nel computer è installato un dispositivo di memorizzazione di massa (tipo hd. chaivette usb ecc.) su cui ci sia un sistema operativo.

Per eseguire un backtrace di particolari operazioni di solito si procede in modo indiretto, si analizza lo stack e i log che il protocollo tcp/ip regolarmente genera sul client e sui server per capire quali siti l'utente abbia visitato, si gaurdano cookie cache e cartelle temporanee (anche cookie relativi a siti che espongono banner sul sito incriminato possono dare una traccia)
Si esegue una scansione della prefetch di windows per caprie quali eseguibili sono stati lanciati e quali funzioni a basso livello siano state chiamate dalle librerie di sistema (per esempio in che misura viene usato il parser html può indicare che sono state compiute visite su internet), si prendono porzioni della prefetch anche per carpire contenuti del file di swap che il sistema operativo genera per utilizzarlo in sostituzione della memoria fisica, successivamente si può fare uno scan del disco o delle periferiche di memorizzazione per recuperare frammenti di file cancellati (la cancellazione dei file dal sistema è solo logica) poiché nessuno di noi quando cancella un file esegue programmi per la pulitura dei settori del disco che lo contenevano e quindi un file cancellato è virtualmente recuperabile, infine si può analizzare la storia di un file dipendentemente dal file system utilizzato, per esempio ntfs è un file system di tipo "journaling" e quindi tiene traccia in un apposito log di tutti gli step di modifica di un certo file.

Attraverso tutta questa ed altre serie di indagini si riesce, in maniera indiretta, a costruire una mappa piuttosto dettagliata dell'utilizzo di un pc in un certo periodo temporale

TH3WiZ@RD
03-11-2009, 13.45.01
dipede dove vuoi arrivare, ci sono parecchi metodi, che obbiettivo hai?