PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page


  Topic AttiviTopic Attivi  Visualizza lista dei Membri del ForumLista Membri  CalendarioCalendario  Ricerca nel ForumCerca  AiutoAiuto    RegistratiRegistrati  LoginLogin

Discutiamo di tutto

 PcPrimiPassi.it FORUMDISCUSSIONI SENZA TEMA (OFF-TOPIC)Discutiamo di tutto


Icona di Messaggio

Topic: Esperti di pc...come fanno? (indagini)




miciotta
Principiante Principiante
miciotta
Principiante Principiante
miciotta
Principiante
Principiante

Avatar generico


Iscritto dal : 19/Dicembre/2008
Status: Offline
Posts: 146
Riporta il testo di: miciotta Rispondibullet Topic: Post n° 91.809 - Postato: 03/Novembre/2009 alle 10:59


si sente spesso parlare delle varie perizie

informatiche e che si riesce a capire ogni

cosa che uno fa sul pc, tipo apertura word

e anche modifiche a un testo, visulizzaz.

immagini e video e di che tipo.

ora vi chiedo ma come fanno. so che c'e il

registro degli eventi ma sia in servizi

che applicazioni , non si vede tutto cio'!

quindi come fanno, c'e un registro particolare

o si usa un programma particolare o insomma

come fanno a capire tutto quello che uno fa sul

pc ?



ilchiuri
Moderatore Moderatore
ilchiuri
Moderatore Moderatore
ilchiuri
Moderatore
Moderatore

Avatar


Iscritto dal : 13/Maggio/2005
Da: Italy
Status: Offline
Posts: 5.151
Riporta il testo di: ilchiuri Rispondibullet Topic: Post n° 91.810 - Postato: 03/Novembre/2009 alle 14:07


Hai fatto una domanda molto interessante! Io ti dico quello che so, ma non prenderlo come oro colato perchè le effettive procedure le sanno solo gli addetti ai lavori.

Pensiamo alle esigenze della polizia: vogliono sapere quando il pc è stato acceso, cosa ha fatto l'interessato in quel periodo. Conta che non esiste nessun registro che, nè in windows nè tantomeno in linux o mac, registri tutto ciò che facciamo. Ci sono dei software che lo fanno e si chiamano keylogger ma devono essere installati di proposito.
Ora chiediamoci come fanno i poliziotti a capire cosa ha fatto l'indagato senza avere un registro?
Ci possono essere molti modi. Innanzi tutto hanno la priorità di vedere tutto ciò che si ricorda l'hard disk quindi usano software che vanno a scavare nei cluster per trovare file o parti di file eventualmente cancellati (esistono anche software free ovviamente meno efficaci che lo fanno come Recuva della piriform).
Una volta che hanno preso tutti i file non fanno altro che metterli in ordine di data creazione e poi data ultima modifica...e creare una specie di cronologia...se tu prendessi tutti i file del tuo computer e li mettessi in un unica cartella in ordine di data scopriresti molte cose, poi se non si è propriamente esperti e quindi non si cancellano i temporanei e i file .pf anche gente come noi potrebbe scoprire vita, morte e miracoli di una persona.

Ovviamente queste elaborazioni (come il recupero dei files) sono molto lunghe e anche i cotrolli che vengono effettuati sono lunghissimi. Pensa al delitto garlasco(mi sembra) hanno trovato un file nel computer che dava l'alibi al principale indiziato dopo che sono passati mesi e mesi dal fatto...

Un altro controllo che si può fare...anche questo non corto...è quello di chiedere al provider internet tutti gli spostamenti dell'ip del soggetto. Anche questa non è una ricerca facile in mezzo ai milioni di ip disponibili, poi se è veramente un criminale potrebbe aver usato dei proxy quindi bisognerebbe interpellare anche i proprietari del server che danno il servizio proxy...

Tutto questo per fare una cronostoria, se non ci sono files e il registro eventi non segna nulla si dà per scontato che il pc sia spento anche se in realtà potrebbe non essere vero...

Tutto quello che so te lo detto...non mi sembra di aver dimenticato nulla spero di aver in parte saziato la tua curiosità anche se come ti dicevo non ne so moltissimo...



Vieni a visitare il mio sito web




prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 91.824 - Postato: 03/Novembre/2009 alle 20:14


Quoto ilchiuri.. il nostro sistema operativo e i programmi utilizzati di volta in volta
lasciano tracce del loro funzionamento.. e dall'analisi di queste tracce (sia dalla
presenza che entrando nel merito delle singole tracce...) si riesce a costruire
un insieme di prove che poi finiscono per delineare un quadro dentro il quale
l'indagato si pensa si sia mosso (dico "si pensa" perchè poi ci si potrebbe trovar
davanti a veri e propri depistaggi)
La disciplina si chiama Computer Forensics.. (oggi si iniziano a trovare libri a riguardo
tradotti anche in italiano...) e si occupa sia della fase investigativa.. raccogliendo
informazioni riguardo determinati fatti... e sia nell'accertamento razionale dei fatti
al fine di determinare prove pro e contro le parti...
Ci sono anche delle associazioni che si occupano di formare gli "addetti ai lavori"...
una di queste è l'IISFA (ma siamo agli albori.. e diciamo che l'ambiente "facilone"
italiano.. spesso mette in difficoltà le crescenti necessità di professionalità in questo
campo, divenuto ormai fondamentale sotto tutti i punti di vista)
Volevo aggiungere a ciò che diceva ilchiuri... che gli accertamenti non avvengono
solo sul profilo logico delle informazioni... ma anche dal punto di vista fisico...
ad esempio, di un'informazione base... quindi un bit... si ha a disposizione il suo
valore logico e la sua rappresentazione fisica... Il logico è 0 o 1.. quella fisica
ci viene da come è immagazzinata sul supporto... e dall'analisi di questo si possono
avere altre info... (è stato variato il suo stato... e quindi il suo volore logico?)
La stessa disciplina va oltre il mondo dei pc... basti pensare che oggi ogni apparecchiatura
elettronica tende ad immagazzinare info... Inoltre le stesse telecomunicazioni
oggi sono in digitale.. quindi fiumi di 0 e 1 che passano, si immagazzinano e finiscono
da qualche parte... ed in questi passaggi rimangono tracce (o comunque son
soggetti ad intercettazioni...)
Come vedi l'argomento è interessante per quanto vasto
Ciao

PS: anche i files di paginazione e di ibernazione forniscono molte informazioni...
quindi, in caso di indagini, sono più che fondamentali

PS: Informatica forense


Modificato da prgn - 03/Novembre/2009 alle 21:14



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...





Rispondi con Editor completo Nuova Discussione

Versione stampabile Versione stampabile


TI E' PIACIUTO QUESTO CONTENUTO ?
Suggerisci questa pagina
Suggerisci questa pagina
Supporta il nostro lavoro
Supporta il nostro lavoro
<b>Non perderti nessuno dei nostri contenuti!</b><br><br>Iscriviti alle Newsletters di aggiornamento periodico.
Iscriviti ora alla newsletter!


Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,055 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni