Data Recovery Heroes.
Recovery Italia® può aiutarVi a risolvere con successo qualsiasi caso di perdita di dati.
preventivo immediatoCome recuperare email cancellate con metodo forense
24/05/2018
BASIC KNOWLEDGE
Vediamo come recuperare email cancellate da Thunderbird con tecniche di ricerca basate su metodo forense.
Il nostro post di oggi ci mostrerà come:
- eseguire la ricerca dell'indirizzo mail da localizzare nel filesystem
- analizzare e verificare le occorrenze
- creare il pattern GREP in esadecimale per l'estrazione dei messaggi di Thunderbird
- analizzare i messaggi estratti per la localizzazione delle evidenze digitali
Abbiamo già provveduto a creare un'immagine forense dell'hard disk contenente il database di posta elettronica che vogliamo analizzare, e la andiamo ad aprire con Challenger Rocket.
Apriamo il filesystem, localizziamo la partizione principale, entriamo nella cartella Utenti, localizziamo il profilo principale utilizzando la data di ultima modifica; entriamo nella cartella AppData che contiene tutti i contenuti email dell'utente.
Eseguire ricerca per parole chiave ed indirizzi
Con lo strumento Cross, all'interno di Rocket, andiamo ad eseguire ricerche mirate, inserendo indirizzi mail che fungeranno da parola chiave all'interno del database.
Localizzeremo così tutti i messaggi di posta contenenti questa keyword (che nello specifico è l'indirizzo mail).
Il sistema andrà ad analizzare ogni singolo cluster di ogni singolo file contenuto nel filesystem, andandolo a confrontare con l'elenco delle parole di ricerca in modalità binaria.
Con la mappa LBA possiamo analizzare la locazione dei cluster chain in modalità visiva.
Ogni singolo file viene confrontato con le keywords inserite
Per l'analisi iniziale andiamo a scegliere il pulsante Stop durante la ricerca, ed estraiamo la cartella inbox di Thunderbird, andandola a salvare in una seconda posizione, così da facilitare la performance di ricerca ed analisi.
Il sistema di ricerca forense è in grado di eseguire ricerche e localizzare contenuti secondo le query inviate, indipendemente dalla presenza visiva (che il contenuto sia presente o cancellato).
Terminato il trasferimento dei settori del file inbox lo andiamo ad aprire in modalità binaria sempre con Rocket, scegliendo Binary file e selezionando il file appena estratto.
A questo punto possiamo inserire nelle query di ricerca, all'interno del database, direttamente gli indirizzi di posta che stavamo cercando, e verificarne la presenza all'interno del db.
La performance di ricerca è legata alla grandezza del file di posta; un file molto grande impiegherà più tempo
I messaggi ricercati in modalità forense sono estremamente validi; tutti i file contengono in maniera intrinseca, come la data di invio ed il talking smtp, e la loro storia, elementi molto utili in ogni analisi forense.
Come abbiamo detto andiamo ad analizzare tanto il contenuto presente quanto il cancellato.
Costruire il pattern di ricerca di tipo carving
Andiamo a costruire il pattern di ricerca di tipo carving personalizzato per il file di Thunderbird.
Sfruttiamo i primi byte del file stesso; questo pattern ci consentirà la localizzazione e l'estrazione di ogni singolo file .eml direttamente dal database. Nel caso specifico abbiamo ricercato un solo tipo di file, dunque una ricerca carving in modalità singola.
Selezioniamo tutte le occorrenze e scegliamo Dump Offset; diamo un'estensione al file (.eml), che potremo aprire con Thunderbird. Premiamo Start per l'estrazione dei singoli file eml (i file con l'estensione .eml possono essere aperti con ogni gestore di posta elettronica). Con l'analisi del file salvato vediamo un'estrazione perfettamente riuscita, con allegati perfettamente funzionanti. Rocket ha trovato e localizzato con precisione matematica i contenuti di Thunderbird.
A questo punto andiamo ad aprire con Rocket l'hard disk con i dati recuperati. Selezioniamo la cartella dove abbiamo salvato il file eml e lanciamo una binary search. La binary search localizzerà tutte le occorrenze di posta elettronica oggetto della ricerca, all'interno di file eml.
Per aumentare la performance di analisi possiamo disabilitare la mappa LBA direttamente dalle Options
Tutti gli elementi eml che stiamo analizzando contengono la stringa inserita nel sistema di ricerca Cross.
Estraiamo i file ancora una volta e li salviamo in una cartella definitiva dove avremo il risultato della nostra analisi forense.
Hai bisogno di aiuto o di maggiori informazioni ?
Contatta il nostro call center o inviaci una richiesta di assistenza a info@recoveryitalia.it. I nostri esperti sono a tua completa disposizione per una consulenza gratuita.
METRO A ANAGNINA