ricostruzione forense di ntfs con metadati parzialmente danneggiati
TRANSCRIPT
![Page 1: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/1.jpg)
Ricostruzione forense di NTFS con metadati parzialmente danneggiati
Andrea Lazzarotto — andrealazzarotto.com
![Page 2: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/2.jpg)
![Page 3: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/3.jpg)
![Page 4: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/4.jpg)
![Page 5: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/5.jpg)
Metadati
![Page 6: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/6.jpg)
— Brian Carrier
“There is unfortunately very little published in terms of the procedures used to perform recovery when metadata is missing”
![Page 7: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/7.jpg)
NTFS
Struttura variabileMolto diffuso
![Page 8: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/8.jpg)
Elementi principali
Index recordFile recordBoot sector
![Page 9: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/9.jpg)
Ricostruzione
![Page 10: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/10.jpg)
29 30 31 100 101 102 35 104
![Page 11: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/11.jpg)
Root RootLost
![Page 12: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/12.jpg)
Risultato
File System Structure
5 Root
0 $MFT
1 $MFTMirr
2 $LogFile
3 $Volume
4 $AttrDef
6 $Bitmap
7 $Boot
8 $BadClus
8:$Bad $BadClus:$Bad
9:$SDS $Secure:$SDS
9 $Secure
10 $UpCase
11 $Extend
25 $ObjId
24 $Quota
26 $Reparse
66 bbb.txt64 interesting
65 aaa.txt
−1 LostFiles
67 Dir_67
68 another
![Page 13: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/13.jpg)
Geometria
SPC(sectors per cluster)
CB(cluster base) File system (in cluster)
Disco (in settori)
![Page 14: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/14.jpg)
![Page 15: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/15.jpg)
![Page 16: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/16.jpg)
Pattern
A: INDX al cluster 0
B: INDX al cluster 1
C: INDX al cluster 3
![Page 17: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/17.jpg)
Matching
SPC = 1
Disco
![Page 18: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/18.jpg)
Matching
SPC = 2
Disco
CB
![Page 19: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/19.jpg)
Testdisk — No partition found
![Page 20: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/20.jpg)
Autopsy — Failed to add data source
![Page 21: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/21.jpg)
RecuperaBit — 517 oggetti (239,1 MB)
![Page 22: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/22.jpg)
In futuro...
FAT, EXT,HFS+, ...
CAINEAltri moduliGUI
![Page 23: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/23.jpg)
![Page 24: Ricostruzione forense di NTFS con metadati parzialmente danneggiati](https://reader030.vdocumenti.com/reader030/viewer/2022020301/589dd1521a28abf45d8b62d5/html5/thumbnails/24.jpg)