Computer Forensics

Nell'ambito della Digital Forensics, molti sono i dati rilevanti che possono essere estratti dal Sistema Operativo di un computer.

Qualsiasi attività svolta dall'utilizzatore di un computer lascia, inevitabilmente, delle "impronte" che possono essere rilevate dall'investigatore digitale e possono essere di grande importanza per l'indagine. Tali impronte vengono in gergo tecnico chiamate "artefatti del sistema operativo". Attraverso la conoscenza approfondita dei sistemi operativi è possibile estrarre tali artefatti, attraverso strumentazioni software che analizzano il registro di sistema, i file di log, il registro degli eventi, ecc.


È possibile, ad esempio, ottenere le seguenti informazioni:

•Log di accensione e spegnimento del PC;

•Jump list del S.O. e dei software applicativi (lista dei file di recente accesso);

•Lista dei dispositivi collegati al PC in precedenza, inclusi data e seriali identificativi;

•Password di risorse di rete, password web e di posta salvate nei browser o nei client;

•Lista delle reti WiFi memorizzate e loro password;

•Estrazione della cronologia web, cookie, cache e file temporanei;

•Estrazione di conversazioni;

•Estrazione di frammenti di file e processi, analizzando i file di ibernazione;

•Estrazione di file cancellati tramite l'analisi delle copie shadow;

•Estrazione di file cancellati tramite il file carving;

•Estrazione di macchine virtuali e spazi criptati.