RadioGraPhy és una eina per a l'anàlisi forense de sistemes Windows, pensada per extreure el màxim d'informació disponible:
- Claus de registre relacionades amb el procés d'arrencada de l'equip i d'inici de sessió
- Claus de registre amb la configuració de l'Internet Explorer
- Comptes d'usuari i les seves propietats
- Fitxers d'inici
- Serveis del sistema
- Contingut del fitxer hosts
- Controladors de dispositius carregats
- Unitats de disc compartides
- Finestres ocultes
- Processos de sistema en execució
- Informació de xarxa (connexions obertes, ports que escolten…).
Funciona amb una interfície gràfica:
Interfície gràfica de RadioGraPhy
i també des de la línia d'ordres.
L'article «Acquisition and Analysis of Volatile Memory from Android Devices» explica una tècnica, aplicable al sistema Android però també, per extensió a Linux, per a la recuperació del contingut de la memòria RAM.
Seguint amb els articles que aquests darrers dies tracten sobre les possibilitats de recuperar informació a les unitats SSD, «Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery?»
Here we show that it is imprudent and potentially reckless to rely on existing evidence collection processes and procedures, and we demonstrate that conventional assumptions about the behaviour of storage media are no longer valid. In particular, we demonstrate that modern storage devices can operate under their own volition in the absence of computer instructions. Such operations are highly destructive of traditionally recoverable data. This can contaminate evidence; can obfuscate and make validation of digital evidence reports difficult; can complicate the process of live and dead analysis recovery; and can complicate and frustrate the post recovery forensic analysis.
Our experimental findings demonstrate tat solid-state drives (SSDs) have the capacity to destroy evidence catastrophically under their own volition, in the absence of specific instructions to do so from a computer.
Això va una mica en contradicció amb l'estudi que vaig citar ara fa uns dies… diuen que les unitats SSD plantegen un problema alhora de realitzar una anàlisi forense donada les funcionalitats que inclouen moltes unitats de reorganitzar internament la informació:
As a result, most SSDs have firmware that automatically carries out “self healing” or “garbage collection” procedures that can permanently erase or alter files that have been marked for deletion. The process often begins as soon as three minutes after the drive is powered on and happens with no warning. The user need not initiate any commands, and the drive emits no lights or makes any sounds to indicate the purging is taking place.
Oxygen Forensic Suite 2010 és una aplicació, comercial –el preu oscil·la pels 1000 dòlars– per a la realització d'anàlisis forenses de telèfons mòbils. Segons s'indica, permet l'extracció de totes les dades emmagatzemades a la memòria del dispositiu, inclosa la targeta SIM. Entre les dades que identifica hi ha:
- Relació de trucades (rebudes, realitzades i perdudes)
- Comptadors d'utilització de GPRS
- Esdeveniments del calendari
- Missatges curts
- Missatges multimèdia MMS
- Contingut multimèdia (fotos, vídeos, melodies)
- Enregistraments de veu
- Missatges esborrats –sempre que no s'hagin sobreescrit
L'eina funciona preservant l'evidència original, la qual cosa permet la utilització de les dades obtingudes com a prova judicial.
Dóna suport a més de 500 tipus de telèfon mòbil, inclosos els BlackBerry, Nokia, Motorola, Sony Ericsson, Samsung, dispositius basats en Windows Mobile, Android i iPhone.
Malgrat ser una aplicació comercial, durant aquest mes de febrer es pot demanar una llicència gratuïta d'ús, amb un any d'actualitzacions, de l'edició estàndard.
