Ricostruzione forense di NTFS con metadati parzialmente danneggiati

5,677 views

Published on

NTFS è uno dei file system più diffusi, essendo usato di default dai sistemi Windows e anche negli hard disk esterni ad alta capacità. Quando accade un danno hardware o software, può verificarsi la corruzione di una o più partizioni le quali diventano illeggibili.
Nel talk sono state discusse alcune tecniche di ricostruzione efficaci anche in presenza di metadati danneggiati. L'attenzione verte in particolare su NTFS e su RecuperaBit, un software creato dal relatore per implementare la ricostruzione forense di NTFS.

Le slide sono relative al talk omonimo presentato a ESC 2016 il 01/09/2016 a Forte Bazzera (VE). Il video è disponibile qui:

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
5,677
On SlideShare
0
From Embeds
0
Number of Embeds
5,482
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ricostruzione forense di NTFS con metadati parzialmente danneggiati

  1. 1. Ricostruzione forense di NTFS con metadati parzialmente danneggiati Andrea Lazzarotto — andrealazzarotto.com
  2. 2. Metadati
  3. 3. — Brian Carrier “There is unfortunately very little published  in terms of the procedures used to perform  recovery when metadata is missing”
  4. 4. NTFS Struttura variabileMolto diffuso
  5. 5. Elementi principali Index recordFile recordBoot sector
  6. 6. Ricostruzione
  7. 7. 29 30 31 100 101 102 35 104
  8. 8. Root RootLost
  9. 9. Risultato File System Structure 5 Root 0 $MFT 1 $MFTMirr 2 $LogFile 3 $Volume 4 $AttrDef 6 $Bitmap 7 $Boot 8 $BadClus 8:$Bad $BadClus:$Bad 9:$SDS $Secure:$SDS 9 $Secure 10 $UpCase 11 $Extend 25 $ObjId 24 $Quota 26 $Reparse 66 bbb.txt 64 interesting 65 aaa.txt −1 LostFiles 67 Dir_67 68 another
  10. 10. Geometria SPC (sectors per cluster) CB (cluster base) File system (in cluster) Disco (in settori)
  11. 11. Pattern A: INDX al cluster 0 B: INDX al cluster 1 C: INDX al cluster 3
  12. 12. Matching SPC = 1 Disco
  13. 13. Matching SPC = 2 Disco CB
  14. 14. Testdisk — No partition found
  15. 15. Autopsy — Failed to add data source
  16. 16. RecuperaBit — 517 oggetti (239,1 MB)
  17. 17. In futuro... FAT, EXT, HFS+, ... CAINEAltri moduliGUI

×