Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ricostruzione forense di NTFS con metadati parzialmente danneggiati

15,587 views

Published on

NTFS è uno dei file system più diffusi, essendo usato di default dai sistemi Windows e anche negli hard disk esterni ad alta capacità. Quando accade un danno hardware o software, può verificarsi la corruzione di una o più partizioni le quali diventano illeggibili.
Nel talk sono state discusse alcune tecniche di ricostruzione efficaci anche in presenza di metadati danneggiati. L'attenzione verte in particolare su NTFS e su RecuperaBit, un software creato dal relatore per implementare la ricostruzione forense di NTFS.

Le slide sono relative al talk omonimo presentato a ESC 2016 il 01/09/2016 a Forte Bazzera (VE). Il video è disponibile qui:

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Ricostruzione forense di NTFS con metadati parzialmente danneggiati

  1. 1. Ricostruzione forense di NTFS con metadati parzialmente danneggiati Andrea Lazzarotto — andrealazzarotto.com
  2. 2. Metadati
  3. 3. — Brian Carrier “There is unfortunately very little published  in terms of the procedures used to perform  recovery when metadata is missing”
  4. 4. NTFS Struttura variabileMolto diffuso
  5. 5. Elementi principali Index recordFile recordBoot sector
  6. 6. Ricostruzione
  7. 7. 29 30 31 100 101 102 35 104
  8. 8. Root RootLost
  9. 9. Risultato File System Structure 5 Root 0 $MFT 1 $MFTMirr 2 $LogFile 3 $Volume 4 $AttrDef 6 $Bitmap 7 $Boot 8 $BadClus 8:$Bad $BadClus:$Bad 9:$SDS $Secure:$SDS 9 $Secure 10 $UpCase 11 $Extend 25 $ObjId 24 $Quota 26 $Reparse 66 bbb.txt 64 interesting 65 aaa.txt −1 LostFiles 67 Dir_67 68 another
  10. 10. Geometria SPC (sectors per cluster) CB (cluster base) File system (in cluster) Disco (in settori)
  11. 11. Pattern A: INDX al cluster 0 B: INDX al cluster 1 C: INDX al cluster 3
  12. 12. Matching SPC = 1 Disco
  13. 13. Matching SPC = 2 Disco CB
  14. 14. Testdisk — No partition found
  15. 15. Autopsy — Failed to add data source
  16. 16. RecuperaBit — 517 oggetti (239,1 MB)
  17. 17. In futuro... FAT, EXT, HFS+, ... CAINEAltri moduliGUI

×