Sei sulla pagina 1di 7

20/2/2016 Printing 

Acquisizione di un hard disk con FTK Imager

15/05/2009

Access Data FTK Imager è un software gratuito per l'acquisizione di dispositivi digitali (hard
disk, memory card, navigatori satellitari, ecc.) in ambiente Windows.

Il tutorial si riferisce all'acquisizione di un hard disk (IDE o S­ATA), collegato al computer
forense tramite interfaccia USB.
PROTEZIONE DALLA SCRITTURA

In un sistema operativo Windows, non essendo possibile montare i dispositivi in sola lettura,
è necessario garantirne la protezione attraverso un write blocker hardware o software.

Se si desidera una protezione hardware, la scelta più opportuna è quella di un write blocker
con interfaccia USB sia verso il dispositivo che verso la macchina di acquisizione (es.
Tableau T8 Forensic USB Bridge). In questo caso è sufficiente dotarsi di un adattatore cui
collegare l'hard disk che converta l'interfaccia IDE o S­ATA in USB (es. Adattatore Lindy da
USB a SATA & IDE) e connettere quest ultimo al write blocker.

  

Se si desidera una pretazione software è necessario attivare un blocco sulle porte USB a
livello di sistema operativo, prima di collegare l'hard disk alla macchina di acquisizione
tramite l'adattatore.

Su Internet sono disponibili diverse soluzioni freeware per il blocco delle porte USB in
ambiente Windows. Una soluzione semplice e funzionale è M2CFG Usb Write Blocker, che
consente di attivare un blocco sulle porte USB della macchina di acquisizione. È importante
notare che questa operazione funziona solamente in ambiente operativo Microsoft
Windows XP SP2 o superiore. Inoltre è necessario attivare la protezione PRIMA di
connettere l'hard disk da acquisire tramite l'apposito adattatore.

http://www.digital­forensics.it/index.php?mact=Printing,cntnt01,output,0&cntnt01url=aHR0cDovL3d3dy5kaWdpdGFsLWZvcmVuc2ljcy5pdC9hY3F1aXNpe… 1/7
20/2/2016 Printing Acquisizione di un hard disk con FTK Imager

 FTK IMAGER

FTK Imager è un programma di acquisizione dati che può essere utilizzato per fornire una
rapida anteprima del contenuto di un hard disk e, se necessario, crearne un'immagine
forense.

Per garantire l'integrità della copia questo software realizza una duplicazione bit­per­bit del
dispositivo. L'immagine è in questo modo identica all'originale, incluso lo spazio non allocato
e lo slack space.

Durante la fase di copia forense il programma verifica che l'hash dell'immagine realizzata e
quello dell'hard disk coincidano. Sono disponibili due funzioni di hash: Message Digest 5
(MD5) e Secure Hash Algorithm (SHA­1).

FTK Imager supporta i file system FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, HFS, HFS+ e
Reiser.

Con FTK Imager è quindi possibile:

Visualizzare un’anteprima della struttura logica (partizioni, cartelle e file) dell'hard disk
Creare un’immagine forense dell'hard disk
Visualizzare un’anteprima del contenuto di un’immagine forense, precedentemente
acquisita
Esportare file e cartelle da un’immagine forense
Calcolare l’hash (MD5 e SHA1) dell’immagine forense e di ogni singolo file incluso
nell’immagine stessa
ACQUISIZIONE

Di seguito si riportano i passi operativi consigliati per l'acquisizione di un hard disk IDE o SATA in ambiente
Windows.

Per portare a termine l'acquisizione sono necessari:

Hard disk da acquisire, con interfaccia IDE o SATA
Hard disk esterno con interfaccia USB 2.0 su cui salvare l'immagine
Personal computer con sistema operativo Microsoft Windows XP SP2 o superiore, dotato di almeno 2
porte USB 2.0
Software M2CFG Usb Write Blocker (freeware)
Software FTK Imager 2.60 o superiore (freeware)
Adattatore da IDE/SATA a USB 

PASSI OPERATIVI

Avviare il programma M2CFG Usb Write Blocker

Selezionare la voce "USB Write Protection (for all USB devices) is ON" e fare clic su OK

Collegare l'adattatore ad una fonte di alimentazione sicura (possibilmente sotto gruppo di continuità)

Collegare il cavo dati dell'hard disk all'adattatore

Collegare il cavo di alimentazione dell'hard disk all'adattatore

Collegare l'adattatore su una porta USB del computer

Collegare il disco di destinazione su una porta USB del computer

http://www.digital­forensics.it/index.php?mact=Printing,cntnt01,output,0&cntnt01url=aHR0cDovL3d3dy5kaWdpdGFsLWZvcmVuc2ljcy5pdC9hY3F1aXNpe… 2/7
20/2/2016 Printing Acquisizione di un hard disk con FTK Imager

Avviare il programma FTK Imager

Selezionare la voce "Create Disk Image" nel menu File

Nella schermata “Select Source”, selezionare la voce “Physical Drive” e fare clic su Avanti

Nella schermata “Select Drive”, selezionare nel menu a tendina la voce corrispondente all'hard disk da acquisire
e fare clic sul tasto Finish

http://www.digital­forensics.it/index.php?mact=Printing,cntnt01,output,0&cntnt01url=aHR0cDovL3d3dy5kaWdpdGFsLWZvcmVuc2ljcy5pdC9hY3F1aXNpe… 3/7
20/2/2016 Printing Acquisizione di un hard disk con FTK Imager

Nella schermata “Create Image”, fare clic su Add per selezionare la destinazione desiderata per l’immagine
dell'hard disk

Nella schermata “Select Image Type”, selezionare il formato per la copia forense. FTK Imager può creare
immagini in format dd, Smart oppure Encase. Selezionare il formato desiderato e fare clic su Avanti

http://www.digital­forensics.it/index.php?mact=Printing,cntnt01,output,0&cntnt01url=aHR0cDovL3d3dy5kaWdpdGFsLWZvcmVuc2ljcy5pdC9hY3F1aXNpe… 4/7
20/2/2016 Printing Acquisizione di un hard disk con FTK Imager

Nella schermata “Evidence Item Information”,  inserire i dettagli relativi all'hard diskche si sta
acquisendo

Nella schermata “Select Image Destination”, selezionare il percorso di salvataggio ed il nome dell’immagine. Se
si desidera suddividere l’immagine in più file separati specificare la dimensione di ognuno. Per proseguire fare
clic sul tasto Finish

http://www.digital­forensics.it/index.php?mact=Printing,cntnt01,output,0&cntnt01url=aHR0cDovL3d3dy5kaWdpdGFsLWZvcmVuc2ljcy5pdC9hY3F1aXNpe… 5/7
20/2/2016 Printing Acquisizione di un hard disk con FTK Imager

Nella schermata “Create Image” compare la voce relativa alla destinazione creata.
Verificare che siano segnate le voci “Verify images after they are created” e “Create directory listings
of all files in the image after they are created” e fare clic sul tasto Start per avviare l’acquisizione

Attendere la creazione dell’immagine e la generazione del Directory Listing

http://www.digital­forensics.it/index.php?mact=Printing,cntnt01,output,0&cntnt01url=aHR0cDovL3d3dy5kaWdpdGFsLWZvcmVuc2ljcy5pdC9hY3F1aXNpe… 6/7
20/2/2016 Printing Acquisizione di un hard disk con FTK Imager

Il programma calcola gli hash MD5 e SHA1 della sorgente e dell’immagine creata e li
confronta. Fare clic sul tasto Close per terminare l’acquisizione

Al termine dell’acquisizione, nella cartella di destinazione sono presenti 3 file:

File immagine dell'hard disk in formato dd
File di testo contenente le informazioni di acquisizione
File in formato CSV contenente il Directory Listing del file system dell'hard disk

http://www.digital­forensics.it/index.php?mact=Printing,cntnt01,output,0&cntnt01url=aHR0cDovL3d3dy5kaWdpdGFsLWZvcmVuc2ljcy5pdC9hY3F1aXNpe… 7/7