casi pratici Flashcards
cosa posso utilizzare per capire se ho effettuato una copia?
metadati temporali, consulto sw apposito (registra questo tipo eventi), timeline per gran numero file, registri/log per dispostivi
che informazioni mi forniscono metadati temporali
mac, modifica, creazione ,accesso (a volte altre info)
come funziona accesso?
dipende da sisop, spesso legato a copia / lettura (su win dopo vista no)
come funziona ultima modifica
riporta ultima volta stato modifcato su ogni fs
come funziona data creazione
riporta data creazione su fs locale -> modifica antecedente a creazione possibile; posso risalire alla reale creazione consultando metadato interno (es word)
cosa comporta cf = mf = af
di base potrebbe significare (dipende dal fs) che il file non è mai stato aperto
come utilizzo timeline?
analizzo picchi su alcune info: accesso se voglio verificare che siano stati copiati gran numero file dal sistema, creazione uguale ma sul sistema
dove trovo info sui dispositivo?
guardando log ( per esempio data installazione) o i registri (istallazione e ultimo utilizzo) e cercando di correlare queste info con picchi in timeline
come si chiama il procedimento per carpire info da maiil
OSINT, opern source intelligence, nome metodologia
cosa trovo nell’header della mail?
info su indirizzo ip, data , server attraversati e software usato
che info ricavo da indirizzo ip?
difficilmente fornito, comunque permette di risalire al provider ( e insieme alla data questo potrebbe avere conservato il mac della macchina che lo aveva) , posso digitarlo nel motore ricerca, posso usare shodan (port scan; risposta indica organizzazione), posso usare iplocation( trovare provider e citta)
che info ottengo da software utilizzato?
versioine del sw, utile per capire se è stata falsata la data (rilascio del sw successivo a data indicata)
