La Digital Forensics è di sicuro un argomento molto complesso, ed uno degli obbiettivi dell’analisi è sicuramente il Filesystem.

Diversi livelli di analisi possono essere compiute su di esso, vi riporto indicazioni sulla parte dei metadati, appunto Metadata Layer.

Un esempio di questo è lo spazio non allocato lo “slack space”. Il più importante di queste è, la MFT (Master File Table), corrispondente al file $mft, questo contiene un record per ogni file e directory contenuti all’interno del volume e per ognuno di essi una serie di attributi.

L’analisi di questa parte è possibile tramite l’acquisizione dell’immagine del disco, uno strumento utile a ciò è FTK Imager.

Ecco alcuni degli attributi ed una breve descrizione, importanti per l’analisi:

• $DATA, contenuto del file.
• $STANDARD_INFORMATION, contiene I valori MAC (Modified, Accessed, Changed) del file.
• $FILE_NAME, contiene il nome del file, riferimenti alla directory di appartenenza.

Ovviamente un esempio di analisi completa la troviamo nel corso di analisi forense.

Tweet