Digital ForensicsFabio MassaIII_MMXIII

Analisi forense del peer-to-peer: l’esempio di EMule

04/10/2013
minuto di lettura

di Fabio Massa

[…]

3. Analisi forense del Peer-to-Peer
L’analisi forense di eMule, e di software dedicati alla stessa tipologia di attività su network P2P, può generare numerosi elementi probatori fondamentali ed inequivocabili in sede di giudizio. Nei casi di scambio di materiale illecito, ad es. immagini e video pedopornografici, è fondamentale stabilire quali siano gli eventi e le interazioni poste in essere da parte dell’utente che abbiano condotto alla detenzione e all’eventuale condivisione del materiale illecito.

Alcune tipologie d’investigazione si basano sull’utilizzo da parte della polizia giudiziaria di nodi “civetta”, versioni di eMule anche dette “mods” utilizzate per le attività di copertura e di intercettazione di materiale pedopornografico, nonché di identificazione degli utenti che lo detengono e condividono. L’analisi forense del software eMule può essere di vitale importanza per la definizione della responsabilità giuridica in materia di cybercrime.

4. Analisi forense eMule
Durante la fase d’installazione e configurazione sono innumerevoli le informazioni conservate dal software che permettono alla figura del “forensic examiner” la ricostruzione degli eventi, come ad es. la lista dei download attivi oppure dei download interrotti, le chiavi di ricerca utilizzate e tanto altro. Nel seguente breve elenco sono riassunte le risorse di eMule interessate durante l’analisi forense dell’applicazione.

  • Registry Keys: durante l’installazione vengono aggiunte diverse chiavi di registro nel sistema Windows;
  • Preferences.ini: questo è il file principale di configurazione. Contiene informazioni importanti, quali, versione dell’applicativo, nickname utilizzato, porta aperta per le connessioni TCP, locazione della directory dedicata al download e all’upload, directory utilizzata per memorizzare i file stemporanei (.part e part.met files). Altro aspetto importante è la traccia dei download eseguiti e dei download cancellati, questi ultimi loggati anche nei files di log di eMule denominati cancelled.met e know.met, entrambi residenti nella radice di installazione;

 

…continua su EDICOLeA

 

Articoli pubblicati da Fabio Massa

 

 

Lawful Interception per gli Operatori di Tlc
04/10/2013
minuto di lettura
Mostra di più

Articoli Correlati

Gli algoritmi crittografici del bitcoin

10/10/2017

PROPOSTA DI LEGGE DI RATIFICA ED ESECUZIONE DEL TRATTATO DI NEW YORK SUL COMMERCIO DELLE ARMI

03/10/2013

Mac Osx Forensics Analysis (I parte)

30/05/2015

Il caso San Bernardino: APPLE vs FBI

10/10/2017

Gps Forensics

06/02/2017

Misure da una foto: un approccio tecnico-statistico per formulare stime affidabili

02/05/2016

RELAZIONE ANNUALE AGCOM 2013: IL QUADRO DEI SERVIZI POSTALI NEL MONDO E IN ITALIA

03/10/2013

Malware Forensics

02/05/2016

Image/video forensics: theoretical background, methods and best practices – Part one: Can we trust Images and Videos?

20/01/2019

Anagrafica delle utenze mobili: esigenze di indagine ed obblighi verso l’autorità giudiziaria

04/10/2013
Lawful Interception per gli Operatori di Tlc
Pulsante per tornare all'inizio