Digital ForensicsFabio MassaIII_MMXIII

Analisi forense del peer-to-peer: l’esempio di EMule

di Fabio Massa

[…]

3. Analisi forense del Peer-to-Peer
L’analisi forense di eMule, e di software dedicati alla stessa tipologia di attività su network P2P, può generare numerosi elementi probatori fondamentali ed inequivocabili in sede di giudizio. Nei casi di scambio di materiale illecito, ad es. immagini e video pedopornografici, è fondamentale stabilire quali siano gli eventi e le interazioni poste in essere da parte dell’utente che abbiano condotto alla detenzione e all’eventuale condivisione del materiale illecito.

Alcune tipologie d’investigazione si basano sull’utilizzo da parte della polizia giudiziaria di nodi “civetta”, versioni di eMule anche dette “mods” utilizzate per le attività di copertura e di intercettazione di materiale pedopornografico, nonché di identificazione degli utenti che lo detengono e condividono. L’analisi forense del software eMule può essere di vitale importanza per la definizione della responsabilità giuridica in materia di cybercrime.

4. Analisi forense eMule
Durante la fase d’installazione e configurazione sono innumerevoli le informazioni conservate dal software che permettono alla figura del “forensic examiner” la ricostruzione degli eventi, come ad es. la lista dei download attivi oppure dei download interrotti, le chiavi di ricerca utilizzate e tanto altro. Nel seguente breve elenco sono riassunte le risorse di eMule interessate durante l’analisi forense dell’applicazione.

  • Registry Keys: durante l’installazione vengono aggiunte diverse chiavi di registro nel sistema Windows;
  • Preferences.ini: questo è il file principale di configurazione. Contiene informazioni importanti, quali, versione dell’applicativo, nickname utilizzato, porta aperta per le connessioni TCP, locazione della directory dedicata al download e all’upload, directory utilizzata per memorizzare i file stemporanei (.part e part.met files). Altro aspetto importante è la traccia dei download eseguiti e dei download cancellati, questi ultimi loggati anche nei files di log di eMule denominati cancelled.met e know.met, entrambi residenti nella radice di installazione;

 

…continua su EDICOLeA

 


Articoli pubblicati da Fabio Massa

 

 

Lawful Interception per gli Operatori di Tlc
Mostra di più

Articoli Correlati

Pulsante per tornare all'inizio