Recovery Italia® può aiutarVi a risolvere con successo qualsiasi caso di perdita di dati.

preventivo immediato

Come recuperare email cancellate con metodo forense

2018-05-24 16:21:34

BASIC KNOWLEDGE

Vediamo come recuperare email cancellate da Thunderbird con tecniche di ricerca basate su metodo forense.

Il nostro post di oggi ci mostrerà come:

eseguire la ricerca dell'indirizzo mail da localizzare nel filesystem
analizzare e verificare le occorrenze
creare il pattern GREP in esadecimale per l'estrazione dei messaggi di Thunderbird
analizzare i messaggi estratti per la localizzazione delle evidenze digitali

Abbiamo già provveduto a creare un'immagine forense dell'hard disk contenente il database di posta elettronica che vogliamo analizzare, e la andiamo ad aprire con Challenger Rocket.
Apriamo il filesystem, localizziamo la partizione principale, entriamo nella cartella Utenti, localizziamo il profilo principale utilizzando la data di ultima modifica; entriamo nella cartella AppData che contiene tutti i contenuti email dell'utente.

Eseguire ricerca per parole chiave ed indirizzi

Con lo strumento Cross, all'interno di Rocket, andiamo ad eseguire ricerche mirate, inserendo indirizzi mail che fungeranno da parola chiave all'interno del database.
Localizzeremo così tutti i messaggi di posta contenenti questa keyword (che nello specifico è l'indirizzo mail).

Il sistema andrà ad analizzare ogni singolo cluster di ogni singolo file contenuto nel filesystem, andandolo a confrontare con l'elenco delle parole di ricerca in modalità binaria.

Con la mappa LBA possiamo analizzare la locazione dei cluster chain in modalità visiva.

Ogni singolo file viene confrontato con le keywords inserite

Per l'analisi iniziale andiamo a scegliere il pulsante Stop durante la ricerca, ed estraiamo la cartella inbox di Thunderbird, andandola a salvare in una seconda posizione, così da facilitare la performance di ricerca ed analisi.

Il sistema di ricerca forense è in grado di eseguire ricerche e localizzare contenuti secondo le query inviate, indipendemente dalla presenza visiva (che il contenuto sia presente o cancellato).

Terminato il trasferimento dei settori del file inbox lo andiamo ad aprire in modalità binaria sempre con Rocket, scegliendo Binary file e selezionando il file appena estratto.
A questo punto possiamo inserire nelle query di ricerca, all'interno del database, direttamente gli indirizzi di posta che stavamo cercando, e verificarne la presenza all'interno del db.

La performance di ricerca è legata alla grandezza del file di posta; un file molto grande impiegherà più tempo

I messaggi ricercati in modalità forense sono estremamente validi; tutti i file contengono in maniera intrinseca, come la data di invio ed il talking smtp, e la loro storia, elementi molto utili in ogni analisi forense.

Come abbiamo detto andiamo ad analizzare tanto il contenuto presente quanto il cancellato.

Costruire il pattern di ricerca di tipo carving

Andiamo a costruire il pattern di ricerca di tipo carving personalizzato per il file di Thunderbird.

Sfruttiamo i primi byte del file stesso; questo pattern ci consentirà la localizzazione e l'estrazione di ogni singolo file .eml direttamente dal database. Nel caso specifico abbiamo ricercato un solo tipo di file, dunque una ricerca carving in modalità singola.

Selezioniamo tutte le occorrenze e scegliamo Dump Offset; diamo un'estensione al file (.eml), che potremo aprire con Thunderbird. Premiamo Start per l'estrazione dei singoli file eml (i file con l'estensione .eml possono essere aperti con ogni gestore di posta elettronica). Con l'analisi del file salvato vediamo un'estrazione perfettamente riuscita, con allegati perfettamente funzionanti. Rocket ha trovato e localizzato con precisione matematica i contenuti di Thunderbird.

A questo punto andiamo ad aprire con Rocket l'hard disk con i dati recuperati. Selezioniamo la cartella dove abbiamo salvato il file eml e lanciamo una binary search. La binary search localizzerà tutte le occorrenze di posta elettronica oggetto della ricerca, all'interno di file eml.

Per aumentare la performance di analisi possiamo disabilitare la mappa LBA direttamente dalle Options

Tutti gli elementi eml che stiamo analizzando contengono la stringa inserita nel sistema di ricerca Cross.

Estraiamo i file ancora una volta e li salviamo in una cartella definitiva dove avremo il risultato della nostra analisi forense.

Hai bisogno di aiuto o di maggiori informazioni ?

Contatta il nostro call canter o inviaci una richiesta di assistenza a info@recoveryitalia.it. I nostri esperti sono a tua completa disposizione per una consulenza gratuita.

Video Corso Recupero Dati Recupero Foto Cancellate con Tecnica Data Carving

Il video corso di recupero dati sul recupero delle foto cancellate con tecnica Data Carving, da memoria formattata e sovrascritta

Recupero dati forense

Servizio di recupero dati con indagine forense, che permette di recuperare qualsiasi tipologia di file, da tutti i supporti informatici. Recupero dati forense e investigazioni giudiziarie, con relazione ufficiale redatta dal Responsabile di Laboratorio, che assume valore di elemento probatorio in fase processuale

Come eseguire una immagine forense della memoria di android con adb

Le istruzioni per creare un immagine forense della memoria di un dispositivo Android, eseguendo il rooting del dispositivo ed ottenere i permessi di Amministratore

Come recuperare i file Excel in seguito ad attacco ransomware lockbit

in questo articolo analizziamo gli effetti di un attacco ransomware lockbit su fogli excel e procediamo alla riparazione manuale dei fogli di lavoro ancora integri

Come trovare un centro di recupero dati affidabile a Milano

Se hai mai perso dati preziosi dal tuo dispositivo elettronico, sai quanto possa essere angosciante. Le fotografie, i documenti di lavoro o i ricordi spesso risiedono sui nostri hard disk come beni immateriali ma estremamente preziosi. Pertanto, quando si verificano problemi tecnici o danneggiamenti imprevisti, il panico può prendere rapidamente il sopravvento. Ma non temere! Esistono esperti di

Pc non riconosce l'hard disk esterno: come accedere e salvare i dati

L'hard disk esterno è uno strumento prezioso per chiunque: un deposito pieno di documenti, foto, video e ricordi che non vorreste mai perdere. Ma cosa succede se un giorno il vostro fidato PC smette improvvisamente di riconoscere l'hard disk esterno? "Ho perso tutto? Sono definitivamente danneggiati i miei dati?" La risposta è no! Anche se può sembrare una situazione disperata, esistono diversi

Come recuperare passo-passo i tuoi dati da un NAS rotto

Capita a tutti di trovarsi in situazioni svantaggiose, ma quando si tratta dei tuoi preziosi dati conservati su un NAS rotto, può sembrare la fine del mondo. Ma non preoccuparti! Siamo qui per aiutarti a superare questo ostacolo apparentemente insormontabile. Il nostro post odierno è una guida passo-passo che ti fornirà strumenti essenziali e consigli pratici su come recuperare i tuoi dati da u

Recovery Italia®

Sedi Operative
Procedura recupero dati
Richiesta Pickup
Richiesta Assistenza
Listino Prezzi
Preventivo ON LINE
Contatto
Privacy Policy

Servizi & Data Recovery

Hard Disk Drive
Hard Disk USB
Pen Drive USB
Enterprise Servers
Sistemi RAID
NAS & DAS
Cellulari e Smartphone

Prodotti

Mobile Data Rescue
WhatsApp Data Recovery
iPhone Data Recovery
Challenger Rocket
Challenger PCI Board

Tecnologia

Tecnologia
Camera Bianca
ChallengerOS

Risorse

Blog Recovery Italia
Faq Recovery Italia
Training

Recovery Italia® GROUP

DATA RECOVERY SERVICE SRL
Via del Fosso Centroni, 4 Roma (RM)
PIVA.: 14931361001

Sede di Roma Sud

Via del fosso centroni, 4
00118 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A ANAGNINA

Sede di Roma Prati

Via Attilio Regolo 19
00192 ROMA
Call Center 39 06 98357672
Email: info@recoveryitalia.it

METRO A LEPANTO

Sede di Milano

Via Santa Maria Valle, 3
21220 Milano
Call Center 39 02 00611518
Email: info@recoveryitalia.it

METRO M3 MISSORI