Ricerca avanzata

Digital forensics is a branch of forensic science that includes the recovery and the investigation of the material found in digital devices, often in relation to crime events. Since in such a field, understanding the order in which events have occurred is fundamental, investigators need to determine a timeline that is a "picture" of all the historical events that have occurred in a specific device or information system in a certain time. Several tools, such as Plaso, are used to parse various log files from devices and related systems to produce a timeline that can be then easily analysed by forensic investigators or analysts. This project proposes a spreadsheet template with customised features aimed at analysing a timeline. To improve team working organisation, a timeline is loaded into a shared spreadsheet and then, it is analysed from several users simultaneously. Analysts can ingest one or more sources in different file formats, such as CSV and XLSX, and inspect a timeline by applying several visualisation filters to mark specific events, facilitating the analysis. Finally, a report sheet that contains information about the investigation and the history of the filters applied by different users can be generated. The tool is tested on anonymised real data containing cookies and locations information from a smartphone.

La digital forensics è un ramo della scienza forense che comprende il recupero e l’indagine del materiale trovato nei dispositivi digitali, spesso in relazione a eventi di criminalità. Poiché in quest’ambito la comprensione dell’ordine in cui si sono verificati gli eventi è fondamentale, gli investigatori necessitano di determinare una timeline, ovvero una "fotografia" di tutti gli eventi storici avvenuti in un determinato sistema informatico in uno specifico arco temporale. Diversi strumenti, tra cui Plaso, offrono la possibilità di analizzare vari file di registro di un dispositivo per produrre un’unica sequenza temporale, la quale può quindi essere analizzata da investigatori o analisti forensi. Questo progetto propone un template di uno spreadsheet nel quale sono state implementate delle funzionalità speficiche utili per l’analisi di timeline. Per facilitare l’organizzazione del lavoro in team, la timeline viene caricata all’interno di un foglio di lavoro condiviso e quindi analizzata contemporaneamente da più utenti. Gli analisti possono selezionare una o più sorgenti da caricare in diversi formati, come CSV oppure XLSX, ed applicarvi differenti filtri di visualizzazione per mettere in rilievo determinati eventi, in modo tale da facilitare l’analisi. Infine, è possibile generare un report che visualizzi le informazioni riguardanti il caso in questione e la cronologia dei filtri applicati dagli utenti. Il tool è stato testato utilizzando un dataset reale con dati anonimizzati contenente cookies e informazioni riguardanti la geolocalizzazione del soggetto provenienti da uno smartphone.

Incentivare la condivisione delle informazioni attraverso uno strumento di analisi delle cronologie forensi

DRAGHI, FEDERICO
2019/2020

Abstract

Digital forensics is a branch of forensic science that includes the recovery and the investigation of the material found in digital devices, often in relation to crime events. Since in such a field, understanding the order in which events have occurred is fundamental, investigators need to determine a timeline that is a "picture" of all the historical events that have occurred in a specific device or information system in a certain time. Several tools, such as Plaso, are used to parse various log files from devices and related systems to produce a timeline that can be then easily analysed by forensic investigators or analysts. This project proposes a spreadsheet template with customised features aimed at analysing a timeline. To improve team working organisation, a timeline is loaded into a shared spreadsheet and then, it is analysed from several users simultaneously. Analysts can ingest one or more sources in different file formats, such as CSV and XLSX, and inspect a timeline by applying several visualisation filters to mark specific events, facilitating the analysis. Finally, a report sheet that contains information about the investigation and the history of the filters applied by different users can be generated. The tool is tested on anonymised real data containing cookies and locations information from a smartphone.
2019
Fostering information sharing through a forensic timeline analysis tool
La digital forensics è un ramo della scienza forense che comprende il recupero e l’indagine del materiale trovato nei dispositivi digitali, spesso in relazione a eventi di criminalità. Poiché in quest’ambito la comprensione dell’ordine in cui si sono verificati gli eventi è fondamentale, gli investigatori necessitano di determinare una timeline, ovvero una "fotografia" di tutti gli eventi storici avvenuti in un determinato sistema informatico in uno specifico arco temporale. Diversi strumenti, tra cui Plaso, offrono la possibilità di analizzare vari file di registro di un dispositivo per produrre un’unica sequenza temporale, la quale può quindi essere analizzata da investigatori o analisti forensi. Questo progetto propone un template di uno spreadsheet nel quale sono state implementate delle funzionalità speficiche utili per l’analisi di timeline. Per facilitare l’organizzazione del lavoro in team, la timeline viene caricata all’interno di un foglio di lavoro condiviso e quindi analizzata contemporaneamente da più utenti. Gli analisti possono selezionare una o più sorgenti da caricare in diversi formati, come CSV oppure XLSX, ed applicarvi differenti filtri di visualizzazione per mettere in rilievo determinati eventi, in modo tale da facilitare l’analisi. Infine, è possibile generare un report che visualizzi le informazioni riguardanti il caso in questione e la cronologia dei filtri applicati dagli utenti. Il tool è stato testato utilizzando un dataset reale con dati anonimizzati contenente cookies e informazioni riguardanti la geolocalizzazione del soggetto provenienti da uno smartphone.
BARILI, ANTONIO
Lauree Magistrali
File in questo prodotto:
Non ci sono file associati a questo prodotto.

È consentito all'utente scaricare e condividere i documenti disponibili a testo pieno in UNITESI UNIPV nel rispetto della licenza Creative Commons del tipo CC BY NC ND.
Per maggiori informazioni e per verifiche sull'eventuale disponibilità del file scrivere a: unitesi@unipv.it.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.14239/12660