ANALISI FORENSE DEL PEER-TO-PEER: L’ESEMPIO DI EMULE -
Pubblicazione del 08/12/2013
ANALISI FORENSE DEL PEER-TO-PEER: L’ESEMPIO DI EMULE -

di Fabio Massa

3. Analisi forense del Peer-to-Peer L’analisi forense di eMule, e di software dedicati alla stessa tipologia di attività su network P2P, può generare numerosi elementi probatori fondamentali ed inequivocabili in sede di giudizio. Nei casi di scambio di materiale illecito, ad es. immagini e video pedopornografici, è fondamentale stabilire quali siano gli eventi e le interazioni poste in essere da parte dell’utente che abbiano condotto alla detenzione e all’eventuale condivisione del materiale illecito.

Alcune tipologie d’investigazione si basano sull’utilizzo da parte della polizia giudiziaria di nodi “civetta”, versioni di eMule anche dette “mods” utilizzate per le attività di copertura e di intercettazione di materiale pedopornografico, nonché di identificazione degli utenti che lo detengono e condividono. L’analisi forense del software eMule può essere di vitale importanza per la definizione della responsabilità giuridica in materia di cybercrime.

4. Analisi forense eMule Durante la fase d’installazione e configurazione sono innumerevoli le informazioni conservate dal software che permettono alla figura del “forensic examiner” la ricostruzione degli eventi, come ad es. la lista dei download attivi oppure dei download interrotti, le chiavi di ricerca utilizzate e tanto altro. Nel seguente breve elenco sono riassunte le risorse di eMule interessate durante l’analisi forense dell’applicazione.

Registry Keys: durante l’installazione vengono aggiunte diverse chiavi di registro nel sistema Windows; Preferences.ini: questo è il file principale di configurazione. Contiene informazioni importanti, quali, versione dell’applicativo, nickname utilizzato, porta aperta per le connessioni TCP, locazione della directory dedicata al download e all’upload, directory utilizzata per memorizzare i file stemporanei (.part e part.met files). Altro aspetto importante è la traccia dei download eseguiti e dei download cancellati, questi ultimi loggati anche nei files di log di eMule denominati cancelled.met e know.met, entrambi residenti nella radice di installazione;

See more at:
it
Visitatori on line: Visitatori di oggi: Visitatori totali: