Una proposta di logiche di correlazione per artefatti forensi utilizzabili nell'ambito dell'analisi live.

L’informatica forense è la scienza che unisce informatica e diritto al fine di conservare, analizzare e interpretare le fonti di prova memorizzate su dispositivi digitali. La progressiva informatizzazione della società in ogni suo settore ha comportato un graduale aumento dei casi nei quali dati immagazzinati su supporti digitali vengono portati come fonte di prova in un processo. La quantità di informazioni memorizzate sui moderni calcolatori e la complessità degli scenari in cui un informatico forense si trova ad operare esigono però tempi di analisi incompatibili con la rapidità oggi richiesta. Una possibile soluzione a questa problematica può essere individuata nell’automazione della fase di analisi mediante logiche di correlazione di artefatti forensi personalizzabili e riutilizzabili da parte di un operatore. L’obiettivo del presente lavoro è pertanto quello di codificare alcune delle suddette logiche, riguardanti l’individuazione di malware su calcolatori e l'identificazione di movimento laterale all’interno di una rete, al fine di diminuire il lavoro umano richiesto ad un informatico forense. Per far ciò si utilizzerà una piattaforma, denominata Velociraptor, che offre un query language col quale è possibile analizzare molteplici host sui quali si vuole condurre un'indagine.