In un precedente nostro articolo (ved. questa pagina), abbiamo presentato OSForensics, un software gratuito (almeno per il momento: vi invitiamo ad affrettarti a scaricarlo…) che consente di effettuare tutta una serie di indagini sul contenuto del disco fisso, comprese operazioni di recupero dati e password.
Il software OSForensics può essere utilizzato anche per verificare quali modifiche siano state apportate al sistema, ad esempio, da parte della procedura d’installazione di un programma.
Le precedenti versioni di OSForensics limitavano l’attività di confronto ai soli file memorizzati sulle unità disco indicate. Ciò significa che il programma era in grado di rilevare solo i file aggiunti, modificati od eliminati in due momenti distinti ma non di stabilire gli interventi eventualmente applicati sul contenuto del registro di Windows.
A partire dalla versione 0.98 di OSForensics, l’applicazione estende le sue abilità di controllo anche al registro di sistema dando modo di verificare le modifiche effettuate alle seguenti chiavi: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE e HKEY_USERS.
.
in modo da specificare le unità disco, le cartelle o le chiavi del registro oggetto di verifica:
Per impostazione predefinita, OSForensics registra la configurazione di file e cartelle memorizzati sul disco C:
. Agendo sul menù a tendina Directory, si possono indicare altre unità oppure uno o più rami del registro di Windows:
Il menù Action deve essere lasciato su “Include all files in this directory“.
, OSForensics richiederà di stabilire all’interno di quale file si desidera annotare l’attuale configurazione del disco e del registro di Windows:
Nel nostro caso, abbiamo indicato – come nome del file – 1st.OSFsig
.
OSForensics inizierà la scansione del contenuto del disco e del registro di Windows salvando le informazioni relative allo stato dei vari elementi individuati all’interno del file 1st.OSFsig
. La procedura di analisi del sistema è piuttosto veloce e si conclude generalmente dopo pochi minuti d’attesa.
Portata a termine la scansione iniziale del sistema, registro compreso, si potrà – per esempio – installare l’applicazione desiderata. Dopo averla caricata, suggeriamo di avviarla almeno un paio di volte in modo da essere certi che quest’ultima applichi tutte le modifiche necessarie per il suo funzionamento.
Per stabilire quali variazioni sono state apportate al file system così come al registro di Windows, è dapprima necessario ripetere i precedenti quattro passi avendo cura di specificare, come nome del file, ad esempio, 2nd.OSFsig
:
.
I campi Old signature e New signature della schermata successiva vanno compilati specificando, rispettivamente, la prima e la seconda “istantanea” del contenuto del disco:
Con un clic sul pulsante Compare, OSForensics inizierà a paragonare il contenuto dei due file estrapolando tutte le eventuali differenze. L’area più ampia della finestra verrà così popolata con le informazioni relative ai cambiamenti registrati da OSForensics rispetto alla prima “istantanea”.
Per ciascun elemento, in corrispondenza della colonna Difference, OSForensics rivela se l’oggetto sia stato modificato, aggiunto od eliminato. Il resoconto finale può essere esportato in formato testo.