Eyewitness Forensic Media Report
aprile 20th, 2011
Chi si occupa dell’analisi forense dei supporti di memoria si scontra sempre più spesso con quantità ingenti di file multimediali, immagini, video, musica.
Sempre più spesso si tende a fornire a chi ha commissionato l’analisi, siano essi forze dell’ordine, autorità giudiziaria, legali, o aziende, la relazione cartacea ed una versione digitalizzata della stessa, con la possibilità di accedere ai molti file recuperati e identificati come di interesse.
Tuttavia sfogliare la relazione, in particolare gli allegati relativi a foto e video, è spesso un’azione immediata, veloce e in grado di dare immediata soddisfazione al committente, per soddisfare la quale in presenza di un ingente numero di file si può essere costretti ad un noioso lavoro davanti al word processor della propria suite per ufficio.
Forensic Media Report, sviluppato da Ronny Bodach, operatore della polizia tedesca e titolare della Eyewitness Forensic, è un tool, per S.O. MS Windows, che si occupa proprio di svolgere questo compito e lo fa particolarmente bene.
Sarebbe tuttavia sbagliato pensare che si tratti di un semplice impaginatore di miniature!
Dall’interfaccia principale è possibile selezionare la directory o il singolo file da esaminare, impostare il controllo in profondità nella directory e, soprattutto, la modalità di ricerca avanzata, che come vedremo successivamente si rivela particolarmente efficace.
Dopo aver inserito i dati relativi al caso si può impostare con quali informazioni correlare le miniature dei file (nome, dimensione, data creazione, hash MD5, meta-dati exif/ID-tag) e se effettuare il confronto con un set di hash, particolarmente utile se si deve ricercare specifici file.
Il programma supporta un buon numero di formati:
- immagini: jpg, jpeg, bmp, gif, tif, tiff, png, dcx, dds, ico, lbm, lif, mdl, pcd, pcx, pic, png, pnm, psd, psp, raw, sgi, tga, wal, act, pal;
- video: avi, asf, divx, dv, flv, m1v, m2v, mkv, mov, mp4, mpg, mpeg, mpeg1, mpeg2, mpeg4, 3gp, mov, mp4, mpe, ts, ps, ogm, vob, wmv;
- audio: mp3, wma.
Nel caso il formato non sia supportato o il codec manchi i video saranno indicati quali difettosi e riportati nella sezione del report relativa ai file che hanno generato errori.
Dalla voce del manu “Extras” è possibile accedere al pannello di configurazione.
Qui sarà possibile inserire i dati di registrazione, definire la modalità con la quale effettura i tre snapshot dei video, da inserire nel report, definire la modalità di riproduzione video, indicare il db di hash ed impostare il layout del report.
Con questo al momento ho avuto qualche piccolo problema. All’installazione sono infatti disponibili due layout: in tedesco ed in inglese. Pur avendo settato l’utilizzo di quello in inglese il report continuava ad uscirmi con le voci in tedesco.
In realtà non è affatto un problema insormontabile, in “Extras” abbiano la voce “Edit Report Template”. Basta qualche minuto con il traduttore di Google per ottenere un buon risultato ed una volta modificato il template è possibile salvare le modifiche.
Una volta lanciata la scansione con “Start report generation” compare un piccolo pop up con barra di scorrimento ed avanzamento numerico che ci informa sul procedere delle operazioni.
Al termine, se abbiamo lasciato le impostazioni di default, si apre il report viewer (è necessario aver installato Acrobat Reader)
con il quale è possibile visionare, salvare e stampare il report.
Per testare il programma, dopo aver modificato il layout, ho creato una directory con una manciata di immagini, video e file mp3. Ho quindi rinominato alcuni di essi, modificando l’estensione.
Come potete osservare in questo esempio di report, se si esclude quattro file video che hanno generato errore probabilmente a causa dei codec, i restanti file rinominati, sia jpg che avi, sono stati rilevati correttamente.
Si può notare un file mp3 rinominato che non viene riconosciuto. Non è un errore del programma, ma mio che non avevo letto correttamente le specifica, non notando prima dello svolgimento del test che il cui riconoscimento tramite header dei file audio non è implementato nel software.
Gli operatori del law enforcement possono ottenere la licenza d’uso gratuitamente, mentre i privati possono acquistarlo per 99,00 euro.
C’è un’ultima particolarità interessante:
Forensic Media Report può lavorare congiuntamente con Primera Robotic, un’altro tool di Ronny, che sfruttando una stampante di dischi Primera è in grado di scansionare in automatico 3000 (!!!!) dischi (cd/dvd), generando, in una directory definita dall’utente, i report del contenuto dei singoli dischi e, volendo, pure la loro l’immagine dd!
Forse non capita tutti i giorni di acquisire simili quantità di supporti ottici, ma se capita …..
Per finire un video dello sviluppatore ed il manuale in inglese.
2 Responses to “Eyewitness Forensic Media Report”
1Yvette
aprile 20th, 2011 @ 15:58
Bravo Denis, un’ottima recensione. Grazie per il lavoro di documentazione che porti avanti.
2Rebus
aprile 20th, 2011 @ 22:59
Anche questo: dritto nel prossimo FP!
Leave a Reply