Digital Forensics Tool Testing Images e PTK

La struttura di PTK è ormai definita, la nuova fase di Beta test prevede l'ottimizzazione delle funzionalità presenti e la risoluzione di possibili bug o carenze. Questo processo porterà allo sviluppo della versione Stable dello strumento prevista per la fine del mese di Settembre 2008. Per questo motivo, oltre ai test interni, stiamo iniziando un processo di validazione basato sulla verifica delle 13 immagini, ricreate ad-hoc da Brian Carrier, presenti all'indirizzo: dftt.sourceforge.net. Questo processo mira a consolidare le funzionalità di PTK rendendolo il più efficace possibile durante l'attività di indagine ed aggiungendo solamente le funzionalità indispensabili come ad esempio il modulo di Data Carving.

Extended DOS Partition Test (passed)

Partiamo con il primo test di riconoscimento partizioni basato su DOS a seguito di modifica manuale della Partition Table. Riportiamo la descrizione dell'immagine e il risultato di PTK.

"Most DOS partition tools will not allow the user to create a third entry in an extended partition. A test image was created by modifying the partition table by hand with a hex editor and the system was booted. Both Windows and Linux read the third entry in the extended partition table and allowed the user to mount the partition. This test was to verify that forensic tools also allowed the investigator to view the partition in the third entry. "