La prima cosa che si effettua quando si deve fare una perizia è la clonazione del disco rigido
           in un file immagine. Per questo Helix ci mette a disposizione il programma “Adepto” che
           troviamo in “Helix Menu/Forensics/Adepto”.

           Una volta selezionato l’hard disk da clonare e scelta l’opzione MD5 per essere sicuro che il

           tutto avvenga senza errori, autenticandolo, possiamo passare all’operazione vera e propria
           di clonazione.

           Con il programma “Retriever” possiamo setacciare il disco in cerca di documenti, immagini

           e video. Regviewere, permette invece di analizzare il registro di Windows. Anche qui gli
           smanettoni potranno provare e sperimentale tutti i programmi a disposizione per trovare
           qualcosa che possa servire nelle operazioni di informatica forense.


           Un programma simile, ma a pagamento è “Encase”, il più noto e diffuso programma di
           computer forensics in commercio. È potente, versatile e non richiede nessun altro pro-
           gramma. Utilizza un’interfaccia professionale, ma allo stesso tempo abbastanza semplice

           e intuitiva.

                                                  Anatomia di un’email



           Un’e-mail non è esattamente come ci viene mostrata. Di solito quando scarichiamo l’email

           siamo abituati a vedere il mittente dell’e-mail (chi là spedita), il destinatario (noi), qualche
           volta un “indirizzo aggiuntivo” (Cc), a cui il messaggio viene mandato per conoscenza, un
           oggetto e un possibile allegato, oltre naturalmente al messaggio dell’email.


           Selezionando un’email, ad esempio in “Outlook express”, e facendo clic col tasto destro del
           mouse, possiamo usare il comando “Proprietà” e andiamo sulla scheda “Dettagli”. Qui pos-
           siamo avere molte più informazioni. Un’e-mail, infatti, non arriva direttamente al destina-

           tario, ma passa attraverso indirizzi intermedi, chiamati MTA (Mail Transfer Agent). Tutti i
           nodi intermedi hanno voci “Received” corrispondenti, anche se nell’intestazione vengono
           ovviamente citate al contrario, ovvero la prima voce, quella più in alto è l’ultima che ha
           passato l’e-mail, mentre l’ultima, quella più in basso,  è la prima, cioè chi ha mandato il

           messaggio.

                                                                                       369
           Il nome che vediamo potrebbe venire contraffatto, ma l’indirizzo IP  presente, affianco al
           nome, no. È su questi che si può lavorare.


           L’indirizzo IP più importante è quello che si trova nella parte iniziale dell’ultima voce “Re-
           ceived” che indica chi ci ha spedito l’e-mail: quella successiva al From.

                                                            ***




           369  La sigla IP sta per Internet Protocol. È composto da quattro cifre, che possono andare da 0 a 255, separate da un punto.
                                                            384