Ogni acquisizione viene inserita in una cartella numerata sequenzialmente (esempio: 00001, 00002, 00003, … 0000n) della cartella principale con il nome del Case ID scelto dall’utente all’avvio del programma.

ATTENZIONE: queste cartelle non devono essere rinominate altrimenti il software non può creare le successive cartelle e verrà generato un errore.

Ogni acquisizione genera i seguenti file:

Acquisition.log

è un file di log che contiene l’elenco di tutte le operazioni eseguite con il software FAW con timestamp.

Acquisition.txt

è un file di testo che contiene tutti i riferimenti dell’acquisizione compresi gli hash di tutti gli altri file.

Acquisition.xml

è un file in formato Digital Forensics XML che contiene tutti i riferimenti dell’acquisizione.

Acquisition.zip

è un file archivio che contiene i file Aquisition.txt, Acquisition.xml, Checking.faw, Code.html e Image.png – questi cinque file sono contengono le informazioni essenziali necessarie per certificare l’acquisizione della pagina web.

Acquisition_{Case ID}_{nr. acquisizione}.docx

è un file in formato Word contenete un report con riportati i file Aquisition.txt, Acquisition.xml, Checking.faw, Code.html e le immagini dello screenshot.
Nota: questo file viene generato solo se in Configurazione > Pro – Activity è spuntata la voce “Generate MS WORD and PDF”.

Acquisition_{Case ID}_{nr. acquisizione}.pdf

è un file in formato PDF contenete un report con riportati i file Aquisition.txt, Acquisition.xml, Checking.faw, Code.html e le immagini dello screenshot.
Nota: questo file viene generato solo se in Configurazione > Pro – Activity è spuntata la voce “Generate MS WORD and PDF”.

certClient.cer

è il certificato SSL del client che ha eseguito la richiesta alla pagina web.

certServer.cer

è il certificato SSL del server web che ospita la pagina web.

Checking.faw

è il file che contiene un codice di controllo che permette di verificare se i file Acquisition.txt e Acquisition.xml sono stati alterati.

Code.html

è un file html che contiene tutto il codice HTML della pagina web.

CodeFrame{nomeframe}.htm

sono file che contengono il codice HTML del frame {nomeframe} se presente.

Sslkeylog.log

contiene tutte le chiavi crittografiche scambiate durante la navigazione su siti web con protocollo SSL

Headers.txt

è un file di testo che contiene gli headers inviati al browser dalla pagina web.

hosts

è la copia del file hosts di windows al momento dell’acquisizione della pagina Web; permette di verificare se al momento dell’acquisizione erano presenti delle mappature tra hostnames e indirizzi IP.

FAWCA.dll

è il file che il software utilizza nelle operazioni di verifica dell’integrità delle acquisizioni

Image.png

è il file che contiene l’immagine (screenshot) della pagina web in formato png a 24bit.

Image{numero}.png

se il file che contiene l’immagine (screenshot) della pagina web è più alto di 20.000 px l’immagine viene spezzata in più file a cui viene aggiunto un numero progressivo.

screenCapture.wmv

è il file video dello screencast dell’intero schermo del computer dall’inizio dell’acquisizione fino alla fine.

SystemLogEvents.txt

è il file in cui vengono registrati tutti gli eventi di windows avvenuti durante l’acquisizione della pagina Web.

Network_Dump_{mac-address-network-interface}.pcap

è il file che contiene il dump del traffico di rete avvenuto durante l’acquisizione della pagina Web.

Cartella Objects

la cartella contiene tutti gli elementi della pagina Web acquisiti (immagini, documenti, script, ecc.) e numerati progressivamente con il formato [nnnnn]filename.ext.

Cartella ImagesA4

la cartella contiene il file Image.png (screenshot della pagina web) ritagliata in più immagini con un rapporto base/altezza del formato A4. Queste immagini sono l’ideale per essere inserite in report che devono essere stampati.

 


 

FAW utilizza tre tipi di browser per acquisire le pagine web, in base a quale browser viene utilizzato potrebbero essere presenti più o meno tipi di file acquisiti, la seguente tabella mostra le funzionalità di ciascun browser.

 

[table id=1 /]