Come estrarre i dati da una copia forense XRY per elaborarli con altri software di analisi

Pubblicato daLazzaPubblicato in: Digital forensicsTag:, ,

XRY è un formato di file utilizzato per le copie forensi dall’omonimo software di acquisizione di dati da smartphone, nonché dalla suite di analisi XAMN. Entrambi i programmi sono sviluppati da MSAB, una multinazionale svedese che opera nel settore dell’informatica forense, per la quale sono stato relatore in alcuni workshop.

Il formato XRY presenta alcuni vantaggi in termini di integrità dei dati, in quanto consiste in un container sicuro che racchiude i dati acquisiti da XRY e il risultato delle analisi effettuate con XAMN. Ma il fatto di essere un formato proprietario, con caratteristiche anti-manomissione, lo rende poco interoperabile con i software di altre aziende o i programmi di analisi open-source.

Una domanda ricorrente nelle comunità dedicate alla digital forensics riguarda proprio la necessità di convertire un’acquisizione forense in formato XRY affinché possa essere importata in altre suite di analisi.

Normalmente la risposta “classica”, che talvolta proponevo anch’io, era di utilizzare la propria licenza di XRY o XAMN per esportare i dati in formato ZIP.

Ciò non è sempre possibile, e può capitare di ricevere un file in formato XRY generato da un altro consulente. La cosa interessante è che esiste una soluzione semplice e gratuita, recentemente condivisa da un utente all’interno del Digital Forensics Discord Server, una comunità internazionale per i professionisti del settore.

Questa procedura può tornare utile a molti, perciò ritengo interessante condividerla qui con un articolo in lingua italiana per i colleghi che dovessero averne bisogno, ma anche come appunti per il futuro.

Aprire la copia con XAMN Viewer

Se volete replicare le istruzioni descritte in questo articolo, dovete utilizzare un’immagine forense in formato XRY. Ho sperimentato la procedura con quella create da Josh Hickman e pubblicata su Digital Corpora, di cui vi lascio il link:

Android_13_MSAB.xry

Avete inoltre bisogno di XAMN Viewer, il visualizzatore gratuito messo a disposizione da MSAB per il sistema operativo Windows.

XAMN Viewer per Windows

Dopo aver avviato il programma (che non richiede installazione), è sufficiente cliccare su Open per caricare il file XRY di interesse. Una volta terminato il processo, vedrete alcune informazioni di base sui dati contenuti:

Schermata che mostra la copia forense aperta con XAMN Viewer, si notano alcune informazioni di base come il numero di chiamate, messaggi e contatti
Schermata iniziale di XAMN Viewer

Esportare il file system

A questo punto è necessario identificare l’elenco dei file da esportare. Per prima cosa, selezionate View all artifacts. Nella schermata che si apre, identificate la modalità di visualizzazione indicata da List (in alto) e poi scegliete File Tree.

Schermata che mostra le diverse modalità per visualizzare i dati con XAMN Viewer: List, Column, Gallery, File Tree e Chat.
Menù per cambiare la modalità di visualizzazione

Comparirà una elenco di file, che inizia dal nodo radice (per esempio Tar Android_13_MSAB.xry). Fate click con il tasto destro su questo elemento e scegliete l’opzione Export all files.

Schermata che mostra l'albero delle directory contenute nel dispositivo. Sul nodo radice è stato attivato il menù contestuale, che mostra la voce "Export all files".
Opzione per avviare l’esportazione di tutti i file

XAMN Viewer salverà i dati nel percorso da voi scelto, generando una struttura di cartelle nella quale dovrete identificare quelle chiamata Volumes. All’interno di essa troverete la struttura dei file corrispondente al contenuto del dispositivo.

Alla fine del processo verrà mostrato anche un file di log che indica eventuali cambi di nome effettuati dal programma su alcuni file. Assicuratevi di leggerlo con attenzione.

Creare un archivio ZIP

Nel mio esempio, c’era un’unica directory chiamata data. Ad ogni modo, se desiderate creare un archivio ZIP, dovete selezionare tutte le directory e aggiungerle a un archivio compresso. Questo rappresenta una estrazione file system che può essere importata in molti programmi di analisi.

È importante verificare che la struttura dell’archivio ZIP sia corretta. Quando lo aprite con un programma di gestione archivi, dovete vedere le directory corrispondenti al dispositivo. Se trovate una cartella Volumes come nodo radice, significa che l’archivio non è stato creato nel modo giusto.

Non vi resta altro che sbizzarrirvi a usare lo strumento che preferite per analizzare l’archivio ZIP. Io ho provato ALEAPP, un ottimo programma open-source che ha fatto un eccellente lavoro nell’interpretare i dati del dispositivo.

Schermata che mostra una sezione di report generata con ALEAPP. Nello specifico si vede una pagina con alcuni messaggi di WhatsApp.
Report generato con ALEAPP

Per concludere, vi lascio i link alle guide sull’importazione degli archivi ZIP per alcuni dei principali software di analisi forense:

Condividi:

Share on Mastodon Share on LinkedIn Share on Telegram Share on WhatsApp Share on Pocket

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Puoi formattare il testo con la sintassi Markdown.