IDENTIFICAZIONE DELLA TIPOLOGIA DI UN FILE MEDIANTE ANALISI SPETTROGRAFICA 2D a cura del Mar. Ord. Giuseppe Finizia - Sezione Telematica - Reparto Carabinieri Investigazioni Scientifiche di Roma versione 1.0a settembre 2006
1. Introduzione L identificazione della tipologia del contenuto di un file, nell ambito delle attività di informatica forense condotte dalla Sezione Telematica del RIS di Roma, costituisce talvolta un problema non risolvibile mediante le comuni tecniche di analisi di norma applicate. Nei File System di casa Microsoft, ad esempio, un file presenta un estensione che ne caratterizza il formato e quindi la tipologia dei dati in esso contenuti. Quando un file si presenta privo di estensione, invece, il primo passo per giungere all identificazione del formato consiste solitamente nell analizzare l header del file. L header, infatti, costituisce una sequenza caratteristica di byte nella parte iniziale del file che ne definisce il formato, e che include talvolta una serie di dati aggiuntivi relativi al particolare file memorizzato. Taluni formati di file possono inoltre prevedere la presenza di un footer, ovvero di una stringa caratteristica di byte posta nella parte finale del file. L analisi dell header può ovviamente essere consigliabile anche qualora vi siano dei dubbi sulla genuinità dell estensione presente nel nome di un file. Il confronto può infatti evidenziare una incoerenza che lasci presupporre ad una alterazione volontaria dell estensione da parte dell utente, al fine di distogliere l attenzione sul file da parte di eventuali estranei. In questo lavoro vengono analizzate delle possibili soluzioni a quei casi in cui i metodi appena citati non risultano efficaci. Infatti, nel corso della tante attività tecniche normalmente svolte in un accertamento di informatica forense, è piuttosto frequente imbattersi con dei file aventi estensioni ed header ignoti. E altrettanto frequente, poi, individuare particolari dati di interesse per le indagini in porzioni di area non allocata del supporto di memoria preso in esame. In quest ultimo caso ci si trova di fronte a blocchi di dati localizzati in singoli settori di memoria per i quali non si può stabilire né quale fosse il file originario né quali fossero gli altri settori appartenenti allo stesso file. In merito all individuazione del file originario, il problema è dovuto ai particolari metodi di cancellazione dei file e di gestione dello spazio libero sul supporto di memoria da parte del file system su di esso utilizzato. Tale problema si presenta risolvibile solo in determinate circostanze (settore appartenente ad un file cancellato per il quale siano ancora presenti informazioni utili nel file system), tuttavia nella maggioranza dei casi non vi è soluzione pratica. Per quanto riguarda invece la possibilità di individuare i vari settori che, insieme a quello di interesse, costituivano originariamente il file memorizzato sul supporto in esame, la teoria oggetto del presente studio può fornire alcuni interessanti spunti per la definizione di nuovi strumenti di analisi. - 2 -
La teoria esposta in questo articolo introduce un nuovo approccio al problema facendo uso di una particolare tecnica di analisi spettrografica 2D del file in esame, mediante la quale è possibile evidenziare graficamente, in uno spazio bidimensionale, la distribuzione delle frequenze delle coppie di byte letti in sequenza dal file. Si vedrà infatti che ciascuna tipologia di file determina uno spettro frequentistico bidimensionale caratteristico e che quindi riconoscendo il particolare spettro 2D si può risalire al formato originario del file o quanto meno alla tipologia dei dati in esso contenuti. 2. Approccio teorico (e pratico) al problema Un file costituisce una sequenza di byte: ciascun byte può assumere un valore intero compreso nell intervallo [0, 255] e nessun limite è imposto al numero di byte che un file può contenere (a meno di eventuali limitazioni da parte del File System). Ciò permette di considerare un file, da un punto di vista statistico, come una successione di osservazioni relative al carattere quantitativo discreto Byte, il quale può assumere una di 256 modalità differenti. Si può quindi prendere in esame un file analizzandone le distribuzioni statistiche dei singoli byte { b 1, b 2,, b n } e delle coppie di byte { (b 1,b 2 ), (b 3,b 4 ),, (b n-1,b n ) }. Inizialmente è stato condotto uno studio sulle proprietà statistiche di numerosi campioni di file, appartenenti a formati di ampia diffusione, allo scopo di evidenziarne eventuali caratteristiche comuni. In particolare, per le molteplici distribuzioni statistiche esaminate, sono state valutate diverse proprietà quali ad esempio la media, la deviazione media, la deviazione standard, la varianza, l asimmetria, la curtosi. Tale studio, tuttavia, non ha consentito di giungere all individuazione di precisi riferimenti rispetto ai quali si potesse successivamente riconoscere il formato di un generico file. Lo studio delle proprietà statistiche dei diversi campioni di file si è pertanto spostato da un piano di valutazioni numeriche ad un piano di valutazioni grafiche, nella speranza che tale forma di rappresentazione potesse evidenziare in maniera molto più marcata le differenze e le analogie esistenti tra i file dei diversi formati in esame. A tal proposito è apparso subito di notevole interesse l analisi degli spettri delle frequenze relative dei singoli byte e delle coppie di byte. Tali spettri, infatti, evidenziano graficamente come i valori dei byte presenti in un file si addensano intorno a certi punti piuttosto che ad altri in una modalità strettamente connessa al particolare formato di file analizzato. Al fine di disporre di uno strumento software per la produzione degli spettri frequentistici, lo scrivente ha sviluppato l applicazione FileScanner 2006. - 3 -
Va tenuto presente, tuttavia, che lo scopo di tale applicazione, almeno per il momento, non è di realizzare uno strumento di identificazione automatica del formato di un file, piuttosto di fornire uno strumento flessibile di analisi che, posto nelle mani di un tecnico forense opportunamente preparato, può rivelarsi di grande utilità. Figura 1 Screenshot dell applicazione FileScanner 2006 Le analisi spettrografiche effettuate mediante FileScanner 2006 hanno permesso di evidenziare che file con estensioni differenti danno luogo talvolta a spettri molto simili (Allegato A), mentre file con la stessa estensione appaiono talvolta molto diversi tra loro (Allegato B). In particolare, gli spettri mostrati nelle Figure da 2 a 7 si riferiscono a tre file grafici dei formati BMP, TGA e FPX nei quali è stata memorizzata la medesima immagine fotografica, mentre gli spettri mostrati nelle Figure da 8 a 13 si riferiscono a tre diversi file eseguibili. La spiegazione di tale fenomeno va ricercata nella particolare natura delle informazioni memorizzate in ciascun formato e nelle regole logiche secondo le quali i dati sono archiviati nei file. Infatti, la notevole somiglianza tra gli spettri dei file BMP, TGA e FPX è dovuta sia al tipo comune di informazioni in essi memorizzate, trattandosi appunto di una immagine fotografica digitale, sia all impiego, in ciascuno dei tre formati, del medesimo schema logico per la codifica dell immagine fotografica (RGB 24bpp senza compressione). - 4 -
Figura 2 Spettro 1D file BMP Figura 3 Spettro 1D file TGA Figura 4 Spettro 1D file FPX Figura 5 Spettro 2D file BMP Figura 6 Spettro 2D file TGA Figura 7 Spettro 2D file FPX Figura 8 Spettro 1D file EXE 1 Figura 9 Spettro 1D file EXE 2 Figura 10 Spettro 1D file EXE 3 Figura 11 Spettro 2D file EXE 1 Figura 12 Spettro 2D file EXE 2 Figura 13 Spettro 2D file EXE 3-5 -
Per meglio affrontare lo studio dei vari formati, risulta utile suddividere i diversi tipi di file secondo il seguente schema: Formati di file Omogenei (o semplici) Eterogenei (o composti) Testo Documenti con supporto OLE Audio Archivi compressi Immagini Video Librerie di sistema DLL File eseguibili Archivi non compressi Figura 14 Schema di suddivisione dei formati di file I formati sono stati inizialmente suddivisi in due categorie principali: formati di file dal contenuto omogeneo: in questa categoria rientrano quei formati di file destinati alla memorizzazione di dati relativi ad una ben precisa tipologia di contenuti (documenti di testo, immagini fotografiche, brani audio, filmati video, ); formati di file dal contenuto eterogeneo: in questa categoria rientrano quei formati di file destinati alla memorizzazione di dati relativi a diverse tipologie di contenuti (documenti di impaginazione elettronica contenenti testo e immagini, presentazioni multimediali contenenti filmati video e clip audio, ). Tale suddivisione deriva sostanzialmente dalla constatazione che per certi formati di file i dati in essi memorizzati vengono codificati secondo un ben preciso protocollo, il quale appare applicato in maniera pressoché uniforme nell intero file. Per certi altri formati di file, invece, i dati in essi memorizzati possono essere di natura diversa tra loro e quindi codificati secondo schemi logici differenti e non necessariamente rigidi. A supporto delle precedenti considerazioni, si mostra di seguito l analisi di un file prodotto mediante l applicazione Microsoft Word per Windows, nel quale sono state inserite alcune pagine di testo, un immagine fotografica ed un brano audio. - 6 -
Figura 15 Analisi spettrografica di un documento Microsoft Word La Figura 15 mostra l esito dell analisi spettrografica condotta sul file Word in esame: dalla valutazione dei diversi grafici si può facilmente individuare la presenza di vari blocchi di dati che differiscono nel modo in cui i byte sono distribuiti nell intervallo [0, 255]. In particolare si possono distinguere nel file tre blocchi principali: un primo blocco A in cui sono presenti dati di natura testuale (Figura 16), un secondo blocco B relativo al file dell immagine fotografica (Figura 17), ed infine un terzo blocco C contenente il file audio inserito nel documento (Figura 18). I rimanenti dati, localizzati prima dei blocchi A e B, sono riferibili alle particolari informazioni aggiuntive inserite nel file dall applicazione Microsoft Word. Figura 16 Analisi spettrografica del file DOC relativa al blocco A (pagine di testo) - 7 -
Figura 17 Analisi spettrografica del file DOC relativa al blocco B (immagine fotografica) Figura 18 Analisi spettrografica del file DOC relativa al blocco C (brano audio) Sulla base di quanto si è fin qui esposto, appare opportuno studiare in primo luogo i formati definiti semplici secondo la suddivisione di Figura 14, poiché le loro proprietà statistiche risultano più regolari e quindi sono più facilmente riconoscibili ed analizzabili. Il primo obiettivo che ci si pone, pertanto, è quello di giungere ad una classificazione dei formati semplici: essi dovranno essere riconoscibili singolarmente o per classi, avendo avuto cura di definire preventivamente i formati di file collocabili in ciascuna classe. - 8 -
A tale scopo, occorre analizzare più nel dettaglio le proprietà statistiche dei vari formati semplici in quanto, come si è già visto, non è raro riscontrare che file dello stesso formato presentino proprietà statistiche molto diverse tra loro (Allegato B). Passando ad un livello di maggiore dettaglio, i formati semplici indicati in Figura 14 possono essere ulteriormente suddivisi secondo lo schema di Figura 19. Formati semplici Testo Immagini Audio Video Documenti in lingua parlata Formato BMP Formato WAV Formato AVI File codificati UUENCODE Formato TIF Formato WMA Formato MOV File criptati in testo (PGP) Formato JPG Formato MP3 Formato FLI Formato GIF Formato VOX Formato PNG Formato AIF Figura 19 Schema di suddivisione di alcuni formati semplici Per alcuni dei formati specificati in Figura 19, negli Allegati C e D è riportato un esempio dei relativi grafici prodotti mediante l applicazione FileScanner 2006. Si può notare come appaiano talvolta ancora molto diversi tra loro gli spettri frequentistici relativi a file dello stesso formato. Ciò è dovuto al fatto che molti formati rendono disponibili più sottoformati, ossia più metodi di codifica delle informazioni da archiviare. A scopo esemplificativo si riporta di seguito uno schema di ulteriore suddivisione per i file del formato audio WAV. Formato WAV Codifica PCM Codifica MS ADPCM Codifica IMA ADPCM Codifica IEEE Codifica CELP Codifica A-law Codifica u-law Codifica SBC Codifica 8bit Codifica 8KHz Codifica 8KHz Codifica singola Codifica 16bit Codifica 11KHz Codifica 11KHz Codifica doppia Codifica 24bit Codifica 22KHz Codifica 22KHz Codifica 32bit Codifica 44KHz Codifica 44KHz Figura 20 Schema di suddivisione dei sottoformati WAV - 9 -
3. Studio dei formati semplici In questo paragrafo si vuole approfondire lo studio delle proprietà statistiche dei file appartenenti ai formati semplici, illustrando dei metodi di analisi che possano essere utilmente applicati di volta in volta al fine di individuare il reale formato di un file in esame. Cominciano ad esaminare i file contenenti semplicemente del testo in codifica ASCII. I valori dei byte rappresentanti i simboli solitamente utilizzati per la scrittura di un testo possono essere racchiusi nell intervallo [32, 126], pertanto non sorprenderà il fatto che dall analisi spettrografica di un file contenente del testo emergerà una particolare concentrazione di byte proprio nel suddetto intervallo (Figura 21). Figura 21 Analisi spettrografica di un file di testo TXT Osservando i grafici, inoltre, si può notare che le frequenze relative dei valori dei byte non sono uniformi nell intervallo [32, 126], bensì variano a seconda del linguaggio utilizzato per la scrittura del testo. Questi grafici appaio quindi inequivocabilmente associabili a file di tipo testuale. Esistono poi dei tipi di file testuali che non rappresentano documenti scritti bensì informazioni codificate secondo degli schemi predefiniti. Tra questi compaiono ad esempio lo schema UUENCODE/UUDECODE e lo schema MIME (Multipurpose Internet Mail Extension). Per questi ultimi tipi di file, gli spettri frequentistici appaiono significativamente diversi evidenziando appunto come la particolare codifica impiegata ottimizzi l uso del set di byte a disposizione (Figura 22). - 10 -
Figura 22 Analisi spettrografica di un file EML di posta elettronica con allegati MIME Prendiamo adesso in considerazione un file di tipo TIF contenente un immagine fotografica. Il formato TIF, come molti altri destinati alla memorizzazione di immagini fotografiche, prevede diversi sottoformati di codifica che tengono conto ad esempio della profondità di colore, dell eventuale compressione interna, dell ordine dei pixel, dell ordine dei byte, e così via. A titolo di esempio, in Figura 23 è mostrata l analisi spettrografica di un file TIF contenente un immagine fotografica a 24bpp, senza compressione, con pixel ordinati per canale (RGBRGB) e byte ordinati secondo schema IBM PC (Little Endian). Figura 23 Analisi spettrografica di un file TIF contenente un immagine fotografica - 11 -
I grafici degli spettri frequentistici di Figura 23 mostrano come i byte del file preso in esame abbiano una distribuzione piuttosto ordinata, evidenziando un andamento curvilineo nello spazio 1D e di tipo pennellato nello spazio 2D. Tali andamenti, in effetti, risultano essere caratteristici per i diversi formati di file destinati alla memorizzazione, senza compressione, di immagini fotografiche. La stessa immagine fotografica memorizzata in un file TIF con compressione interna LZW appare infatti notevolmente diversa all esame spettrografico, così come mostrato in Figura 24. Figura 24 Analisi spettrografica di un file TIF con compressione interna LZW Passiamo ora all analisi di alcuni file WAV, contenenti il medesimo brano audio, ciascuno dei quali impiega una differente codifica per la memorizzazione del suono. Figura 25 Analisi di un file WAV (PCM) Figura 26 Analisi di un file WAV (ADMPCM) - 12 -
Figura 27 Analisi di un file WAV (μ-law) Figura 28 Analisi di un file WAV (A-Law) Figura 29 Analisi di un file WAV (IMA-ADPCM) Figura 30 Analisi di un file WAV (MPEG Layer 3) Come si può facilmente osservare dalle analisi spettrografiche mostrate nelle precedenti figure, per ciascun file si ottiene un caratteristico spettro delle frequenze in base al particolare metodo di codifica utilizzato. Tali grafici, inoltre, risultano indipendenti dalla musica del brano audio sorgente. I risultati fin qui evidenziati rappresentano un assaggio delle potenzialità offerte dall analisi spettrografica, con particolare riferimento a quella di tipo bidimensionale. Essa infatti, sulla base di un propedeutico studio dei grafici tipicamente prodotti dai file dei diversi formati di maggiore diffusione, fornisce un interessante strumento di analisi al tecnico forense il quale, in tal modo, potrà investigare più a fondo nella reale natura di un file sospetto. - 13 -
4. Considerazioni finali I principi teorici e pratici fin qui illustrati sono attualmente in fase di sperimentazione avanzata e in breve tempo sarà quindi possibile applicare a casi reali tali metodologie di analisi forensi. Allo stato attuale si sta ultimando lo sviluppo dell applicazione FileScanner 2006 valutando la possibilità di implementare in essa un motore di riconoscimento neurale che possa provvedere ad una classificazione automatica del formato dei file, sulla base del riconoscimento dei tratti caratteristici dei grafici prodotti mediante le analisi spettrografiche. E ancora oggetto di studio, inoltre, la possibilità di classificare il tipo di dati rinvenuti in singoli settori di memoria non allocata di un supporto fisico, al fine di metterli in relazione ad altri settori aventi proprietà simili per poi ricostruire in parte, se non interamente, il file originario al quale tali settori erano associati. ELENCO ALLEGATI: Allegato A Spettri frequentistici relativi a file di formati diversi ma con proprietà statistiche simili. Allegato B Spettri frequentistici relativi a file dello stesso formato ma con proprietà statistiche differenti. Allegato C Esempi di spettri frequentistici relativi a file di formati grafici bitmap. Allegato D Esempi di spettri frequentistici relativi a file di formati audio. Mar. Ord. Giuseppe Finizia Sezione Telematica RIS di Roma Carabinieri E-mail: gfinizia@carabinieri.it - 14 -
Allegato A Spettri frequentistici relativi a file di formati diversi ma con proprietà statistiche simili. Analisi di un documento di solo testo salvato in differenti formati: Documento di testo - TXT Documento di testo - RTF Documento di testo - DOC Analisi di un archivio compresso salvato in differenti formati: Archivio compresso - ZIP Archivio compresso - LZH Archivio compresso RAR - 15 -
Analisi di un immagine fotografica salvata in differenti formati grafici bitmap: Immagine bitmap - BMP Immagine bitmap - TGA Immagine bitmap - WMF Analisi di un brano musicale salvato in differenti formati audio: Brano audio - WAV Brano audio - VOC Brano audio - DWD - 16 -
Allegato B Spettri frequentistici relativi a file dello stesso formato ma con proprietà statistiche differenti. File di documenti prodotti dall applicazione Microsoft Word per Windows: Documento con solo testo Documento con testo e grafica Documento con testo e audio Immagine fotografica convertita in diversi sottoformati TIF: RGB 24bpp (senza compr.) CMYK 24bpp (senza compr.) RGB 24bpp (compr. LZW) - 17 -
Brano musicale convertito in diversi sottoformati WAV: PCM 11025Hz Mono 16bit A-law 22050Hz Mono μ-law 22050Hz Mono File eseguibili di applicazioni Windows: winword.exe (word processor) m2apx3g.exe (convertitore mpg2) sdat4158.exe (definizioni virus) - 18 -
Allegato C Esempi di spettri frequentistici relativi a file di formati grafici bitmap. BMP 24bpp (senza compressione) BMP 8bpp (senza compressione) BMP 8bpp (compressione RLE) GIF 89A 8bpp PNG 24bpp PNG 8bpp - 19 -
JPG 24bpp (compress. minima) JPG 24bpp (compress. media) JPG 24bpp (compress. massima) PCX 24bpp PCX 8bpp EPS 24bpp - 20 -
TGA 24bpp (senza compressione) TGA 24bpp (con compressione) PCT 24bpp TGA 8bpp (senza compressione) TGA 8bpp (con compressione) PCT 8bpp - 21 -
TIF RGB 24bit (senza compress.) TIF RGB 8bit (senza compress.) TIF CMYK 24bit (senza compr.) TIF RGB 24bit (compress. LZW) TIF RGB 8bit (compress. LZW) TIF CMYK 24bit (compr. LZW) - 22 -
IFF 24bpp (senza compressione) IFF 24bpp (con compressione) IFF 8bpp (senza compressione) IFF 8bpp (con compressione) FPX 24bpp (senza compressione) FPX 24bpp (con compressione) - 23 -
Allegato D Esempi di spettri frequentistici relativi a file di formati audio MP3 44.100Hz 128Kbps MP3 44.100Hz 96Kbps MP3 44.100Hz 64Kbps WMA 44.100Hz 128Kbps WMA 44.100Hz 96Kbps WMA 44.100Hz 64Kbps - 24 -
WAV PCM 16bit xxhz Mono/St WAV PCM 8bit xxhz Mono/St WAV DSP 8KHz Mono WAV ACM xxhz Mono/Stereo WAV ADPCM 8KHz 4bit Mono VOX ADPCM 8KHz 4bit Mono "xx" è usato per indicare un qualsiasi valore di frequenza. - 25 -
VOC xxhz 16bit Mono/Stereo VOC xxhz u-law Mono/Stereo VOC xxhz A-Law Mono/Stereo VOC xxhz 8bit Mono/Stereo WAV u-law xxhz Mono/Stereo WAV A-law xxhz Mono/Stereo "xx" è usato per indicare un qualsiasi valore di frequenza. - 26 -
G726 4bit 8KHz Mono IFF xxhz 8bit Mono OGG Vorbis xxhz 128Kbps "xx" è usato per indicare un qualsiasi valore di frequenza. - 27 -