Screenshot forense del desktop — cattura certificata

Il modulo Screenshot di C.E.R.T.O. cattura lo schermo del computer come prova digitale — schermo intero o regione, su qualsiasi monitor collegato. Non è un semplice screenshot: l'operatore seleziona soltanto la sorgente e avvia la cattura, ma non interagisce con l'immagine acquisita né può modificarla; insieme all'immagine viene acquisito lo stato del PC (ambiente, sistema, monitor) e il tutto è immediatamente sigillato con hash, analisi e doppia marca RFC 3161. È lo strumento per CTU, CTP, periti, avvocati e forze dell'ordine che devono fissare ciò che appare a schermo con valore probatorio.

Caratteristiche principali

Cosa fa questo modulo.

Cattura schermo intero o regione, anche su monitor multipli.
Blindatura forense anti-manomissione durante la cattura.
Filigrana, snapshot dell'ambiente di sistema e processi attivi.
Hash MD5/SHA-1/SHA-256/SHA-512 e marca temporale.
Fascicolo BagIt 1.0 firmato Ed25519, doppia marca RFC 3161 e CASE/UCO.

Report forense finale: il cruscotto interattivo del fascicolo screenshot — riepilogo, immagine catturata, display acquisiti, analisi, hash percettivi, ambiente operatore, catena di custodia e verifica integrità.

Differenza sostanziale

Non è un «semplice screenshot».

Uno screenshot salvato a mano è un file modificabile, senza contesto né garanzie. Qui l'immagine è prodotta dal sistema e sigillata all'istante, insieme allo stato del computer: una prova, non una semplice cattura.

L'operatore non interagisce con l'immagine

Seleziona soltanto il monitor o la regione e avvia la cattura: non apre, non ritocca e non può modificare l'immagine acquisita. Non c'è alcun passaggio manuale di editing o salvataggio.

Viene acquisito lo stato del PC

Insieme all'immagine, C.E.R.T.O. registra l'ambiente dell'operatore, le informazioni di sistema e l'elenco dei monitor collegati con la loro risoluzione: il contesto in cui la schermata è stata catturata.

Cattura di sistema, multi-monitor

L'immagine è prodotta dalle API di cattura del sistema operativo, alla risoluzione nativa di ciascun schermo (es. 3840×2160), a schermo intero o per regione, su uno qualsiasi dei monitor.

Sigillo immediato

Hash crittografici e percettivi, analisi forense, doppia marca RFC 3161 e firma Ed25519 sono applicati subito: l'immagine non è un file lasciato modificabile, ma un reperto chiuso e verificabile.

Nel report: confronto tra l'originale catturato e la versione filigranata, con le proprietà del file e gli hash di entrambe le versioni. La cattura avviene alla risoluzione nativa dei monitor (qui 3840×2160).

Pipeline forense

Come opera il modulo.

Una procedura ripetibile e documentata: dalla selezione della sorgente al sigillo crittografico, ogni passaggio lascia una traccia verificabile dentro il fascicolo.

01 · NTP

Tempo sincronizzato

Sincronizzazione NTP multi-sorgente con offset e roundtrip documentati: il momento della cattura è ancorato.

02 · SOURCE

Selezione sorgente

L'operatore sceglie il monitor (con anteprima e risoluzione) o una regione; l'elenco dei display collegati è rilevato e documentato.

03 · CAPTURE

Cattura di sistema

L'immagine è prodotta dalle API di cattura del sistema alla risoluzione nativa: nessuna interazione dell'operatore con il risultato.

04 · STATE

Stato del computer

Snapshot dell'ambiente operatore e delle informazioni di sistema (utente, hostname, monitor, OS): il contesto della cattura.

05 · HASH

Impronte

Hash crittografici MD5/SHA-1/SHA-256/SHA-512 e hash percettivi (aHash/dHash/pHash/wHash) dell'immagine catturata.

06 · ANALYSIS

Analisi e filigrana

Analisi forense dell'immagine (ELA, istogramma, statistiche) e generazione di una versione filigranata accanto all'originale autoritativo.

07 · SEAL

Firma e doppia marca

manifest.json firmato Ed25519 + doppia marca RFC 3161, confezionamento in fascicolo BagIt 1.0 con descrizione CASE/UCO e verificatori verify.sh / verify.bat.

Contenuto del fascicolo

Tutto ciò che viene generato.

Ogni cattura produce un insieme coordinato di artefatti, ciascuno con un ruolo forense preciso, organizzati in cartelle dai nomi parlanti dentro data/.

Immagine catturata

Lo screenshot prodotto dal sistema, conservato così com'è col proprio hash: è il media autoritativo del fascicolo, mai modificato a mano.

evidence/<screenshot>

Versione filigranata

Una copia con filigrana C.E.R.T.O. per la consultazione e la condivisione, con il proprio hash distinto da quello dell'originale.

evidence/<screenshot>_watermarked

Display acquisiti

L'elenco dei monitor collegati con risoluzione e fattore di scala al momento della cattura: il contesto hardware dello schermo.

metadata/displays.json

Ambiente operatore

Lo snapshot dell'ambiente e delle informazioni di sistema (utente, hostname, sistema operativo): chi e dove ha eseguito la cattura.

reports/system-information.txt

Analisi e hash percettivi

L'analisi forense dell'immagine (ELA, istogramma, statistiche) e gli hash percettivi, per documentarne lo stato e ritrovarne eventuali versioni modificate.

reports/analysis/ · hashes/perceptual-hashes.json

Report forense e hash

Il rapporto in PDF e TXT con la propria marca RFC 3161 e l'inventario completo degli hash (MD5/SHA-1/SHA-256/SHA-512) di tutti gli artefatti.

reports/report.pdf · hashes/file-hashes.json

Auto-validazione

Un fascicolo che si verifica da solo.

Il fascicolo non richiede C.E.R.T.O. per essere validato: chiunque, anche fra anni, può verificarne l'autenticità con strumenti standard. La struttura BagIt 1.0 e il cruscotto interattivo lo rendono auto-esplicativo.

interactive.html — il cruscotto offline navigabile: immagine catturata, display acquisiti, analisi, hash percettivi, ambiente operatore, inventario hash e verifica integrità lato client.
manifest.json firmato Ed25519 (RFC 8032), legato all'identità del dispositivo registrato al primo avvio.
Doppia marca RFC 3161: ancora interna su data/tsa.tsr e sigillo esterno su tagmanifest-sha256.txt.tsr. Cascata gratuita Sectigo→DigiCert→GlobalSign; InfoCert qualificata eIDAS opzionale.
manifest-sha256.txt e tagmanifest-sha256.txt (RFC 8493): fixity del payload e dei file di controllo; nessun file può essere aggiunto o alterato senza che la verifica fallisca.
metadata/evidence.case.jsonld — descrizione CASE 1.3 / UCO 1.4 della prova, e tsa-ca.pem per la verifica della marca anche offline.
verify.sh / verify.bat — verificatori autonomi: ricalcolano gli hash, controllano la doppia marca e la firma, e dichiarano «BUNDLE VALIDO».

74493e6a…_bagit/
├─ bagit.txt  ·  bag-info.txt  ·  README.txt
├─ manifest-sha256.txt            fixity del payload
├─ tagmanifest-sha256.txt(.tsr)  fixity tag + sigillo esterno RFC 3161
├─ tsa-ca.pem  ·  verify.sh  ·  verify.bat
├─ metadata/evidence.case.jsonld   CASE/UCO
└─ data/
   ├─ manifest.json  firmato Ed25519  ·  tsa.tsr  ancora interna
   ├─ interactive.html     cruscotto offline
   ├─ evidence/   screenshot catturato + versione filigranata
   ├─ reports/    report · analisi · ambiente operatore
   ├─ hashes/     hash quadruplo + hash percettivi
   └─ metadata/ (display) · logs/

FAQ

Domande frequenti

Screenshot forense del desktop, cattura non interattiva, stato del PC e verifica del fascicolo: le domande più comuni.

Perché non è un «semplice screenshot»?

Perché l'operatore seleziona soltanto il monitor o la regione e avvia la cattura: non interagisce con l'immagine acquisita né può modificarla. L'immagine è prodotta dal sistema, insieme a uno snapshot dello stato del PC, e immediatamente sigillata con hash e marca temporale — non è un file modificabile salvato a mano.

Cosa viene acquisito oltre all'immagine?

Lo stato del computer al momento della cattura: ambiente dell'operatore e informazioni di sistema, l'elenco e la risoluzione dei monitor collegati, il tempo sincronizzato via NTP, gli hash crittografici e percettivi e l'esito dell'analisi forense dell'immagine.

Si possono catturare più monitor o solo una porzione di schermo?

Sì: si può catturare lo schermo intero di uno qualsiasi dei monitor collegati (alla loro risoluzione nativa, es. 3840×2160) oppure selezionare una regione specifica. Tutti i display rilevati sono documentati nel fascicolo.

Come si garantisce che lo screenshot non sia stato alterato?

L'immagine catturata è immediatamente sottoposta ad hashing (MD5/SHA-1/SHA-256/SHA-512) e sigillata con doppia marca RFC 3161 e firma Ed25519 nel fascicolo BagIt; una versione filigranata accompagna l'originale autoritativo. Qualunque modifica successiva fa fallire la verifica.

Lo screenshot certificato è valido come prova in giudizio?

Il fascicolo segue standard riconosciuti (ISO/IEC 27037, BagIt RFC 8493, RFC 3161, CASE/UCO) con firma Ed25519 e doppia marca temporale; autenticità e integrità sono verificabili da chiunque, anche offline. La cattura non interattiva e l'acquisizione del contesto rafforzano il valore probatorio; la valutazione finale spetta all'autorità giudicante.

Che differenza c'è con il modulo «Repertazione Immagini»?

Il modulo Immagini certifica un file immagine già esistente fornito dall'operatore; il modulo Screenshot cattura ex novo lo schermo del computer e ne acquisisce lo stato. In entrambi i casi segue la stessa analisi approfondita e lo stesso confezionamento forense.

Screenshot