Analisi Forense di Microsoft Teams.

Abstract

La diffusione di Microsoft Teams nei contesti aziendali, educativi e governativi ne ha consolidato il ruolo come fonte primaria di evidenze digitali. Nel 2023, Microsoft ha migrato il client desktop di Teams dall’infrastruttura basata su Electron a un’architettura WebView2, modificando in modo sostanziale le modalità di archiviazione dei dati attraverso l’utilizzo dell’ambiente condiviso di Microsoft Edge. Tale cambiamento ha reso parzialmente obsolete numerose metodologie e strumenti forensi preesistenti, generando un significativo divario di conoscenze per gli analisti. Il presente lavoro colma questa lacuna proponendo un’analisi forense sistematica del nuovo client di Teams basato su WebView2 in ambiente Windows. Mediante un approccio di tipo black box condotto in un contesto controllato, sono stati identificati e mappati i nuovi percorsi di memorizzazione e i formati dei dati associati alle principali attività utente. I risultati evidenziano la possibilità di recuperare in modo affidabile artefatti critici, tra cui messaggi di chat, trasferimenti di file e metadati delle chiamate, dalle nuove strutture dati introdotte. Per tradurre tali risultati in uno strumento operativo, è stato progettato e validato un workflow open source e un plugin dedicato per Autopsy, finalizzato all’estrazione e all’analisi automatizzata degli artefatti. Questo contributo fornisce alla comunità della digital forensics una mappatura aggiornata degli artefatti del nuovo client Microsoft Teams e uno strumento pratico per mantenere le capacità investigative allineate all’evoluzione delle moderne piattaforme applicative.

The widespread adoption of Microsoft Teams in corporate, educational, and governmental sectors has established it as a critical source of digital evidence. In 2023, Microsoft transitioned the Teams desktop client from an Electron framework to a WebView2 architecture, fundamentally altering data storage by leveraging the shared Microsoft Edge environment. This shift rendered many existing forensic tools and methodologies obsolete, creating a significant knowledge gap for investigators. This thesis addresses this gap by presenting a systematic forensic analysis of the new WebView2-based Teams client on Windows. Using a black-box methodology in a controlled environment, the study identifies and maps the new storage locations and data formats associated with key user activities. The results demonstrate that crucial artifacts, including chats, file transfers, and call metadata, can be reliably recovered from the new data structures. To translate these findings into a practical solution, an open-source workflow and a custom Autopsy plugin were developed and validated for automated artifact extraction and analysis. This work provides the digital forensics community with both an updated map of forensic artifacts for the new Microsoft Teams architecture and an immediately usable tool to ensure investigative capabilities remain aligned with the evolution of modern application platforms.