Cookie Policy Questo sito utilizza cookies. Continuando nella navigazione acconsenti all'uso dei cookies.

Continua Scopri di piu

Reality Net System Solutions

Acquisizione dei dati

L’acquisizione dei dati da un personal computer può essere realizzata con differenti modalità , in relazione a:

  1. Metodologia operativa
  2. Sistema operativo
  3. Software di acquisizione
  4. Procedure di validazione della copia

Metodologia operativa

La prima scelta che un digital forenser deve compiere è:

  1. Smontare il supporto di memorizzazione dal computer a cui si trova collegato e collegarlo ad una macchina forense per l’acquisizione
  2. Acquisire l’immagine del disco, utilizzando il computer oggetto di analisi come sorgente e salvare il risultato su un supporto esterno rimuovibile o su una macchina forense via rete

Sistema operativo

I principali sistemi operativi che offrono soluzioni applicative (native o aggiuntive) per la copia forense dei dati sono Linux e Windows.

Per sua natura il sistema operativo Linux  sembra essere  il più indicato per una acquisizione dei dati in ottica forense poiché è in grado di rendere un  hard disk  accessibile solamente in lettura, garantendo a livello software una integrità  e una non-scrittura sul supporto originale.

In ogni caso, per minimizzare il rischio di alterazione, è consigliabile utilizzare dispositivi di write blocking, che impediscano a livello hardware la scrittura sul supporto originale.

Software di acquisizione

In ambiente Linux, l’acquisizione dei dati si può realizzare utilizzando il comando nativo dd oppure una sua variante con maggiori performance, ovvero dcfldd.

Questi comandi possono realizzare una copia bit-a-bit di un intero hard disk in un file immagine, a partire da un qualsiasi disco che il sistema operativo sia in grado di interpretare.

In particolare sono supportate le partizioni EXT2FS, EXT3FS, FAT12, FAT16, FAT32, NTFS, HFS e HPFS.

Il vantaggio di questa soluzione è che è completamente gratuita, a condizione di una buona conoscenza e comprensione dei comandi di shell di un sistema operativo Linux.

Per venire incontro alle esigenze di rapidità  e di praticità  di utilizzo sono state sviluppate alcune distribuzioni Live di Linux, che consentono l’avvio del  computer  da CD o da memoria USB esterna.

Queste distribuzioni hanno il  vantaggio di poter essere avviate direttamente sulla macchina oggetto di analisi (verificando, ovviamente, la sequenza di boot del personal computer) e  consentono al digital forenser di individuare tutti i supporti di memorizzazione presenti nel personal computer e di accedervi in sola lettura.

Una volta individuate le fonti di dato che si vogliono duplicare, sarà  sufficiente collegare un dispositivo esterno o una connessione di rete su cui salvare l’immagine dell’hard disk.

Per poter scrivere su un supporto esterno sarà  necessario montare il dispositivo in modalità  lettura e scrittura, tramite il comando nativo mount.

Le principali distribuzioni Live di Linux attualmente disponibili su web sono:

In ambiente Windows esistono, invece, diversi programmi applicativi che consentono la copia forense dei dati. Come specificato in precedenza, per l’acquisizione sotto Windows non sono al momento disponibili Live CD con cui avviare il computer. E’ quindi necessario procedere allo smontaggio fisico dell’hard disk dal computer oggetto di analisi e al collegamento ad una macchina forense dedicata. Poiché il disco viene collegato ad un sistema operativo Windows è necessario, per garantire il blocco dell’accesso in scrittura, utilizzare un write blocker (hardware o software).

I principali tool di acquisizione disponibili in ambiente Windows sono:

Un tool molto utile, sempre in ambiente Windows, è Mount Image Pro, sviluppato da Get Data, che consente di montare in modalità  “sola lettura” immagini in formato dd, Encase e SMART.