Cookie Policy Questo sito utilizza cookies. Continuando nella navigazione acconsenti all'uso dei cookies.

Continua Scopri di piu

Reality Net System Solutions

Ricerca delle prove

La ricerca delle prove è la fase più importante nel lavoro di un digital forenser.

Il primo  e più importante passo è quello di analizzare la scena del crimine e trovare i supporti su cui la prova è stata memorizzata.

Per la natura immateriale del dato digitale, esso può trovarsi su qualsiasi supporto in grado di contenerlo, da un hard disk ad una memory card di una fotocamera digitale, da un telefono cellulare ad un CD, da un lettore portatile di MP3 ad un log file su un server.

Per ciascuno dei supporti individuati è necessario preparare un Ordine di Volatilità  (Order of Volatility), ovvero capire quali sono i dati  che devono essere acquisiti prima degli altri per evitarne la cancellazione o la sovrascrittura con altri dati. Tale ordine deve quindi essere dal dato più volatile a quello più persistente.

Per fare un esempio, l’ordine di volatilità  per un personal computer potrebbe essere il seguente:

  1. Registri di sistema
  2. Memoria fisica e memoria virtuale
  3. Routing table
  4. Arp cache
  5. Tabella dei processi in esecuzione
  6. File system temporanei
  7. Hard disk
  8. Configurazione fisica e topologia di rete
  9. Media di archiviazione e di backup (CD, DVD, NAS, ecc.)

Una volta individuato l’ordine di volatilità , si procede con l’acquisizione della prova tramite copia forense

Una volta effettuata la copia, si procede alla prima compilazione della Catena di custodia.