[ml] attivita' forense

ciao a tutti,

questa mattina mi è capitata una mail di un fornitore che si propone per 
alcune attività di analisi forense. ci sono alcune cose che non mi 
tornano e vorrei confrontarmi con voi. la procedura proposta prevede 
infatti alcuni step che secondo me sono scorretti.

1) il disco su cui operare l'analisi non deve, secondo me, essere 
montato: è preferibile infatti effettuare una copia fisica con dd senza 
necessità di montare nessuna partizione

2) la copia di un disco per attività forensi non deve essere fatta come 
si farebbe una copia di backup: non devo limitarmi a copiare solo i 
files ma devo appunto usare uno strumento di copia fisica per copiare 
anche settori che possono risultare non occupati, non utilizzati e 
persino lo spazio non partizionabile. quindi devo sempre usare uno 
strumento come dd e non strumenti come cp

3) penso che sia sempre meglio eseguire un hash del disco/partizioni copiate

mi piacerebbe il vostro parere su questi 3 punti e una risposta 
sull'ultima domanda: a quali problemi vado incontro se uso dd su dischi 
con geometrie differenti? naturalmente il disco per la copia deve essere 
maggiore o uguale a quello sorgente...ma a parte questo, una differente 
dimensione dei cilindri cosa può comportare? posso ovviare a queste 
differenze passando gli opportuni parametri a dd?

grazie in anticipo