Re: [ml] attivita' forense

ti_con_zero wrote:
> 
> 1) il disco su cui operare l'analisi non deve, secondo me, essere
> montato: è preferibile infatti effettuare una copia fisica con dd senza
> necessità di montare nessuna partizione

genericamente è giusto lasciarlo smontato, cmq sia la struttura fisica
del disco non cambia se è montato o meno, cambia la visione logica
all'interno del sistema. tieni conto che c'è il rischio quando si
interviene in un sistema che sta lavorando che lo smontaggio del disco
(o peggio il riavvio della macchina) faccia partire script di "pulizia".

> 2) la copia di un disco per attività forensi non deve essere fatta come
[...]
> strumento come dd e non strumenti come cp

chiaramente. potrebbero esserci partizioni smontate o di tipologie
differenti.

> 3) penso che sia sempre meglio eseguire un hash del disco/partizioni
> copiate

questo è obbligatorio, altrimenti in tribunale c'è la possibilità di
sostenere che la copia su cui si è svolta l'analisi non sia conforme
all'originale.

> sull'ultima domanda: a quali problemi vado incontro se uso dd su dischi
> con geometrie differenti? naturalmente il disco per la copia deve essere

dd lo puoi fare anche verso un file, e poi montare il file su un device.