Re: [ml] attivita' forense

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

ti_con_zero wrote:
> la procedura proposta prevede
> infatti alcuni step che secondo me sono scorretti.
> 
> 1) il disco su cui operare l'analisi non deve, secondo me, essere
[CUT]
> 2) la copia di un disco per attività forensi non deve essere fatta come
[CUT]

Queste osservazioni sono *assolutamente* sacrosante e si leggono
nell'introduzione di qualsiasi documento che parli di analisi forense.
Per carità, sicuramente dipende da cosa si vuole cercare e dai motivi
per cui si conduce l'analisi, ma in ogni caso è l'unico modo che
garantisce di poter replicare "all'infinito" l'analisi giungendo al
medesimo risultato.

> 3) penso che sia sempre meglio eseguire un hash del disco/partizioni
> copiate

Questo non serve per garantire la correttezza dell'analisi, ma serve per
garantire che la copia corrisponda all'originale.

> a quali problemi vado incontro se uso dd su dischi
> con geometrie differenti?

Normalmente il dd lo fai su un file che poi monterai ro in loop.

- --
Flavio Visentin
GPG Key: http://www.zipman.it/gpgkey.asc

There are only 10 types of people in this world:
those who understand binary, and those who don't.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (GNU/Linux)

iD8DBQFEY5gSusUmHkh1cnoRAjrHAJ9QSzHvnfEdoIJ7YQIk4WlUNURF6ACdHyZu
m67lOTrz1giCC+e9XdHEpuQ=
=LKO/
-----END PGP SIGNATURE-----