Re: [ml] attivita' forense

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2006 ml@sikurezza.org
Soggetto: Re: [ml] attivita' forense
Mittente: A. B.
Data: Fri, 12 May 2006 12:19:38 +0200 (CEST)

On 5/9/06, ti_con_zero <ti_con_zero@xxxxxxxxx> wrote:

ciao a tutti,

questa mattina mi è capitata una mail di un fornitore che si propone per
alcune attività di analisi forense. ci sono alcune cose che non mi
tornano e vorrei confrontarmi con voi. la procedura proposta prevede
infatti alcuni step che secondo me sono scorretti.

1) il disco su cui operare l'analisi non deve, secondo me, essere
montato: è preferibile infatti effettuare una copia fisica con dd senza
necessità di montare nessuna partizione


Esatto, la partizione non deve essere montata per garantire la protezione
in scrittura. A tale proposito sarebbe consigliabile utilizzare un dispositivo
"write-block".

2) la copia di un disco per attività forensi non deve essere fatta come
si farebbe una copia di backup: non devo limitarmi a copiare solo i
files ma devo appunto usare uno strumento di copia fisica per copiare
anche settori che possono risultare non occupati, non utilizzati e
persino lo spazio non partizionabile. quindi devo sempre usare uno
strumento come dd e non strumenti come cp


Assolutamente corretto, altrimenti non avrei una copia conforme
e perderei tutte quelle informazioni presenti in file cancellati, slack,
etc...

3) penso che sia sempre meglio eseguire un hash del disco/partizioni copiate


Esatto anche questo: in questo modo hai la certezza di aver eseguito una
copia corretta

mi piacerebbe il vostro parere su questi 3 punti e una risposta
sull'ultima domanda: a quali problemi vado incontro se uso dd su dischi
con geometrie differenti? naturalmente il disco per la copia deve essere
maggiore o uguale a quello sorgente...ma a parte questo, una differente
dimensione dei cilindri cosa può comportare? posso ovviare a queste
differenze passando gli opportuni parametri a dd?


Non credo ci siano problemi: il disco sorgente viene visto come
un device a blocchi dal quale attingere i dati e la destinazione è un
file immagine che contiene la copia esatta dei dati letti dalla sorgente.
Una volta ottenuto il file immagine lo puoi analizzare come tale (tutti
i tool di forensic gestiscono le immagini create con dd) oppure lo puoi
montare tramite il device di loop senza doverlo obbligatoriamente ripristinare
su un disco fisico.

In risposta a:
- [ml] attivita' forense, ti_con_zero

Data:
- precedente: R: R: [ml] Leggete e meditate..., Massimo Baschieri
- successivo: Re: [ml] [WinXP] Muose che si muove da solo, Lino Polo
- indice

Argomento:
- precedente: Re: [ml] attivita' forense, Valentino
- successivo: Re: [ml] attivita' forense, Daniele Palumbo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005