Re: [ml] attivita' forense

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2006 ml@sikurezza.org
Soggetto: Re: [ml] attivita' forense
Mittente: Matteo G.P. Flora
Data: Mon, 22 May 2006 11:50:00 +0200 (CEST)

On 5/21/06, Paolo Pedaletti <paolo.pedaletti@xxxxxxxxxxx> wrote:

scusa ma.... se il sistema operativo e' "operativo" appunto, come
possono coincidere le immagini prima e dopo il salvataggio?
solo il DOS, monotasking monoutente puo' rimanere inalterato cosi' a
lungo.


Beh, in "stasi" è possiibile (e spesso capita) che il tutto sia
inalterato, soprattutto in visione del fatto che gli eseguibili
utilizzati sono lanciati da CD di helix (o similia).

Senza questa certezza della copia "reale" non mi azzarderei ad una
forensics sui dati recuperati... A questo punto meglio un bel "pull
the plug*" dopo aver fatto la live forensics...

E poi una acquisizione "non live"... Sai, non vorrei diver motivare
perchè non coincidono gli hash...

My 2 cents as always :)

MgpF

*pull the plug: stacco la spina DALLA PARTE DEL PC... Anche qui la
letteratura si spreca...

--
Matteo G.P. Flora | mf@xxxxxxxxxxxxxxx | www.MatteoFlora.com
Pres. Milano AIP-ITCS #2657 | IEEE CS Member #80409490
Privacy & Security Consultant | Forensic Examiner | SEO Expert
Secure Channel | pgp F3B6BC10 | 1984-at-nym.hash-dot-com

In risposta a:
- [ml] attivita' forense, ti_con_zero
- Re: [ml] attivita' forense, Daniele Palumbo
- Re: [ml] attivita' forense, Matteo G.P. Flora
- Re: [ml] attivita' forense, Paolo Pedaletti

Data:
- precedente: [ml] Possibile intrusione ?, Alessandro
- successivo: Re: [ml] Re: gestione allarmi, Paolo Ottolino
- indice

Argomento:
- precedente: Re: [ml] attivita' forense, Paolo Pedaletti
- successivo: [ml] Test Sicurezza, Logos
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005