You are here: Home » Computer Forensics » Acquisizione dei dati
del.icio.us digg stumbleupon buzzup BlinkList mixx myspace linkedin facebook reddit.com ma.gnolia.com newsvine.com furl.net google yahoo technorati.com Print this page

Acquisizione dei dati

L'acquisizione dei dati da un personal computer può essere realizzata con differenti modalità, in relazione a:

  1. Metodologia operativa
  2. Sistema operativo
  3. Software di acquisizione
  4. Procedure di validazione della copia

Metodologia operativa

La prima scelta che un digital forenser deve compiere è:

  1. Smontare il supporto di memorizzazione dal computer a cui si trova collegato e collegarlo ad una macchina forense per l'acquisizione
  2. Acquisire l'immagine del disco, utilizzando il computer oggetto di analisi come sorgente e salvare il risultato su un supporto esterno rimuovibile o su una macchina forense via rete

Sistema operativo

I principali sistemi operativi che offrono soluzioni applicative (native o aggiuntive) per la copia forense dei dati sono Linux e Windows.

Per sua natura il sistema operativo Linux sembra essere il più indicato per una acquisizione dei dati in ottica forense poiché è in grado di rendere un hard disk accessibile solamente in lettura, garantendo a livello software una integrità e una non-scrittura sul supporto originale.

In ogni caso, per minimizzare il rischio di alterazione, è consigliabile utilizzare dispositivi di write blocking, che impediscano a livello hardware la scrittura sul supporto originale.

Software di acquisizione

In ambiente Linux, l'acquisizione dei dati si può realizzare utilizzando il comando nativo dd oppure una sua variante con maggiori performance, ovvero dcfldd.

Questi comandi possono realizzare una copia bit-a-bit di un intero hard disk in un file immagine, a partire da un qualsiasi disco che il sistema operativo sia in grado di interpretare.

In particolare sono supportate le partizioni EXT2FS, EXT3FS, FAT12, FAT16, FAT32, NTFS, HFS e HPFS.

Il vantaggio di questa soluzione è che è completamente gratuita, a condizione di una buona conoscenza e comprensione dei comandi di shell di un sistema operativo Linux.

Per venire incontro alle esigenze di rapidità e di praticità di utilizzo sono state sviluppate alcune distribuzioni Live di Linux, che consentono l'avvio del computer da CD o da memoria USB esterna.

Queste distribuzioni hanno il vantaggio di poter essere avviate direttamente sulla macchina oggetto di analisi (verificando, ovviamente, la sequenza di boot del personal computer) e consentono al digital forenser di individuare tutti i supporti di memorizzazione presenti nel personal computer e di accedervi in sola lettura.

Una volta individuate le fonti di dato che si vogliono duplicare, sarà sufficiente collegare un dispositivo esterno o una connessione di rete su cui salvare l'immagine dell'hard disk.

Per poter scrivere su un supporto esterno sarà necessario montare il dispositivo in modalità lettura e scrittura, tramite il comando nativo mount.

Le principali distribuzioni Live di Linux attualmente disponibili su web sono:

In ambiente Windows esistono, invece, diversi programmi applicativi che consentono la copia forense dei dati. Come specificato in precedenza, per l'acquisizione sotto Windows non sono al momento disponibili Live CD con cui avviare il computer. È quindi necessario procedere allo smontaggio fisico dell'hard disk dal computer oggetto di analisi e al collegamento ad una macchina forense dedicata. Poiché il disco viene collegato ad un sistema operativo Windows è necessario, per garantire il blocco dell'accesso in scrittura, utilizzare un write blocker (hardware o software).

I principali tool di acquisizione disponibili in ambiente Windows sono:

Un tool molto utile, sempre in ambiente Windows, è Mount Image Pro, sviluppato da Get Data, che consente di montare in modalità "sola lettura" immagini in formato dd, Encase e SMART.