Ricerca delle prove
La ricerca delle prove è la fase più importante nel lavoro di un digital forenser.
Il primo e più importante passo è quello di analizzare la scena del crimine e trovare i supporti su cui la prova è stata memorizzata.
Per la natura immateriale del dato digitale, esso può trovarsi su qualsiasi supporto in grado di contenerlo, da un hard disk ad una memory card di una fotocamera digitale, da un telefono cellulare ad un CD, da un lettore portatile di MP3 ad un log file su un server.
Per ciascuno dei supporti individuati è necessario preparare un Ordine di Volatilità (Order of Volatility), ovvero capire quali sono i dati che devono essere acquisiti prima degli altri per evitarne la cancellazione o la sovrascrittura con altri dati. Tale ordine deve quindi essere dal dato più volatile a quello più persistente.
Per fare un esempio, l'ordine di volatilità per un personal computer potrebbe essere il seguente:
- Registri di sistema
- Memoria fisica e memoria virtuale
- Routing table
- Arp cache
- Tabella dei processi in esecuzione
- File system temporanei
- Hard disk
- Configurazione fisica e topologia di rete
- Media di archiviazione e di backup (CD, DVD, NAS, ecc.)
Una volta individuato l'ordine di volatilità, si procede con l'acquisizione della prova tramite copia forense
Una volta effettuata la copia, si procede alla prima compilazione della Catena di custodia.