Pillole di Analisi Forense: Integrità del dato acquisito
- Andrea Covino
- Visite: 4372
Pillole di #analisiforense
Integrità del dato acquisito
La prova dell’integrità e dell’autenticità del dato, può essere fornita da sistemi crittografici e di firma digitale.
Viene calcolato un valore numerico, che ha la funzionalità dell’impronta digitale, sia per un singolo file che per l’intero dispositivo acquisito.
Confrontando il valore prima e dopo l’analisi si può essere sicuri che non sono state introdotte modifiche.
Un tool utile a tale scopo è aimage è uno strumento per creare una copia forense di un dispositivo in formato aff.
L'immagine risultante può essere in formato raw fatta con dd, in formato aff, o anche AccessData’s Forensic Toolkit (FTK).
AFF sta per Advanced Forensic Format che è un formato aperto con molteplici vantaggi:
-
Può memorizzare metadati arbitrari.
-
L'immagine può essere compressa con un livello di compressione elevato.
-
L'immagine risultante può essere crittografata.
-
L'immagine risultante può essere tagliata in pezzi più piccoli per adattarli su media o filesystem che non possono contenere file di grandi dimensioni.