Sto mettendo le mani su un sistema (un laptop, un disco rigido) che era sotto custodia di un LEO per un periodo di tempo abbastanza significativo. Il portatile esegue Windows XP Professional, con una partizione di ripristino, e il disco rigido è un'unità da 2,5 pollici da 40 GB con un file system NTFS
Interamente per ragioni accademiche, sto pensando di documentare in modo forense le unità con un fork forense di DD (sto pensando se dcfldd ), quindi eseguirne una copia.
Considerando che ho un'idea di quanto tempo il sistema è stato fuori dalle nostre mani, sto anche pensando di montare il registro per controllare i dispositivi che sono stati collegati al sistema durante quel periodo (supponendo che non abbiano fatto tutto offline come buoni panda) e controllando i file che sono stati modificati durante quel periodo (c'è un modo semplice per farlo?).
Mi manca qualcosa? c'è un altro posto dovrei cercare?