Ho una domanda relativa all'uso della tecnologia forense per raccogliere prove da workstation / dispositivi portatili / portatili?
Vorrei provare a spiegare meglio questo scenario, considerando un ambiente di lavoro in cui noi (come team di sicurezza tecnica) riceviamo una chiamata per le indagini nella posizione xyz per raccogliere qualche tipo di prova digitale. Al momento, non abbiamo i mezzi forensi per fare ciò, basandoci semplicemente sui mezzi manuali di base per raccogliere i dati.E.g cercando file histroy, cartelle temporanee.
Ora, dopo un mese di discussioni sui vantaggi dell'uso della tecnologia forensica, abbiamo elaborato una strategia in cui utilizzeremmo duplicatori di dischi rigidi per recuperare dati da workstation / laptop remoti e scrivere per scrivere hard-hard protetti dischi.
Ora, dove sono bloccato nell'intero processo, è come ottimizzare il trasferimento dei dati dalle unità al sistema di analisi. Il sistema di analisi in questo caso userebbe il software EnCase. Voglio sapere dalla lista sottostante quale sarebbe il modo ottimale per trasferire prove ai sistemi di analisi.
- Workstation / laptop collegato al disco rigido esterno
- Workstation / laptop collegato all'interfaccia USB
- Workstation / laptop collegati al disco rigido collegato in rete.
- Anche altri metodi non menzionati qui.
Considerando che nel nostro ambiente il volume delle unità disco passa da un terabyte all'altro. Ad esempio, un'immagine di un'unità di un terabyte copiata nel sistema di analisi attraverso qualunque canale dovrebbe essere abbastanza veloce da consentire al software forense di eseguire query complesse, ad esempio trovare file cancellati o accedere al computer tramite terminale remoto.
Voglio sapere del metodo sopra menzionato che fornisce l'analisi più veloce delle prove. Considerando che non c'è carenza di spazio per archiviare le prove digitali nel sistema di analisi.