Ci sono degli standard per l'acquisizione di immagini disco del software in medicina legale?

1

Sto lavorando a una politica forense che copre diversi paesi. Una delle opzioni è quella di avere l'unità del dispositivo dell'utente (laptop, workstation) acquisita (acquisita) localmente ed eseguire indagini forensi in un altro paese.

Il punto su cui sto cercando le informazioni è lo standard (best case) o le best practice (meno buone) per il processo di imaging.

Esistono diverse possibilità tecniche ( duplicatore forense , adattatori con protezione da scrittura , pura soluzione software). I link sono solo esempi.

Vorrei capire se la soluzione solo software è abbastanza valida. Le distribuzioni forensi che ho esaminato (per esempio CAINE ) hanno solo blocchi software, nel senso che sono configurati per (si spera) non consentire il montaggio RW per impostazione predefinita. E 'abbastanza?

Ho visto che ci sono anche tentativi di usare bloccanti di scrittura del software , non sono sicuro di quanto accuratamente sono stati testati.

La domanda generale sarebbe: sta utilizzando una soluzione solo software per acquisire un'immagine del disco rigido sufficiente da un punto di vista forense? In termini pratici, qualcuno potrebbe affermarlo con successo dal momento che nessun blocco di scrittura hardware sono stati utilizzati, c'è una presunzione che il disco è stato modificato durante il processo forense?

    
posta WoJ 10.04.2015 - 17:01
fonte

2 risposte

0

Questo documento in Digital Investigation fornisce una risposta definitiva. Dalla conclusione:

We conclude that even though disk alterations are made, they can be documented through experimentation, which can help during an investigation when a question arises on the integrity of using a bootable CD/DVD during an investigation. With the proper testing to support their choice of examination environment and to document and explain any minor changes that environment may make to the original disk, it may therefore be possible for an examiner to justify the use of a particular bootable CD/ DVD. Whether any changes are justifiable or not, what is certain is that rigorous testing of bootable forensic examination environments is required to support their usage in digital forensics, and that such environments, even community-developed forensics-dedicated distributions, cannot be assumed to be safe without such testing

Quindi la risposta è "non usarlo" per evitare il pignoramento durante la prova.

    
risposta data 11.04.2015 - 13:49
fonte
0

The overall question would be: is using a software-only solution to acquire a hard drive image sufficient from a forensics perspective?

Dipende dallo scopo. Se si sta rispondendo a un incidente e si ha la necessità di visualizzare l'unità senza disturbare la macchina, potrebbe essere opportuno utilizzare il blocco della scrittura del software.

Tuttavia, se pensate che i risultati saranno utilizzati in tribunale, direi per favore basta usare un blocco di scrittura hardware. Se solo perché la conservazione / protezione dei dati è manifestamente più evidente ... e le apparenze significano molto in alcuni casi.

    
risposta data 10.04.2015 - 23:19
fonte

Leggi altre domande sui tag