Sto lavorando a una politica forense che copre diversi paesi. Una delle opzioni è quella di avere l'unità del dispositivo dell'utente (laptop, workstation) acquisita (acquisita) localmente ed eseguire indagini forensi in un altro paese.
Il punto su cui sto cercando le informazioni è lo standard (best case) o le best practice (meno buone) per il processo di imaging.
Esistono diverse possibilità tecniche ( duplicatore forense , adattatori con protezione da scrittura , pura soluzione software). I link sono solo esempi.
Vorrei capire se la soluzione solo software è abbastanza valida. Le distribuzioni forensi che ho esaminato (per esempio CAINE ) hanno solo blocchi software, nel senso che sono configurati per (si spera) non consentire il montaggio RW per impostazione predefinita. E 'abbastanza?
Ho visto che ci sono anche tentativi di usare bloccanti di scrittura del software , non sono sicuro di quanto accuratamente sono stati testati.
La domanda generale sarebbe: sta utilizzando una soluzione solo software per acquisire un'immagine del disco rigido sufficiente da un punto di vista forense? In termini pratici, qualcuno potrebbe affermarlo con successo dal momento che nessun blocco di scrittura hardware sono stati utilizzati, c'è una presunzione che il disco è stato modificato durante il processo forense?