Lavoriamo con un appaltatore per quanto riguarda un computer compromesso. Il contraente ha chiesto un dd dump del drive. Tuttavia, la mia comprensione è che dd consentirebbe al contraente di recuperare i file cancellati.
Come potrei produrre un'immagine che sarebbe avviabile / utile dal punto di vista legale, ma non consentire il recupero dei file cancellati?
Sebbene ci siano modi per compattare tutti i file su un sistema e copiare / aggiornare il record di avvio, questo non è forense. L'unico approccio legale valido è quello di copiare tutto esattamente così com'è e preservarlo. Potresti essere in grado di copiare tutto e quindi azzerare tutto lo spazio non allocato (pulizia spazio libero), ma questo potrebbe limitare la tua capacità di usarlo per qualcosa di diverso dal provare a scoprire cosa è successo. Anche in questo caso limiterà la tua capacità di scoprire determinati tipi di attacchi.
Se il tuo obiettivo è cercare un'azione civile o penale, hai una dura battaglia per dimostrare che qualsiasi tipo di modifica allo stato del sistema è appropriata per le prove in qualsiasi giurisdizione. Da una posizione di testimoni esperti per il lato opposto, pioverei l'inferno dappertutto. Questo è come pulire i muri prima di indagare su una scena di omicidio.
Leggi altre domande sui tag tools incident-response