Copia forense

Da Wikipedia, l'enciclopedia libera.

Con la dizione copia forense (o bit-stream image) si intende l'acquisizione che genera una copia bit a bit di un dispositivo di memorizzazione su un altro dispositivo di memorizzazione. A differenza di una copia eseguita sui singoli file presenti sul filesystem, la clonazione comporta la duplicazione di tutte le zone del disco, anche quelle che non contengono alcun file direttamente visibile all'utente, definite tecnicamente aree non allocate. Poiché nella maggior parte dei filesystem la rimozione di un file implica semplicemente la cancellazione dell'indice che contiene la posizione del file su disco, il poter aver accesso alle aree non allocate permette il recupero di file cancellati o di informazioni ormai non più disponibili all'utilizzatore del sistema. La copia forense è realizzabile tramite clonazione o tramite creazione di un file immagine.

Clonazione [modifica]

La clonazione comporta una copia bit a bit del dispositivo sorgente su quello destinazione, senza riorganizzazione o compressione di quanto scritto. Questo implica che qualora il disco sorgente fosse grande X byte, il disco destinazione conterrà nei primi X byte gli stessi identici bit.

L'unico vantaggio di questo metodo è che il disco destinazione è identico a quello sorgente, il che in alcuni casi significa avere una copia esatta avviabile persino direttamente sulla macchina da cui è stato estratto il disco sorgente. Gli svantaggi sono invece il fatto che sul disco destinazione si può in genere (a meno di non lavorare con valori di offset che permettano di saltare la parte iniziale del disco già occupata) copiare soltanto un disco sorgente, unito al rischio di difformità della copia che si corre nel caso in cui il disco destinazione contenga settori difettosi.

Immagine [modifica]

La creazione di una immagine del disco, comporta la copia del disco sorgente in un file all'interno del filesystem del disco destinazione. Nel caso di creazione di un file immagine, quindi, gli X byte di cui è composto il disco sorgente saranno salvati in un file sul disco destinazione con dimensione variabile in base al tipo di codifica scelta. Nel caso di immagine detta raw, il file sarà grande esattamente X poiché i bit saranno copiati uno ad uno senza alcuna compressione o organizzazione dei dati, in maniera simile a quanto avviene per la clonazione ma con la differenza che in questo caso si sta scrivendo su di un file all'interno del filesystem contenuto nel disco destinazione, non direttamente sul disco al posto del filesystem. Sono ormai diffuse diverse modalità di codifica dell'immagine sul disco destinazione, che prevedono diverse tipologie di compressione e organizzazione dei dati. Le principali modalità acquisizione delle immagini, utilizzate spesso in alternativa alla modalità raw per risparmiare spazio, sono EWF ("Expert Witness Format", impiegato dal software Encase ma ideato dalla ASR Data) ed AFF ("Advanced Forensics Format", ideato Simson Garfinkel, il creatore della libreria AffLib). Entrambe le modalità forniscono diversi livelli di compressione, oltre alla possibilità di inserire all'interno delle immagini delle informazioni relative all'immagine sorgente.

Per ovviare ai limiti di alcuni filesystem (come il FAT32), spesso si suddivide l'immagine del disco sorgente scritta sul disco destinazione in più file, di dimensione tipicamente tra i due e i 4 GByte l'uno. EWF e AFF prevedono di default questa suddivisione, mentre per la modalità raw si può impostare la dimensione dei file generando così un file immagine definito split raw.

I principali vantaggi di questo tipo di copia forense è che sul disco destinazione potranno essere salvate diverse immagini di dischi sorgente, poiché ogni immagine corrisponderà a un file (o a più file di dimensione ridotta, in caso di suddivisione). Ulteriore vantaggio è il fatto che utilizzando i formati compressi EWF o AFF sarà possibile ridurre di parecchio la dimensione dell'immagine destinazione, in quanto le aree non utilizzate del disco e contenenti zeri verranno altamente compresse, così come i file con caratteristiche comprimibili quali testo e documenti. È molto facile, quindi, riuscire a copiare dischi di qualche centinaia di GByte in file immagine di qualche decina di GByte.

Lo svantaggio dell'utilizzo di formati di compressione delle copie forensi quali EWF e AFF risulta nella maggiore occupazione di CPU legata all'elaborazione dei dati durante le analisi che verranno svolte sui reperti. Allo stesso modo, durante l'acquisizione potrà essere richiesto un tempo maggiore dovuto al fatto che oltre alla copia viene eseguita anche una compressione con conseguente impiego di risorse di CPU.

Estratto da "http://it.wikipedia.org/w/index.php?title=Copia_forense&oldid=55780719"