On Thu, 2007-09-06 at 09:31 +0200, Ing. Stefano Centineo - AMAP S.p.A. wrote: > Se il sistema e' Win, come ti sarai accorto facendo una ricerca degli > "ultimi file modificati" quando cerchi un file, ti ritrovi con un mare > di > file > che non hai mai toccato e che sono, da sistema, aggiornati alla data > odierna. Non ho mai approfondito il perche'.
Se usi explorer windows cerca sempre di aprire tutti if file per mostrare una eventuale icona embedded, e' tipico (e lo fa pure via rete, sigh!) > In caso di analisi forense utilizzo altri strumenti con montaggio SOLO > R > per il calcolo hash. In alcuni sistemi operativi anche il montaggio RO garantisce che i file non vengano toccati ma alcune aree di metadati del disco possono essere modificate comunque. E' per questo fare l'hash md5 di tutto il disco di solito non ha senso ma si fa invece l'hash md5 di ogni singolo file presente (oltre ad una copia diretta bit a bit di tutto il disco tenendolo completamente offline). Simo.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
