----- Forwarded message from paolo foletto <paolo.foletto(at)gmail.com> ----- From: paolo foletto <paolo.foletto(at)gmail.com> To: lex(at)sikurezza.org Subject: Re: [lex] validit? hash del disco, validit? della prova
buongiorno, sono nuovo della lista ma molto interessato all'argomento, farei alcune considerazioni. 1)se il il disco ? stato utilizzato per avviare il sistema operativo sicuramente decine di file di sistema vengono modificati, per lo meno il file della memoria virtuale viene sicuramente cambiato, quindi se il perito vuole visionarlo dovrebbe avviarlo, mi sembra una situazione simile al principio di indeterminazione di Hisenberg l'osservatore osservando modifica la situazione da osservare, 2) probabilmente come procedura si potrebbe clonare fisicamente il disco originale A e condurre le prove peritali sul disco copia B A questo punto si avrebbe che la prova non sarebbe basata sul disco A che ? la prova, ma il disco B che ne era una copia identica prima dell'inizio delle prove peritali ma non alla fine delle prove peritali. 3) comunque il disco B avrebbe meno informazioni del disco A, i livelli di magnetizzazione residua sul disco A che potrebbero permettere di ricercare informazioni "cancellate" ma non troppo non potrebbero essere riprodotte in modo assolutamente fedele. 4) credo comunque che l'importante in questo caso siano le informazioni contenute nei file quindi ricavare calcolare l' MD5 per ciascun file potrebbe essere un metodo per avere l'impronta che possa indentificare ciascun file Paolo [..] ----- End forwarded message -----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
