Mailing List Manager wrote: > 1)se il il disco ? stato utilizzato per avviare il sistema operativo > sicuramente decine di file di sistema vengono modificati, > per lo meno il file della memoria virtuale viene sicuramente > cambiato,
Vero > quindi se il perito vuole visionarlo dovrebbe avviarlo, Falso, basta osservarne una copia identica esternamente (montandola con un write blocker su un altro OS), o se e' proprio necessario avviarne una copia per esplorarla, e poi replicare i finding sulla copia identica dell'originale > l'osservatore osservando modifica la situazione da osservare, Solo se l'osservatore e' maldestro ;) > i livelli di magnetizzazione residua sul disco A che potrebbero > permettere di ricercare informazioni "cancellate" ma non troppo > non potrebbero essere riprodotte in modo assolutamente fedele. L'idea di trovare informazioni cancellate basandosi sui livelli di magnetizzazione residua su dischi moderni e' fantascienza, o quasi; in generale non conosco nessun caso in cui si sia utilizzato tale metodo in un processo. Cio' che si usa sono le informazioni "non sovrascritte" di file cancellati o modificati, ed esse si mantengono inalterate su una copia clone. > 4) credo comunque che l'importante in questo caso siano > le informazioni contenute nei file quindi ricavare calcolare l' MD5 > per ciascun file potrebbe essere un metodo per avere l'impronta > che possa indentificare ciascun file E' una possibilita', ma se non e' stato fatto in origine, ormai e' solo wishful thinking. -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [EMAIL PROTECTED] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
