Post

Visualizzazione dei post da gennaio, 2010

Il settore danneggiato e l'acquisizione forense

Se si deve acquisire un hard disk in maniera forense, ossia con tutti i crismi necessari al fine di garantire che la copia sia identica all'originale, a tutti quelli che operano nel settore viene subito in mente l'uso di DD, DCFLDD o DC3DD (nel mondo Open Source GNU/Linux), con le classice opzioni e parametri. Gli approcci sono due: 1) Ottimistico (consideriamo il disco sano e tutti i settori sani) 2) Pessimistico (consideriamo che il disco abbia qualche settore danneggiato) Nel caso in cui l'approccio ottimistico sia sconfessato, perchè durante l'acquisizione ci si ritrova con degli errori di lettura, allora si tenderà a porsi nell'ottica pessimistica, a volte anche ricominciando tutto d'accapo. Esaminiamo gli scenari: dd if=/dev/sdb of=/media/sdc1/disco.dd conv=noerror,sync bs=32K Il suscritto comando leggerà blocchi da 32Kb dal disco /dev/sdb e scriverà sul disco destinazione /media/sdc1 (montato in scrittura) il file disco.dd, l'opzione conv=noerror,syn