Che cos’è un’immagine forense? Che cosa è un clone? In che modo un’immagine forense è diversa da un clone? Queste sono domande che affrontiamo frequentemente a Capsicum. Anche se sulla sua faccia questo sembrerebbe essere facilmente risposto, è molto più sfumato di quanto si possa immaginare. Nel corso degli anni ci sono stati molti termini usati per descrivere un’immagine forense contro un clone e il processo di creazione di un backup forense. Termini come immagine speculare, copia esatta, immagine bit-stream, duplicazione del disco, clonazione del disco e mirroring hanno reso sempre più difficile capire cosa esattamente viene prodotto o richiesto.
In linea generale, i backup forensi sono ottenuti catturando tutti i dati da un supporto sorgente (computer, telefoni cellulari, tablet, ecc.) in modo forense in modo che tutti i dati originali siano inalterati. Ciò significa che viene raccolto l’intero contenuto del supporto di origine, incluso lo spazio inutilizzato, tutti i dati slack, tutto lo spazio non allocato e altri media.
Come si distingue un’immagine e un Clone?
Un’immagine forense è un duplicato completo di supporti elettronici come un’unità disco rigido. Artefatti (Informazioni o dati creati a seguito dell’uso di un dispositivo elettronico che mostrano attività passate) come file cancellati, frammenti di file cancellati e dati nascosti possono essere trovati in slack (spazio inutilizzato creato tra il marcatore di fine file e la fine del cluster del disco rigido in cui il file è memorizzato e lo spazio non allocato (La parte inutilizzata di un disco rigido). Questo duplicato esatto dei dati viene indicato come una copia bit-by-bit del supporto di origine e viene chiamato un’immagine. Le immagini sono istantanee pietrificate, che vengono utilizzate per l’analisi e la conservazione delle prove. Le immagini non possono essere utilizzate come copie di lavoro.
Un clone forense è anche un duplicato completo di supporti elettronici come un’unità disco rigido. Artefatti come file cancellati, frammenti di file cancellati e dati nascosti possono essere trovati nel suo spazio libero e non allocato. Questo duplicato esatto dei dati viene indicato come una copia bit-by-bit del supporto di origine e viene chiamato un clone. I cloni sono istantanee di lavoro, che sono modificabili e non necessariamente conservati. I cloni vengono utilizzati come copie di lavoro per sostituire le prove originali per l’analisi e per la conservazione dei dati.
Un hash (Uno schema di rilevamento degli errori che esegue il calcolo sul valore binario del pacchetto / frame e quindi che viene aggiunto al pacchetto / frame come campo a lunghezza fissa. Una volta ricevuto il pacchetto / frame viene eseguito un calcolo simile. Se il risultato non corrisponde al primo calcolo, si è verificata una modifica dei dati durante la trasmissione. Il calcolo può essere una somma (Checksum), un resto di una divisione o il risultato di una funzione di hashing) di un dispositivo originale può convalidare se il supporto è un duplicato esatto (copia forense del suono). Qualsiasi variazione nel valore hash di un originale al suo Clone o Immagine confermerà che non sono copie esatte. Questo è importante sapere quando si tratta di questioni legali.
Perché è importante presso il vostro studio legale per un caso legale?
Mentre un clone può essere utilizzato per l’analisi forense digitale, in genere viene utilizzato per creare copie di lavoro o unità di sostituzione esatta.
Le immagini vengono utilizzate principalmente per l’analisi forense e per preservare i dati originali. Sono pietrificati e nel loro formato di immagine non possono essere modificati.
Capsicum ha recentemente avuto un caso strettamente correlato a questo argomento. Un avvocato è stato portato a credere che un’immagine e un clone fossero gli stessi. L’avvocato ha chiesto un’immagine in modo da poter rivedere i file da un computer. Gli esperti di Capsicum hanno tenuto una riunione di raccolta dei requisiti e sono stati in grado di arrivare alla radice di quali prodotti di lavoro erano richiesti. Siamo stati in grado di spiegare che senza strumenti forensi l’immagine non era leggibile. Abbiamo inoltre spiegato che mentre un clone poteva essere rivisto e cercato, i dati originali sarebbero stati modificati. Alla fine, dopo aver collaborato con l’avvocato, abbiamo prodotto sia Clone che Image. A Capsicum, forniamo una profonda competenza tecnica e siamo esperti nel condurre o partecipare alla vostra indagine elettronica.
Indipendentemente dal livello di complessità, il team di esperti tecnici e legali di Capsicum Group è dotato della tecnologia all’avanguardia e di strategie intensive per il tuo successo. Scopri di più sui nostri servizi di recupero forense e sicurezza informatica a Philadelphia, New York e nel sud della Florida collegandoti con noi tramite la nostra pagina di contatto o chiamando il numero 1-888-220-3101.
Ecco alcuni articoli aggiuntivi scritti da Capsicum che potrebbero interessarti:
Come rompere un PDF protetto
Solo Text Me: Top 5 Domande Gli esperti di Digital Forensics sono invitati per quanto riguarda le prove dei messaggi di testo
Metadati: La pistola fumante