¿Existen estándares para la adquisición de imágenes de disco de software en análisis forense?

1

Estoy trabajando en una política forense que abarca varios países. Una de las opciones es hacer que el dispositivo del usuario (computadora portátil, estación de trabajo) se adquiera (fotografíe) localmente y realizar análisis forenses en otro país.

El punto en el que busco información es el estándar (mejor caso) o las mejores prácticas (menos buen caso) para el proceso de creación de imágenes.

Hay varias posibilidades técnicas ( duplicador forense , adaptadores con protección contra escritura , solución de software puro). Los enlaces son solo ejemplos.

Me gustaría entender si la solución de solo software es lo suficientemente sólida. Las distribuciones forenses que miré ( CAINE por ejemplo) solo tienen bloques blandos, en el sentido de que están configurados para (con suerte) No permitir montajes RW por defecto. ¿Es esto suficiente?

Vi que también hay intentos de usar bloqueadores de escritura de software , no estoy seguro de la precisión con la que fueron probados.

La pregunta general sería: ¿está utilizando una solución de software únicamente para adquirir una imagen de disco duro suficiente desde una perspectiva forense? En términos prácticos, alguien podría afirmar con éxito que, dado que no hay bloqueadores de escritura de hardware fueron utilizados, existe la presunción de que el disco fue modificado durante el proceso forense?

    
pregunta WoJ 10.04.2015 - 17:01
fuente

2 respuestas

0

Este documento en Investigación digital ofrece una respuesta definitiva. De la conclusión:

  

Llegamos a la conclusión de que, aunque se realizan modificaciones en el disco, pueden ser   documentado a través de la experimentación, que puede ayudar durante una   investigación cuando surge una pregunta sobre la integridad del uso de un   CD / DVD de arranque durante una investigación. Con las pruebas adecuadas para   apoyar su elección del entorno de examen y documentar y   explicar cualquier cambio menor que el entorno pueda hacer al original   disco, por lo tanto, puede ser posible que un examinador justifique el uso   de un CD / DVD de arranque particular. Si cualquier cambio es justificable   o no, lo que es seguro es que las pruebas rigurosas de forense de arranque   Se requieren entornos de examen para apoyar su uso en digital.   forenses, y que tales entornos, incluso desarrollados por la comunidad   distribuciones forenses dedicadas, no se puede asumir que sean seguras   sin tales pruebas

Por lo tanto, la respuesta es "no lo uses" para evitar las punzadas durante el juicio.

    
respondido por el WoJ 11.04.2015 - 13:49
fuente
0
  

La pregunta general sería: está usando una solución de software únicamente para   ¿Adquirir una imagen de disco duro suficiente desde una perspectiva forense?

Depende del propósito. Si está respondiendo a un incidente y tiene la necesidad de crear una imagen de la unidad sin molestar a la máquina, entonces, si es apropiado, utilice el software de bloqueo de escritura.

Sin embargo, si cree que los resultados se utilizarán en la corte, yo diría que utilice un bloqueador de escritura de hardware. Solo porque la preservación / protección de los datos es más evidente, y las apariencias significan mucho en algunos casos.

    
respondido por el hft 10.04.2015 - 23:19
fuente

Lea otras preguntas en las etiquetas