Le fasi di una perizia forense – iRecovery Forensics

Per svolgere una perizia forense si possono svolgere alcune o tutte le seguenti attivitá: identificazione, acquisizione e preservazione, analisi, report.

analisi forense

L’attivitá di identificazione consiste nel riconoscere quali potrebbero essere le fonti di origine del dato.
E’ una fase meno banale di quanto si possa pensare, infatti aumenta sempre di piú il numero di dispositivi digitali in grado di contenere informazioni, siano essi sistemi di backup di design o dispositivi IOT, quali smartwatch, braccialetti intelligenti, etc.

L’attivitá di acquisizione forense e preservazione presenta innanzitutto due scenari distinti: L’acquisizione “live” di un sistema giá acceso e l’acquisizione di un sistema digitale spento. Nel caso il sistema sia acceso si devono usare tecnologie in grado di raccogliere le cosiddette “evidenze volatili”, come ad esempio memorie, processi e connessioni attive, utenti loggati…, che si perdono nel momento in cui il sistema viene spento. In questa fase inoltre il tecnico avrá cura di utilizzare funzioni di calcolo Hash (MD5, SHA256 ad esempio) per dimostrare che il reperto di origine coincide con la copia digitale utilizzata per la perizia forense, garantendone altresí la ripetibilitá.

Svolte tutte le operazioni preliminari si puó quindi procedere con l’attivitá cardine di una perizia forense: l’analisi. In questa fase il perito forense utilizza le sue conoscenze informatiche e diversi software per far emergere dati cancellati, costruire timeline, ricercare keyword e individuare tracce digitali.

www.irecoverydata.com