4 – Acquisizione della memoria
Memory Acquisition - Contestualizzazione
Post Mortem Analysis | Alcune Caratteristiche
- Analisi di un dead system (sistema spento)
- Ripetibilità dell'analisi
- Contenuto della memoria RAM, non presente
Live Analysis | Alcune Caratteristiche
- Analisi di un live system (sistema acceso)
- Analisi della memoria RAM (memory analysis)
- Analisi dei processi in esecuzione
- Analisi di alcune attività di rete
- Ecc.
- Possibile irripetibilità di alcuni passi
- Minimizzare l'impatto sul sistema
Nelle precedenti lezioni, ci siamo occupati di acquisizione di dati, da un disco fisso, e dei processi di file recovery e di data carving.
Ora, ci focalizzeremo su alcuni degli aspetti principali relativi alla live forensics.
- Alcuni passi della live analysis, potrebbero quindi risultare irripetibili, per via principalmente delle seguenti problematiche:
- Problematiche di carattere tecnico: Non è possibile effettuare l'eventuale analisi di alcuni dati, senza alterare (quantomeno in parte) lo stato del sistema (contenuto della memoria RAM, ecc.)
- OSSERVAZIONE IMPORTANTE: Anche la fase di acquisizione di alcuni dati, può provocare l'alterazione dello stato della macchina (ad esempio, l'acquisizione del contenuto della memoria RAM)
- Problematiche di carattere temporale: È necessario considerare inoltre che lo stato della macchina, all'atto dell'attività, è frutto del «momento». È estremamente complesso (se non impossibile) riprodurre lo stato.
- Abbiamo precedentemente osservato che non tutti i dati hanno la stessa volatilità, per cui, come visto, è assolutamente indispensabile definire un ordine di volatilità (Order Of Volatility – OOV)
- In virtù della natura volatile, della memoria RAM, i dati in essa contenuti, hanno generalmente elevata priorità nell'OOV