Contestualizzazione

Post Mortem Analysis

• Analisi di un dead system
• Ripetibilità dell'analisi
• Contenuto della memoria RAM non presente

Live Analysis

• Analisi di un live system
• Analisi della memoria RAM
• Possibile irripetibilità di alcuni passi
• Minimizzare l'impatto sul sistema

Problematiche

• Alcuni passi della live analysis potrebbero risultare irripetibili, principalmente per le seguenti problematiche:
  • Problematiche di carattere tecnico: Non è possibile effettuare l'eventuale analisi di alcuni dati senza alterare lo stato del sistema
  • Problematiche di carattere temporale: Lo stato della macchina, all'atto dell'attività, è frutto del momento, ed è estremamente complesso (se non impossibile) riprodurre lo stato

Order Of Volatility (OOV)

• Abbiamo precedentemente osservato che non tutti i dati hanno la stessa volatilità, per cui è assolutamente indispensabile definire un ordine di volatilità
• In virtù della natura volatile della memoria RAM, i dati in essa contenuti hanno generalmente elevata priorità nell'OOV
  • Risulta quindi importante il processo di acquisizione del contenuto della memoria

Memory Dump e Processo di Memory Acquisition

• Un memory dump è una istantanea del contenuto della memoria RAM
• Il processo di acquisizione di un memory dump è detto memory acquisition
• Un memory dump può essere acquisito da tool esterni
• Talvolta è il SO stesso che produce automaticamente un memory dump