Order of Volatility (OOV)
Dal più volatile al meno volatile — si acquisisce sempre in quest'ordine:
- Registri CPU e cache
- RAM — processi, connessioni, password in chiaro, clipboard
- File di paging / swap — estensione della RAM su disco, meno volatile
- Dati di rete — traffico in transito, tabelle ARP, connessioni attive
- Processi in esecuzione — se non già catturati dal memory dump
- Disco fisso — immagine forense
- Log remoti — su server esterni
- Backup — i meno volatili di tutti
Regola pratica: se stai ragionando su cosa fare prima, chiediti "cosa sparisce se spengo il sistema?" — quello va acquisito subito.
I 4 Principi ACPO
- Nessuna azione deve modificare i dati originali
- Chi accede ai dati originali deve essere competente e documentare il perché
- Deve esistere una traccia documentativa riproducibile da terzi
- Il responsabile garantisce il rispetto della legge e dei principi
Informazioni MACB
| Lettera |
Evento |
Attenzione |
| M |
Modifica contenuto |
Affidabile |
| A |
Ultimo accesso |
Inaffidabile — aggiornato da antivirus, SO, ricerche |
| C |
Modifica metadati |
Abbastanza affidabile |
| B |
Creazione (Birth) |
A volte assente; se successivo a M → anomalia |