Order of Volatility (OOV)

Dal più volatile al meno volatile — si acquisisce sempre in quest'ordine:

  1. Registri CPU e cache
  2. RAM — processi, connessioni, password in chiaro, clipboard
  3. File di paging / swap — estensione della RAM su disco, meno volatile
  4. Dati di rete — traffico in transito, tabelle ARP, connessioni attive
  5. Processi in esecuzione — se non già catturati dal memory dump
  6. Disco fisso — immagine forense
  7. Log remoti — su server esterni
  8. Backup — i meno volatili di tutti

Regola pratica: se stai ragionando su cosa fare prima, chiediti "cosa sparisce se spengo il sistema?" — quello va acquisito subito.


I 4 Principi ACPO

  1. Nessuna azione deve modificare i dati originali
  2. Chi accede ai dati originali deve essere competente e documentare il perché
  3. Deve esistere una traccia documentativa riproducibile da terzi
  4. Il responsabile garantisce il rispetto della legge e dei principi

Informazioni MACB

Lettera Evento Attenzione
M Modifica contenuto Affidabile
A Ultimo accesso Inaffidabile — aggiornato da antivirus, SO, ricerche
C Modifica metadati Abbastanza affidabile
B Creazione (Birth) A volte assente; se successivo a M → anomalia