Non analizzare mai il reperto originale! L'analisi si fa sempre su una copia conforme.
Obiettivo
Capire l'importanza del Write Blocker.
Procedura Corretta
Per acquisire un hard disk sospetto:
- Collega il disco sospetto a un Hardware Write Blocker. Questo dispositivo fisico impedisce al tuo computer di scrivere anche un solo bit sul disco prova (anche solo aggiornare la data di ultimo accesso).
- Usa un software (es. FTK Imager, Guymager) per creare un'immagine completa (clonazione bit-a-bit).
- Calcola l'HASH dell'originale e della copia. Devono essere identici.