Sembra che solitamente le forze dell'ordine utilizzino il programma EnCase per recuperare dati dai PC sequestrati, risalendo fino a 10 formattazioni.
Ma come è possibile che dopo la formattazione rimanga traccia dei file? Dove rimangono memorizzate queste informazioni? Quindi in teoria lo spazio del mio hard disk diminuisce ogni volta che riformatto?
Vi sarei grato se mi spiegaste il funzionamento di programmi come encase o mi consigliaste qualche lettura in merito.
non mi pare che EnCase sia in grado di recuperare dati sovrascritti... dove hai letto questa informazione? Che sappia EnCase è un software per ottenere copie binarie esatte di supporti quali HD...
Che sia possibile recupere dati sovrascritti (anche molte volte) è un'altra cosa, ma credo proprio che sia fattibile solo con hardware e strumentazione sofisticata... non certo con un semplice software. Questo almeno è quello di cui sono a conoscenza...
Il recupero da sovracrittura è possibile a causa dell'isteresi magnetica.. in parole povere, dopo una transizione, un bit conserva parte dalla magnetizzazione precedente portandosi a valori intermedi (nonostante sia correttamente interpretato come vaolre binario a livello software)... analizzando il valore della magnetizzazione attuale è possibile una stima dei valori precedenti.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Avevo male interpretato questa parte, dando per scontato che utilizzassero questo software anche per risalire a dati pre-formattazione.High throughput and reliability: EnCase Forensic software allows investigators to easily manage large volumes of computer evidence, viewing all relevant files, including "deleted" files, file slack and unallocated space.
Ti ringrazio Habanero, sei stato molto chiaro per quanto la materia lo renda possibile.
Per stima di valori precedenti cosa si intende? Una sorta di dati "corrotti" ma comunque rintracciabili?
il recupero di dati cancellati non piu allocati (non sovvrascritti) lo fanno tutti i software di recupero ed è possibile proprio perchè i blocchi sono marcati come disponibili anche se non sono stati fisicamente cancellati (sono pronti per essere riutilizzati)
Per quanto riguarda la formattazione bisogna poi distiguere quella "veloce" da quella completa. La prima cancella solo le tabelle di allocazione ma non azzera i dati (pronti per essere riutilizzati). La seconda azzera fisicamente tutti i bit del disco ricreando ex novo le tabelle.
Leggiti questo:
http://sicurezza.html.it/articoli/le...le-cancellati/
Per stima dei valori precedenti intendevo il recupero dei dati scritti in precedenza in un blocco che è già stato sovrascritto. Es: cancello un file e nella stessa posizione del disco ne memorizzo uno nuovo. Con opportune analisi hadware è possibile risalire al primo file ispezionando lo stato di magnetizzazione del disco.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Ok ora ho capito il meccanismo, grazie ancora!
Scusa... sono arrivato qui per caso ed ho letto solo ora questa discussione...
Per stima dei valori precedenti intendevo il recupero dei dati scritti in precedenza in un blocco che è già stato sovrascritto. Es: cancello un file e nella stessa posizione del disco ne memorizzo uno nuovo. Con opportune analisi hadware è possibile risalire al primo file ispezionando lo stato di magnetizzazione del disco.
Ma sei certo di ciò che affermi? Lo hai visto personalmente o se ne parla solamente? E' la prima volta che sento possano essere recuperati dati da più di magari tre scritture... o perlomeno è possibile recuperare dei dati che cmq non hanno più valori sufficienti per un recupero logico dei dati...
lo hai visto in prima persona?
sono assolutamente sicuro che sia possibile... ovviamente non con un semplice software, credo sia realizzabile con dispositivi molto costosi che si interfacciano direttamente all'HD e riescano a leggere il reale valore di magnetizzazione dei singoli bit. Una normale interfaccia ATA/SATA/SCSI fornisce infatti solo valori digitali, il recupero prevede invece una informazione analogica.
Se ci hai fatto caso i programmi di Wiping sosfisticati (ripulitura del disco ai fini di sicurezza per evitare il recupero di dati) sovrascrivono le aree libere del disco decine di volte con informazioni casuali al fine di impedire un recupero di questo tipo. Ad ogni sovrascritura la storia passata diventa sempre più debole... credo che dopo una trentina di passaggi il recupero sia assolutamente impossibile.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Ciao a tutti per caso mi trovavo da queste parti ed ho letto il post, volevo fare una precisazione...Originariamente inviato da Habanero
...credo che dopo una trentina di passaggi il recupero sia assolutamente impossibile.
ci sei andato vicino non sono 30 i passaggi di wiping da utilizzare ma 35.
Ciao a tutti
beh... quello dei 35 si riferisce ad una standard specifico... se non sei la CIA probabilmente ne bastano molti meno...Originariamente inviato da shadow_76
...
ci sei andato vicino non sono 30 i passaggi di wiping da utilizzare ma 35.
se qualcuno fosse interessato a qualche software:
http://www.thefreecountry.com/securi...redelete.shtml
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Permessi di invio
Rispondi quotando