L’acquisizione è certamente il passaggio più critico dell’intera procedura di digital analysis.
Essa consiste, essenzialmente, nella copia dei dati presenti sui supporti di memorizzazione o eventualmente in transito nella rete, al fine di renderli disponibili per la successiva attività di analisi dei contenuti (content analysis).
Parlare di copia dei dati può erroneamente indurre a pensare che, l’acquisizione, rappresenti un’attività effettuate mediante l’esecuzione di un semplice comando di copia dei dati.
Ciò non risponde al vero poiché, un semplice comando di copia non è in grado di garantire alcuni dei requisiti fondamentali che, nell’attività di computer forensics, rappresentano la base per preservare il valore probatorio delle tracce digitali.
Tali requisiti si possono riassumere come segue:
- garanzia della perfetta rispondenza tra i dati originali e i dati duplicati
- garanzia che i dati originali non subiscano nemmeno la minima alterazione poiché, ciò si tradurrebbe nell’alterazione dello scenario e quindi, nella perdita del valore probatorio delle tracce digitali
(ritorna alla digital analysis) |