May 252010
 

Come sempre, tra la conclusione di una Consulenza e l’inizio di un’altra mi “diverto” (c’è poco da divertirsi, l’aggiornamento degli strumenti di lavoro è una cosa IMPORTANTE e non da sottovalutare) ad aggiornare i vari software/firmware e a testarli in “laboratorio” (è da evitare il TEST sulle evidenze). Stanotte è toccano al nuovo firmware del TABLEAU TD1 FORENSIC DUPLICATOR. Mi interessava verificare l’efficacia della compressione in formato EWF. Il risultato ottimale lo si ha usando un disco VUOTO.

EVIDENCE: TOSHIBA 2,5″ IDE da 80GB

FORMATO RAW
L’operazione di copia su un SEAGATE da 1,5TB SATA è durata circa 50 minuti. Dimensione TOTALE: 80GB.

FORMATO EWF
L’operazione di copia su un SEAGATE da 1,5TB SATA è durata circa 50 minuti. Dimensione TOTALE: 512MB.

Stesso tempo ma risultati differenti.

Altro TEST:
Verifica dell’immagine ottenuta con il TD1 con FTK IMAGER. Ho verificato che l’HASH per entrambe coincidesse.

FORMATO EWF
L’operazione è durata 12 Minuti.

Formato RAW
L’operazione è durata 40 Minuti.

Come emerge chiaramente, il formato EWF è molto comodo per “trasporto” e anche per la successiva verifica di integrità.

Non è finita: il tempo di elaborazione (carving, hash, keywords, …etc) è più veloce su un’immagine compressa?

Non lo so. Alle 3.30 mi sono messo a dormire.

 Leave a Reply

(required)

(required)

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>