Il **CHFI** convalida le competenze di informatica forense. Prepara a rilevare gli attacchi, raccogliere prove digitali legalmente e analizzare gli incidenti di sicurezza per tribunali o audit interni.
Risposta : FTK Imager
L'acquisizione forense è il primo passo critico nell'analisi forense digitale. Consiste nel creare una copia esatta (un'immagine bit-a-bit) del dispositivo di archiviazione originale. Questo processo garantisce che l'analisi venga eseguita sulla copia, preservando così le prove originali da alterazioni o modifiche accidentali.
Risposta : Una funzione che genera un identificatore univoco di lunghezza fissa per un dato set di dati.
L'hashing crittografico è una tecnica fondamentale in informatica forense. Viene utilizzato per creare un'impronta digitale unica (hash) per file o set di dati. Confrontando gli hash prima e dopo un evento o un trasferimento, i professionisti possono verificare che i dati non siano stati alterati, compromettendo così l'integrità delle prove.
Risposta : Analisi
Il processo forense digitale è tipicamente suddiviso in fasi: Identificazione, Preservazione (Acquisizione), Analisi e Rapporto. La fase di Analisi è dove i dati vengono esaminati per estrarre informazioni significative. Questo può includere la ricostruzione di eventi, l'individuazione di malware e la pulizia delle tracce non pertinenti per concentrarsi sulle prove chiave.
Risposta : Garantire l'autenticità e l'integrità delle prove digitali.
La catena di custodia è un principio legale e forense essenziale che traccia il percorso delle prove digitali. Documenta meticolosamente ogni passaggio, dalla raccolta iniziale alla conservazione e all'analisi, fino alla presentazione finale. Questo processo è vitale per dimostrare che le prove non sono state manomesse o alterate, mantenendone l'integrità legale.
Risposta : File Carving (Intaglio di file)
Quando un file viene cancellato, il sistema operativo solitamente rimuove solo il riferimento ad esso nella tabella di allocazione dei file, lasciando i dati sul disco fino a quando lo spazio non viene riutilizzato. Il file carving è una tecnica forense che esamina direttamente i settori grezzi del disco. Identifica e ricostruisce i file basandosi su pattern di dati specifici (firme di file), permettendo il recupero di dati anche quando le informazioni di allocazione sono state perse.