Wiki

Acquisizione dei dati

02.12.2025 Commenti disabilitati su Data Acquisition
Acquisizione dei dati

Indice dei contenuti

 Scena dell'incidente: Dati a rischio prima della raccolta

Quando si verifica un incidente, il primo istinto è spesso quello di “guardare intorno” al sistema in funzione.
Clic non pianificati, login di root o copie di file possono alterare timestamp, registri e spazio non allocato prima che qualcuno registri uno stato pulito.

L'acquisizione dei dati risolve questo problema.
Si concentra sulla raccolta dei dati in modo controllato, in modo da preservare l'integrità delle prove fin dalla prima azione.

Fondamenti dell'acquisizione forense

L'acquisizione dei dati in un contesto forense non significa solo copiare i file.
Definisce un processo documentato che raccoglie i dati, li protegge dalle modifiche e mostra al tribunale o alla revisione interna come avete gestito ogni fase.

Obiettivi principali:

  • Ridurre al minimo le modifiche sul dispositivo di origine

  • Acquisire il maggior numero di dati rilevanti possibile in base all'ambito di applicazione.

  • Dimostrare che i dati raccolti rimangono identici alla fonte

  • Fornire passaggi ripetibili che un altro esaminatore possa verificare

Ambito e livelli di acquisizione

Gli investigatori scelgono un livello di acquisizione in base al caso, al tempo e al rischio.

Livelli comuni:

  • Imaging fisico (a livello di bit): settore per settore copia di un intero disco o partizione

  • Acquisizione logicaCopia di file, cartelle e partizioni a livello di file system.

  • Raccolta miratacopia mirata di artefatti specifici, come registri, archivi di posta elettronica o dati del browser.

Si utilizza l'imaging fisico per la analisi e recupero.
Si scelgono metodi logici o mirati quando i vincoli di tempo o di accesso limitano l'imaging completo.

Hashes e convalida

Gli hash crittografici dimostrano che una copia corrisponde alla sua fonte.
Durante l'acquisizione, si calcolano hash come SHA-256 per:

  • Il dispositivo o l'immagine originale

  • L'immagine acquisita o i set di prove esportati

Quindi si confrontano i valori.
Quando corrispondono, è possibile dimostrare che i dati raccolti sono rimasti invariati dall'acquisizione fino all'analisi e al reporting.

Catena di custodia e documentazione

L'integrità tecnica da sola non basta.
È necessario documentare chi ha avuto accesso a un dispositivo, quando ha raccolto i dati, quali strumenti ha utilizzato e dove sono state trasportate le prove.

Un registro di base della catena di custodia comprende:

  • Identificatore del caso e descrizione del dispositivo

  • Date e orari di acquisizione e trasferimento

  • Nomi e firme dei gestori

  • Valori hash dei file di prova chiave

Conservate queste registrazioni insieme alle immagini e alle esportazioni per supportare una successiva revisione.

Tecniche di acquisizione su più dispositivi

Dispositivi diversi richiedono metodi di acquisizione diversi.
Laptop, server, servizi cloud e hardware mobile presentano tutti vincoli particolari.

Imaging di dischi e volumi

Per desktop e server, imaging del disco rimane un metodo primario.
Spesso:

  1. Spegnere il sistema se la situazione lo consente.

  2. Rimuovere l'unità e collegarla a una workstation forense.

  3. Utilizzare un blocco di scrittura hardware per impedire qualsiasi scrittura sul disco sorgente.

  4. Creare un'immagine a livello di bit e calcolare gli hash durante o dopo l'acquisizione.

L'analisi viene quindi eseguita sull'immagine, non sul disco originale.
Questo approccio protegge le prove anche se gli strumenti si bloccano o gli analisti commettono errori.

Acquisizione in tempo reale da sistemi in esecuzione

A volte non è possibile spegnere un sistema, ad esempio un server di produzione o un dispositivo che contiene prove volatili.
Si esegue quindi l'acquisizione dal vivo.

Le azioni tipiche includono:

  • Catturare RAM con uno strumento di acquisizione della memoria

  • Raccolta degli elenchi dei processi in esecuzione, delle connessioni attive e dei log volatili.

  • Imaging dei volumi logici mentre il sistema operativo è ancora in funzione, con il minimo disturbo possibile

L'acquisizione dal vivo modifica inevitabilmente il sistema in una certa misura.
Documentate questi cambiamenti e spiegate perché la raccolta dal vivo offriva il miglior equilibrio tra valore probatorio e rischio.

Collezioni di rete e cloud

Le moderne indagini vanno oltre i dischi locali.
I dati possono risiedere in archivi cloud, piattaforme SaaS o raccoglitori di log centrali.

In questi casi, l'utente:

  • Utilizzate le API della piattaforma per esportare i registri, il contenuto delle caselle di posta o la cronologia dei file.

  • Catturare il traffico di rete da rubinetti o porte span, se legalmente autorizzati.

  • Conservare i metadati del provider, come timestamp, identificatori di account e indirizzi IP.

Gli archivi esportati vengono trattati come oggetti di prova e sottoposti a hash come le immagini locali.

Flusso di lavoro software per un'acquisizione ripetibile

Le azioni manuali aumentano il rischio di errori.
Uno strumento di acquisizione ben progettato vi aiuta a seguire un processo coerente ogni volta.

Un tipico flusso di lavoro con uno strumento come Acquisizione dati EOS SECURE potrebbe assomigliare a questo:

  1. Inizio Acquisizione dati EOS SECURE su una stazione di lavoro protetta.

  2. Identificare i dischi, i volumi o le sorgenti remote collegate attraverso un elenco chiaro di dispositivi.

  3. Selezionare il target e scegliere un tipo di acquisizione (immagine fisica, set logico o profilo mirato).

  4. Configurare le opzioni di hashing e l'evidenza dei percorsi di destinazione.

  5. Eseguire l'acquisizione mentre lo strumento registra log, hash e timestamp.

Lo strumento genera un rapporto che può essere allegato alla documentazione del caso.
Si evitano comandi ad hoc che diventano difficili da ripetere o da spiegare in seguito.

Procedura consigliata per l'acquisizione dei dischi di Windows

Che cos'è l'acquisizione dei dati

La seguente sequenza illustra una procedura pratica per l'acquisizione di un disco di Windows come prova.

Preparazione

  1. Spegnere il sistema soggetto quando non si ha bisogno di dati in tempo reale.

  2. Rimuovere con cura il disco ed etichettarlo con le informazioni sul caso.

  3. Collegarlo alla workstation forense tramite un blocco di scrittura hardware.

  4. Preparare un'unità di prova dedicata con spazio libero sufficiente per l'immagine.

Acquisizione e verifica

  1. Lancio Acquisizione dati EOS SECURE dalla macchina di analisi.

  2. Selezionare il disco sorgente dietro il blocco di scrittura.

  3. Scegliere una modalità di immagine fisica e specificare l'unità di prova come destinazione.

  4. Abilita l'hashing SHA-256 durante l'acquisizione.

  5. Avviare il processo e monitorare gli errori di lettura o le anomalie.

  6. Al termine, verificare che l'hash calcolato corrisponda a qualsiasi hash di origine registrato.

  7. Sigillare ed etichettare il disco sorgente, quindi lavorare solo con l'immagine acquisita durante l'analisi.

Conclusione: Trasformare la raccolta in prove difendibili

L'acquisizione dei dati colma il divario tra “dati su un dispositivo” e “prove che un investigatore può difendere”.”
Processi solidi preservano l'integrità, mentre strumenti validi riducono il rischio e l'errore umano.

Selezionando un livello di acquisizione appropriato, utilizzando blocchi di scrittura e hash e documentando ogni fase, si creano collezioni che resistono a controlli tecnici e legali.
Soluzioni come Acquisizione dati EOS SECURE e vi aiuterà a ripetere il processo in molti casi con sicurezza.

Se avete bisogno di recuperare i dati persi, Magic Data Recovery pubblicato da Amagicsoft è un software professionale per il recupero dei dati. È altamente raccomandato.

Domande frequenti

Qual è il significato di acquisizione dei dati?

L'acquisizione dei dati si riferisce alla raccolta controllata di informazioni da dispositivi, sistemi o servizi. In un contesto forense, si concentra sulla conservazione dell'integrità probatoria durante l'acquisizione di dischi, memoria, registri e dati cloud. Il processo comprende hashing, documentazione e procedure ripetibili in modo che altri esaminatori possano confermare i risultati.

Qual è un esempio di acquisizione di dati?

Un esempio comune è la creazione di immagini del disco rigido di un sospetto durante un'indagine. Un esaminatore collega l'unità attraverso un blocco di scrittura, utilizza uno strumento dedicato per creare un'immagine a livello di bit e calcola gli hash. Quindi analizza l'immagine invece dell'unità originale, mentre le registrazioni della catena di custodia descrivono ogni fase.

Quali sono i 4 tipi di acquisizione dati?

I team spesso raggruppano l'acquisizione in diversi tipi generali. L'imaging fisico copia interi dischi o partizioni, mentre l'acquisizione logica si concentra su file system e cartelle specifiche. La raccolta mirata raccoglie artefatti selezionati, mentre l'acquisizione live raccoglie i dati dai sistemi in esecuzione, compresi la memoria e i registri volatili, quando lo spegnimento non è possibile.

Che cos'è un lavoro di acquisizione dati?

Per lavoro di acquisizione dati si intende un'attività definita che raccoglie prove da una o più fonti. Può riguardare una singola workstation, un tenant di posta elettronica o un gruppo di server. Il lavoro include l'ambito, gli strumenti, le pianificazioni e i criteri di successo e produce output documentati come immagini, esportazioni e rapporti hash.

Quali sono le tre fasi dell'acquisizione dei dati?

Molti professionisti seguono uno schema in tre fasi. Prima preparano l'ambiente stabilizzando il dispositivo e pianificando l'ambito, poi eseguono la raccolta con protezione da scrittura e hashing. Infine, verificano e documentano i risultati, includendo le voci della catena di custodia, i registri degli strumenti e i valori di hash che confermano l'integrità dei dati acquisiti.

Qual è un altro nome per l'acquisizione dei dati?

A volte l'acquisizione dei dati viene descritta come raccolta di prove o imaging forense, a seconda del contesto. Altri termini come flusso di lavoro di raccolta, fase di acquisizione o processo di ingest compaiono nella risposta agli incidenti e nell'e-discovery. Tutte queste espressioni si riferiscono alla raccolta controllata di dati rilevanti, preservandone l'integrità e i metadati associati.

Come si esegue l'acquisizione dei dati?

Si inizia definendo l'ambito, l'autorità legale e i vincoli tecnici. Quindi si stabilizza l'ambiente, si applica la protezione dalla scrittura, ove possibile, e si scelgono strumenti che supportano l'hashing e la registrazione dettagliata. Durante la raccolta, si segue una procedura documentata, si salvano i dati su supporti sicuri e si verifica l'integrità prima di passare ad analisi più approfondite.

L'acquisizione dei dati è un'abilità?

L'acquisizione dei dati è un'abilità pratica che unisce le conoscenze tecniche alla consapevolezza dei processi. Gli esaminatori devono comprendere i file system, il comportamento dei dispositivi e le capacità degli strumenti, ma devono anche seguire i requisiti legali, normativi e organizzativi. Come altre competenze, migliora con la formazione strutturata, i playbook documentati e l'esperienza in diversi casi.

Eddie è uno specialista IT con oltre 10 anni di esperienza in diverse aziende rinomate del settore informatico. Porta in ogni progetto una profonda conoscenza tecnica e capacità di risolvere problemi pratici.

Messaggi correlati

Lettore di schede di memoria Guida alle schede Compact Flash
Wiki

Lettore di schede di memoria Compact Flash Guida e recupero dati

13.01.2026 Non ci sono ancora commenti

Un lettore di schede di memoria compact flash è ancora uno strumento essenziale per fotografi, videografi e utenti industriali che si affidano alle schede CompactFlash (CF) per l'archiviazione di dati stabili e ad alta velocità. Tuttavia, molti utenti si scontrano con problemi di compatibilità, schede illeggibili o addirittura perdite di dati impreviste quando utilizzano un lettore di CompactFlash. In questa guida scoprirete cosa [...]

System File Checker Come riparare i file di sistema
Wiki

System File Checker: come scansionare e riparare i file di Windows

13.01.2026 Non ci sono ancora commenti

Gli arresti anomali, le prestazioni lente o gli errori di sistema possono essere frustranti. Spesso questi problemi derivano da file di sistema di Windows danneggiati o mancanti. La buona notizia è che System File Checker (SFC) è uno strumento integrato di Windows che aiuta a rilevare e riparare questi problemi in modo efficiente. In questa guida imparerete come eseguire un [...]

Strumenti di riparazione della memoria flash USB Guida passo dopo passo
Wiki

Strumenti di riparazione della memoria flash USB: Guida passo passo

13.01.2026 Non ci sono ancora commenti

Vi è mai capitato di collegare la vostra unità miniaturizzata a un computer per poi trovarvi di fronte a un errore del tipo “Il disco non è formattato” o a un messaggio “Dispositivo USB non riconosciuto”? Questi momenti sono incredibilmente frustranti, soprattutto quando all'interno sono intrappolati file di lavoro critici o foto preziose. Trovare i giusti strumenti di riparazione della memoria flash USB è l'unico modo per [...]