Parte 2. EnCase           

2.2 Un’ importante differenza: Preview vs Acquiring    

EnCase mette a disposizione due tipi differenti di modalità prima di esaminare le prove: Preview e Acquiring. Quest’ultima è sicuramente la più sicura ma anche molto lenta in quanto effettua la copia esatta di un media garantendo quindi l’integrità dell’originale.

La modalità Preview, disponibile solo per la versione Windows, consente all’investigatore di visionare in anteprima il contenuto del drive in esame prima di effettuare una acquisizione; inoltre si può salvare il risultato di questa modalità in un file. Sebbene questa funzione risulti la più veloce e facile da effettuare, non è possibile vedere la struttura del file. Oltretutto la Preview di un disco locale su un computer munito di sistema operativo Windows comporta l’inevitabile alterazione di alcuni dati relativi al drive esaminato, come la data di accesso all’hardware stesso, qualora vengano “aperti” o modificati i file al suo interno.

E’ possibile copiare senza cancellare i file durante la Preview inoltre, per esaminare computer con sistema operativo Linux o Unix, bisogna creare un “EnCase Boot Disk” e avviare il computer in modalità Server, così da eseguire la procedura attraverso un cavo Crossover.

La Preview è possibile solo quando il media è fisicamente collegato al computer dell’investigatore ed è consentita anche durante l’acquisizione. Un investigatore così può effettuare un’analisi preliminare di un drive prima di acquisirlo. Supponiamo di voler esaminare un hard disk diviso in tre partizioni. Con la Preview possiamo visionare le tre partizioni e decidere quali tra queste acquisire, evitando l’acquisizione completa del drive costosa in termini di tempo e spazio.[5,6]