Le distribuzioni forensi sono degli ambienti – in genere basati su Linux – sviluppati appositamente per permettere ai consulenti e operatori d’informatica forense di eseguire attività di copia forense e analisi tecnica.
Non esiste una distribuzione forense migliore delle altre, fortunatamente diverse comunità open source hanno prodotto varie distro forensi con caratteristiche simili ma punti di forza diversi, così da permettere all’utilizzatore di scegliere di volta in volta la migliore.
Abbiamo così, tra le principali forensic distro:
- DEFT Linux (con DEFT XVA e DEFT Zero);
- Tsurugi Linux (con Tsurugi Lab, Tsurugi Acquire e Bento)
- Sumuri Paladin;
- Raptor;
- SIFT;
- BackTrack;
- Parrot.
- WinFE.
Le distribuzioni forensi, Windows o Linux che siano, inibiscono le funzioni di accesso al disco e alle periferiche di archiviazione dati installate o connesse successivamente all’avvio, disabilitando anche l’automount, così da evitare che scritture accidentali vadano a compromettere l’integrità delle prove digitali che dovranno essere acquisite e analizzate in maniera forense.
Le live distro più diffuse sono quelle basate su Linux, come DEFT, CAINE, TSURUGI, Paladin e Raptor, con SIFT che fa più da raccolta di strumenti che da suite da utilizzare sul campo. Parrot e BackTrack sono in realtà distribuzioni dedicate alla sicurezza informatica (Pentest, Vulnerabilità Assessment, Malware Analysis, etc…) che però possiedono una modalità di avvio e utilizzo definita “forense”, che disabilita le scritture sui disci e ne inibisce l’automount.
