Как можно сделать побитовую копию жесткого диска во время его использования?

Question

forensics

Как можно сделать побитовую копию жесткого диска во время его использования?

994

Mark Read 2017-08-15 в 14:43

В криминалистике я узнал, что вы можете развернуть агент на удаленном компьютере и получить от него точную копию удаленного жесткого диска, включая нераспределенное пространство и раздел подкачки, даже когда он используется. Эта копия отправляется агентом на ваш компьютер через Интернет, а затем вы можете работать с ней на своем компьютере.

Примером такого программного обеспечения является EnCase.

Однако я не понимаю, как это возможно. Если компьютер используется, не являются ли некоторые его части недоступными, например, файл с хэшами SAM в Windows? Или что делать, если в файлы вносятся изменения, когда агент копирует их?

3

На компьютерах с ОС Windows (и, по-видимому, на серверах Samba) это выполняется через службу теневого копирования томов VSS, которая делает снимок диска. Да, данные на диске могут измениться, но снимок остается неизменным. Смотрите https://en.wikipedia.org/wiki/Shadow_Copy. Для других ОС, однако, должен быть альтернативный метод. DrMoishe Pippik 6 лет назад 2

@DrMoishePippik Круто, спасибо! Mark Read 6 лет назад 0

3 ответа на вопрос

0

-1

uSlackr 2017-08-15 в 20:24

Цель состоит не в том, чтобы создать идеальный образ диска, а в разумной копии важных данных, то есть пользовательских данных. Если доступ к диску осуществляется с помощью низкоуровневых команд диска, а не команд файловой системы, это может обойти такие проблемы, как блокировки файлов и открытые файлы. Но это скорее файлы ОС, а не пользовательские данные. Суть в том, что интересующие вас данные обычно хранятся на диске, даже когда система работает.

Пожалуйста, поясните и добавьте немного больше контекста к этому ответу, чтобы передать, что именно вы предлагаете, и почему он работает, и т. Д. Вы знаете, подумайте над добавлением некоторой ссылки на этот ответ, подтверждающей то, что вы заявляете и почему это так. Pimp Juice IT 6 лет назад 0

-2

Patrick Joseph 2017-08-15 в 19:07

Да, в некоторых случаях вам необходимо иметь физическую ссылку на устройство и разрешение. Если нет, вам понадобятся хэш-наборы и постановление суда. Осторожно .. это прослушивание

Вы можете эмулировать HD или компьютер с криминалистическим программным обеспечением. Вы можете сделать это с помощью жесткой ссылки или по сети. Развертывание агента требует разрешения. Если у вас нет разрешения, вам нужны ключи шифрования (хэш-наборы) и постановление суда, так как это прослушивание телефонных разговоров. Patrick Joseph 6 лет назад 0

Я не буду давать более конкретную информацию, поскольку это было бы безответственно, поскольку это помогает во взломе. Patrick Joseph 6 лет назад 0

То, что спрашивает автор, не считается прослушиванием в мире безопасности. Ramhound 6 лет назад 0

@PatrickJoseph Этот вопрос спрашивает, как это делается, а не как это сделать. Ваш ответ не дает ничего полезного для ОП. Это не считается взломом в этом случае. Я уверен, что ОП знает об этом, потому что они узнали об этом в криминалистическом классе. Они получают образование именно по этой теме. Они знают, что вам нужно, они просто хотят знать, как эти программы могут получать доступ к материалам, к которым ОС не дает им доступ. var firstName 6 лет назад 0

Не согласен, вопрос о том, какие изменения сделаны, покажет, какие следы искать. ОП указал EnCase. Https://www.guidancesoftware.com/encase-forensic. Это не программное обеспечение удаленного управления для Nework. Это программное обеспечение Forensic, предназначенное для взлома, извлечения и извлечения данных для расследования. Если у ОП был класс, почему бы не спросить в классе? Patrick Joseph 6 лет назад 0

Accepted Answer · 2018-03-04 07:39:16

Вы не

На самом деле существует две школы мысли о том, как создавать диски с данными судебной экспертизы.

Метод oldschool заключался в том, чтобы немедленно отключить компьютер от сети и создать образ диска в этом состоянии, чтобы ничего не изменилось. Это также гарантировало определенную степень вероятного отрицания ...

И это не очень хорошо сработало, когда люди поняли, что вы можете зашифровать диск с помощью пароля.

Хотя оперативная криминалистическая съемка не гарантирует, что вообще ничего не изменится, при правильном ведении журнала вы знаете, что сделал экзаменатор. Это также удобно, поскольку, если подозреваемый не заблокировал свою систему, вы, вероятно, сможете скопировать достаточно данных, чтобы понять, что происходит.

В криминалистике я узнал, что вы можете развернуть агент на удаленном компьютере и получить от него точную копию удаленного жесткого диска, включая нераспределенное пространство и раздел подкачки, даже когда он используется. Эта копия отправляется агентом на ваш компьютер через Интернет, а затем вы можете работать с ней на своем компьютере.

Такое ощущение, что вы путаете оба процесса - вы либо запускаете агент и другие инструменты на liveisk, либо извлекаете жесткий диск для создания образа «традиционными» методами, либо используете живые инструменты, либо старые добрые следственные работы на работающем система. Вы не можете получить правильный судебный дубликат на работающей системе.

Например, EnCase позволяет вам работать с VHD или VMDK, созданным с помощью другого инструмента, но вы не собираетесь запускать его непосредственно в исследуемой системе.

Как можно сделать побитовую копию жесткого диска во время его использования?

3 ответа на вопрос

Похожие вопросы