Коммерческие наборы инструментов для судебного дублирования

Как только принято решение о том, что нужно провести полномасштабное расследование, то для судебной экспертизы обычно неплохо получить изображение машин, вовлеченных в инцидент. Есть несколько вариантов программного обеспечения, предназначенного для судебного дублирования; как коммерческие, так и некоммерческие инструментальные средства успешно справлялись с задачей, возложенной на них юридической системой. В этой лекции рассматриваются несколько коммерческих инструментальных средств. Как правило, организации среднего и большого размера склоняются к использованию коммерческого программного обеспечения. В этой лекции описывается четыре наиболее популярных пакета: EnCase, Safeback, SnapBack и Ghost.

Возможно, предпочтительнее сначала прочесть раздел "Пример из жизни", чтобы ознакомиться с содержимым жестких дисков и с ситуацией, в которую вы будете вовлечены при использовании этих инструментальных средств судебного дублирования. Мы будем ссылаться на раздел "Пример из жизни" во всех разделах этой лекции.

В соответствии с временной шкалой, на которой показаны последовательные этапы расследования, мы перешли к шагу "Судебное дублирование".

увеличить изображение

EnCase v3

Первый инструмент, который мы обсудим в этой лекции - EnCase - написанный компанией Guidance Software. Этот инструмент широко используется правоохранительными органами и коммерческими предприятиями для судебного дублирования (и, как вы увидите далее, он помогает также на стадии анализа). В этом разделе будет продемонстрирован процесс создания с помощью этого инструмента судебной копии. EnCase можно купить у компании Guidance Software на сайте http://www.encase.com.

Реализация

Первый шаг при выполнении судебного дублирования с помощью EnCase заключается в создании надежного загрузочного диска. Инструментальные средства, обсуждаемые в этой лекции, не имеют столь же простых мастеров, как мастер EnCase. Чтобы создать загрузочный диск и использовать его для получения судебного дублирования исходного жесткого диска с помощью EnCase, выполните следующие действия.

1. Откройте EnCase и выберите Tools (Сервис), а затем Create Boot Disk (Создание загрузочного диска). Вы увидите следующий экран.
   

   
   
2. Выберите адресата в группе Target Diskette (Целевая дискета) и щелкните на Next (Далее). Убедитесь, что в дисковод адресата вставлен новый диск.
3. Выберите опцию Change From A System Diskette To An EnCase Boot Floppy (Сменить системную дискету на загрузочную дискету EnCase ) и убедитесь, что отмечен флажок Format Diskette First (Сначала форматировать дискету). Затем щелкните на Next. Обратите внимание, что этот шаг выполняется только в системах Windows 95/98/Me.
   

   
   
4. Выберите Full (целиком), чтобы полностью отформатировать гибкий диск. Щелкните на Start.
   

   
   
5. Когда вы закончите форматирование гибкого диска, инструмент сбора данных (acquiring tool) комплекта EnCase нужно будет скопировать снова. После выхода из экрана форматирования появится следующий экран, предназначенный для копирования на гибкий диск инструмента создания изображения (imaging tool) комплекта EnCase. Обычно вам не нужно менять местоположение программы, которая будет скопирована. Щелкните на Finish (Готово) для продолжения.
   

   
   
6. Когда копия готова, удалите диск и промаркируйте его соответствующим образом. Установите защиту диска от записи, перекинув положение защелки, расположенной в верхнем углу дискеты.
7. Создайте каталог, в котором инструментом EnCase будут созданы файлы, являющиеся уликами. В этом примере мы ввели C:\EVID\ в качестве такого каталога.
8. Для этого примера удалите исходный жесткий диск из подозреваемого компьютера и поместите его в судебном компьютере, чтобы выполнить дублирование. Убедитесь, что вы установили начальную загрузку судебного компьютера так, чтобы она происходила с дисковода гибких дисков, а не с диска, удаленного из исходной машины. Это обычно определяется в BIOS. Если что-то не ясно, то для дополнительной проверки поместите гибкий диск в судебный компьютер прежде, чем будет подключен диск исходного компьютера. В нашем примере (из раздела "Пример из жизни"), 6-гигабайтный жесткий диск Maxtor IDE был удален из подозреваемого компьютера.
9. Включите судебный компьютер и гибкий диск, который вы создали, будет загружен. Когда появится приглашение к вводу DOS-команд, наберите следующую команду:

   A:\> en

   Эта команда активизирует инструмент создания изображения (imaging tool) комплекта EnCase. Когда EnCase выполняет судебное дублирование исходного жесткого диска, он сохраняет копию в виде файла закрытого (запатентованного) формата в файловой системе вашего носителя информации. В нашем примере, вы будете использовать этот инструмент для сохранения копии исходного жесткого диска в каталоге C:\EVID. Здесь диск, который вы дублируете (источник) - диск 2, а диск, на котором вы сохраняете копию - диск 0 (диск C:). На главном экране инструмента сбора данных (acquiring tool) вы можете видеть эти диски.
   

   
   
10. Чтобы защитить данные, в целях сохранения их целостности, все жесткие диски в пределах судебного компьютера блокированы (то есть на них нельзя писать). Диск, содержащий каталог-хранилище, должен быть открыт для записи, потому что туда вы перепишите данные судебного дублирования исходного жесткого диска. Поэтому клавишей TAB перейдите на пункт Lock (Блокировать), расположенный внизу экрана, и нажмите ENTER. Затем выберите диск-хранилище, в нашем случае - диск 0.
    

    
    
    Нажмите ENTER. Диск 0 теперь разблокирован.
11. Как только диск разблокирован, выберите Acquire (Получение данных), чтобы начать процесс судебного дублирования. Программа спросит, где расположено подозреваемое средство информации. Выберите диск. В нашем примере подозреваемое средство информации было связано с диском 2 на судебном компьютере.
    

    
    
12. Затем программа получения данных EnCase спрашивает, где должны быть созданы файлы улик. Здесь надо будет ввести каталог, который вы создавали на этапе 7. Кроме того, вы должны ввести полное название пути к этому файлу улик. Так как это будет первая часть улик, то в нашем случае мы назовем его Tag1; наберите C:\evid\tag1. EnCase автоматически подставит расширение файла. Первая (и возможно единственная) часть будет называться tag1.e01. Если все улики не поместятся в одном файле (из-за указанного размера файла; его значение по умолчанию составляет 640Мб), то последующие файлы будут называться tag1.e02, tag1.e03 и так далее.
    

    
    
13. В последующих нескольких шагах вы вводите информацию, специфическую для вашего конкретного случая, которая будет сохранена в файле улик. Вся информация будет записана в файл улик и будет доступна для анализа, как только ее загрузят в EnCase (см. лекцию "Наборы инструментов, помогающие при судебном анализе" для получения дополнительной информации об использовании EnCase в качестве инструмента анализа). В первом шаге нужно ввести номер, назначенный для этого конкретного расследования.