Коммерческие наборы инструментов для судебного дублирования

Format: создание надежного загрузочного диска

Остальные утилиты, обсуждаемые в этой лекции, требуют надежного загрузочного диска. Для этого вам не нужен специальный инструмент; вместо этого можно использовать системную команду format, имеющуюся в операционных системах Windows. В этом небольшом разделе дается краткий обзор того, как создать загрузочный диск, если вы не сделали это раньше. Если вы уже знаете, как сделать надежный загрузочный диск, то можете перейти к разделам, которые обсуждают другие инструментальные средства судебного дублирования: Safeback и SnapBack.

Реализация

Чтобы создать загрузочный диск, выполняют следующую команду системы Windows 95/98, которая форматирует и копирует требуемые системные файлы и делает диск самозагружаемым.

C:\>format a:/s

Как отмечалось прежде, одно из основных положений компьютерной судебной экспертизы состоит в том, чтобы никаким способом не изменить первоначальные улики. К сожалению, загрузочный диск DOS, который вы только что создали, содержит файл IO.SYS с жестко закодированными ссылками на C:\DRVSPACE.BIN, C:\ DBLSPACE.BIN и C:/DRVSPACE.INI. Если подозреваемый диск использует сжатие диска DriveSpace или DoubleSpace, ваш загрузочный диск может пытаться загружать драйверы и устанавливать логически несжатую файловую систему, изменяя дату и временные метки на файле уплотненного диска. Чтобы это не случалось, используйте шестнадцатеричный редактор (шестнадцатеричные редакторы обсуждаются в лекции "Средства просмотра файлов и редакторы общего назначения" ) и перепишите все ссылки на DRVSPACE.BIN, DBLSPACE.BIN и DRVSPACE.INI в файле IO.SYS. Кроме того, измените все ссылки на диск C:\ диском A:\ в файлах IO.SYS, COMMAND.COM и MSDOS.SYS на гибком диске. Вы должны также удалить файл DRVSPACE.BIN с дискеты. Файлы IO.SYS, DRVSPACE.BIN и MSDOS.SYS имеют атрибуты System (Системный), Hidden (Скрытый) и Read-Only (Только для чтения). Поэтому вы должны использовать команду DOS attrib, чтобы просматривать, изменять или удалять эти файлы. Например, C:\>attrib -S -H -R a:\drvspace.bin удалит эти атрибуты, что позволит вам удалить файл командой C:\>del a:\ drvspace.bin.

Как только вы создали загрузочную дискету, управляемую системой DOS, можете добавлять необходимые драйверы, в которых вы, возможно, нуждаетесь для своего судебного компьютера. Например, если вам нужен специальный драйвер SCSI, то это самое подходящее время для его добавления. Возможно, вы захотите также включить обычные утилиты DOS типа fdisk.exe и утилиту блокирования записи.

При использовании дискеты начальной загрузки вы должны всегда проверять установки вашего BIOS, чтобы удостовериться, что гибкий диск является первым устройством, к которому обращаются в процессе начальной загрузки. В противном случае, вы можете по неосторожности загрузиться с подозреваемого жесткого диска.

PDBLOCK: блокирование записи на ваши исходные диски

Хотя вы и создали проверенную дискету начальной загрузки, всегда полезно соблюдать дополнительные предосторожности, чтобы гарантировать, что данные не могут быть по неосторожности записаны на жесткий диск, содержащий улики. Обычно это выполняется с помощью утилиты блокирования записи. В EnCase есть такая утилита, встроенная в утилиту сбора данных ( acquire utility ), но она активна только во время выполнения программы сбора данных.

Если вы используете инструмент судебного дублирования, который требует загрузочного диска, вы должны защитить исходный диск от записи. Эти меры блокируют попытки записи, которые изменили бы первоначальные улики. Одна такая утилита, PDBLOCK (Физический блокировщик диска) от компании Digital Intelligence, доступна на сайте http://www.digitalintel.com. В отличие от многих других подобных утилит, она обрабатывает расширения к прерыванию 13 (interrupt 13 extensions), и это позволяет пользователю выбирать, какие физические диски защищать. Простое выполнение утилиты PDBLOCK блокирует запись на все жесткие диски по умолчанию.

Реализация

Вы должны скопировать утилиту PDBLOCK на свой надежный загрузочный диск прежде, чем начнете выполнение судебного дублирования, чтобы блокировать исходные диски. Загрузитесь, используя свой надежный диск; утилита PDBLOCK запускается из командной строки:

A:\>pdblock.exe

Использование: " PDBLOCK {drives} {/nomsg} {/nobell} {/fail}" 
    to (re)configure
Где:  drives: NONE, ALL, или список жестких дисков предназначенных 
    для защиты (0-3)
То есть "PDBLOCK 0", "PDBLOCK 013", "PDBLOCK 123", и т.д.
(Значение по умолчанию - ALL (Все), если другого не указано)
/nomsg:   Не отображать сообщение, когда запись блокирована
/nobell:  Не давать звонка, когда запись блокирована
/fail:    Возвратить код ошибки в вызывающую программу
             (Значение по умолчанию должно возвращать в вызывающую
             программу фальсифицированный успешный результат)

"PDBLOCK" без опций (при загрузке) отобразит справку и 
  текущую конфигурацию

Этот инструмент уникален тем, что он может обеспечивать звуковую и визуальную обратную связь, когда обнаружена и блокирована попытка записи. По желанию эти уведомления можно также подавлять. Вы должны выполнить эту утилиту прежде, чем будете выполнять любое из инструментальных средств судебного дублирования, обсуждаемых в следующих разделах.

Safeback

Зайдите почти в любое учреждение правоохранительных органов, занимающееся судебной экспертизой компьютеров, и вы обнаружите, что следователи используют инструмент Safeback для судебного дублирования. Утилита Safeback, написанная для системы DOS, предназначена для резервного копирования, проверки и восстановления жестких дисков. Утилита Safeback была создана Чаком Гузисом (Chuck Guzis) в компании Sydex приблизительно в 1991 г. и была написана с нуля как инструмент обработки улик. Теперь она стала юридическим стандартом. Компания New Technologies приобрела утилиту Safeback в марте 2000 г., и теперь инструмент доступен на сайте http://www.forensics-intl.com.

Реализация

Мы будем использовать инструмент Safeback для получения судебного изображения диска подозреваемого лэптопа. Для начала, мы удалили 2,5-дюймовый жесткий диск из подозреваемого лэптопа для выполнения судебного дублирования. В этом конкретном случае диск был предназначен для того, чтобы быть пользовательским сменным диском. Если бы это было не так, мы могли бы воспользоваться для получения изображения опцией порта принтера, которую предлагает Safeback, и использовать специализированный кабель передачи данных через порт принтера, хотя при этом методе значительно пострадала бы скорость передачи, поскольку это эквивалентно высасыванию океана через соломинку.

Далее мы прикрепили диск лэптопа к IDE-цепочке нашего судебного компьютера с 2,5-дюймовым IDE-адаптером, который преобразовывает 2,5-дюймовый IDE-диск к 3,5-дюймовому IDE-интерфейсу. Эти адаптеры свободно продаются в магазинах компьютерных деталей, на торговых выставках и т. д. Адаптер, который мы использовали, был приобретен в Corporate Systems Center на сайте http://www.corpsys.com.

Когда соответствующие диски подсоединены к нашему судебному компьютеру, мы еще раз проверяем BIOS, чтобы гарантировать, что система загрузится с нашей проверенной загрузочной DOS-дискеты. Затем загружаемся с дискеты. Сначала посмотрим, какие жесткие диски были распознаны.

A:\>fdisk /STATUS

DOS нумерует диски, начиная с 1, а утилита блокировки записи начинает блокировать с нуля. В этом случае, диск 1 - это наш диск-хранилище, а диск 2 - это подозреваемый 3,9-гигобайтный диск портативного компьютера. Подозреваемый диск имеет два логических диска с файловыми системами, которые распознаются загрузочным диском; в данном случае, диск 2 имеет логические диски D: и E:.

Теперь мы должны блокировать запись на подозреваемый жесткий диск, который утилита fdisk распознала как диск 2 (который в действительности был диском 1).

A:\pdblock 1

***************************************************************************
PDBlock Version 2.00: (P)hysical (D)isk Write (BLOCK)er
Copyright 1999, 2000 DIGITAL INTELLIGENCE, 
  INC - http://www.digitalintel.com
***************************************************************************
Использование: " PDBLOCK {drives} {/nomsg} {/nobell} {/fail}" 
   to (re)configure
Где:  drives: NONE, ALL, или список жестких дисков предназначенных 
   для защиты (0-3)
То есть "PDBLOCK 0", "PDBLOCK 013", "PDBLOCK 123", и т.д.
(Значение по умолчанию - ALL (Все), если другого не указано)
/nomsg:   Не отображать сообщение, когда запись блокирована
/nobell:  Не давать звонка, когда запись блокирована
/fail:    Возвратить код ошибки в вызывающую программу
             (Значение по умолчанию должно возвращать в вызывающую
             программу фальсифицированный успешный результат)

"PDBLOCK" без опций (при загрузке) отобразит справку 
  и текущую конфигурацию
Защищенные Диски:       1
Возвращаемый код:       SUCCESS (Успех)
Звонок:                 Включен
Сообщения:              Включены

Теперь мы заблокировали запись на подозреваемый диск. Хотя вы, вероятно, не хотели бы делать это в реальном случае, однако здесь мы выполнили команду, которая попыталась записать данные на подозреваемый диск. Заметьте, что эта попытка была блокирована утилитой PDBLOCK.

Мы подключили большой диск-хранилище к судебному компьютеру, чтобы сохранить на нем судебную копию, которую мы создадим с помощью Safeback. Этот диск имеет файловую систему FAT32 и распознается как логический диск C:. Так как первая копия улик была сохранена в каталоге C:\EVID, вторую копию мы сохраним в новом каталоге с именем C:\EVID2.

A:\>mkdir c:\EVID2

Инструмент Safeback состоит из нескольких файлов, но для этого конкретного примера, мы будем использовать главную программу, master.exe, предназначенную для получения и сохранения локального судебного изображения диска. По умолчанию Safeback сохраняет изображение в отдельном файле. Вместо того чтобы сохранять изображение в одном большом файле, опция filesize позволяет нам определить размер файла в мегабайтах. Установка размера файла на 640Мб облегчает хранение судебного изображения на компакт-диске:

A:\master filesize=640