Опубликован: 20.02.2007 | Доступ: свободный | Студентов: 3277 / 705 | Оценка: 4.42 / 4.03 | Длительность: 40:03:00
Лекция 20:

Коммерческие наборы инструментов для судебного дублирования

Критический компонент любого программного обеспечения судебного дублирования состоит в регистрации. Инструмент Safeback сохраняет детальную информацию с датой и временными метками в журнале регистрации, определяемом пользователем. Здесь мы сохранили файл в каталоге C:\EVID2\SB_AUDIT.LOG.


Утилита Safeback обеспечивает пользователя четырьмя основными функциями. Функция Backup (Резервное копирование) создает судебное изображение полного диска или его части. Функция Restore (Восстановление) берет содержимое файла, созданного функцией резервного копирования и воспроизводит его на диске, выбранном пользователем. Функция Copy (Копирование) перемещает содержимое диска на другой диск. Функция Verify (Проверка) подтверждает содержимое резервного изображения. Для наших изначальных целей, мы выбираем Backup.

Инструмент Safeback поддерживает отображение через порт принтера; однако, так как теперь подозреваемый диск находится на нашем локальном судебном компьютере, мы выберем Local для опции Remote Connection (Удаленное подключение).

Опция Direct Access (Прямой доступ) позволяет обойти системный BIOS и взаимодействовать непосредственно с контроллером жесткого диска. Руководство пользователя рекомендует выбирать эту опцию только в том случае, если вы не уверены, имеется ли доступ ко всему физическому жесткому диску. Для этой опции мы будем использовать значение, заданное по умолчанию, то есть No (Нет).

Опция Use XBIOS (Использование XBIOS) предназначена для дисков размером более 8Гб, которые используют расширения прерываний 13, когда поддерживаются системным BIOS. Мы будем использовать заданный по умолчанию параметр Auto, который автоматически выбирает BIOS или XBIOS в зависимости от наибольшей вместимости.

Опция Adjust Partitions (Подбирать разделы) создана в связи с тем, что некоторые операционные системы предполагают, что разделы начинаются на границах цилиндра. Когда выполняется операция восстановления, геометрия исходного диска может не соответствовать геометрии диска адресата, так что может потребоваться некоторое смещение данных. Мы будем использовать параметр Auto (Автоматически), заданный по умолчанию.

Во время операции восстановления, при включенной опции Backfill On Restore (Дописывать нули при восстановлении), поверх данных диска адресата записываются двоичные нули, если диск адресата больше, чем исходный диск.

При включенной опции Compress Sector Data (Сжатие данных сектора) происходит сжатие данных сектора, состоящих из одного значения в один байт. Инструмент Safeback не поддерживает никакие другие методы сжатия.


Теперь мы выбираем пункт Backup и нажимаем ENTER. Если Safeback обнаруживает драйвер магнитной ленты, он спрашивает, хотим ли мы использовать его для операции резервного копирования. В этом случае мы нажимаем N, для No (Нет), так как мы хотим использовать дисковые резервные файлы.


Затем мы видим экран, позволяющий выбрать исходный диск. Диск 0 означает наш диск-хранилище, а диск 1 - подозреваемый диск, который мы хотим отобразить. Мы нажимаем ПРОБЕЛ, чтобы выбрать диск 1, и ENTER для продолжения.


Теперь надо определить, где мы будем хранить файлы улик. Мы уже создали каталог C:\EVID2. В примере EnCase мы сохранили первую часть улик как Tag1. Теперь мы сохраним улики как Tag2.


Инструмент Safeback позволяет нам вводить комментарии. Вообще неплохо поместить здесь информацию о системе, случае и эксперте. Мы рекомендуем, чтобы в это поле вы ввели, по крайней мере, дату, дело и номер улики, имя эксперта, серийный номер и геометрию диска. Эта информация сохраняется как часть заголовка файла Safeback, а также включается в регистрационный файл аудита. После ввода данных в поле комментария нажмите ESC для продолжения.


После того как вы введете комментарии, начнется процесс дублирования. Окно состояния дает информацию о геометрии диска, показывает процент выполненной работы и оценку того, сколько времени займет процесс дублирования.


Когда дублирование закончится, появится соответствующее сообщение. Внизу в строке состояния видно, что Safeback разбил судебное изображение на шесть отдельных частей (TAG2.001 - TAG2.006).


Вы должны всегда немедленно проверять изображение. Чтобы это сделать, выберите пункт Verify из главного меню.


Вас попросят ввести имя судебного изображения, которое надо проверить. Если вы не помните имя, просто введите каталог, и будет отображен список изображений.


Здесь мы выберем файл Tag2.001 и нажмем ENTER.