Коммерческие наборы инструментов для судебного дублирования

14. Затем введите имя эксперта, получившего данные улики.
    

    
    
15. Введите номер улики.
    

    
    
16. Введите описание для порции улик.
    

    
    
17. Текущая дата и время читаются из BIOS судебного компьютера. Проверьте эту дату и время, и обратите внимание на любые различия с той частью, которая содержит калиброванное время. Вы должны также обратить внимание на любые различия между этим временем и временем из исходного компьютера, так как это потребуется на стадии анализа.
    

    
    
18. Введите любые дополнительные примечания для порции улик. Вы не сможете дать слишком подробное описание, поскольку поле, отведенное для описания, не очень велико.
    

    
    
19. В следующем окне вас спросят, хотите ли вы сжать файлы улик. В этом примере мы не хотели сжимать файлы, потому что предпочли работать с максимальной скоростью и пожертвовать дополнительным пространством на жестком диске, поэтому выбрали No (Нет). Если вы имеете ограниченное пространство на жестком диске, выберите Yes (Да). Так как сжатие сильно зависит от содержания исходного жесткого диска, процент сжатия различен.
    

    
    
    Примечание. Процесс сжатия увеличивает время получения судебной копии. Если вы передумаете, то сжатие можно сделать также после анализа.
20. Далее EnCase спрашивает, хотите ли вы сгенерировать контрольные суммы MD5 для создаваемых файлов улик. Мы рекомендуем вам всегда выбирать Yes на этом шаге, поскольку это можно сделать только здесь!
    

    
    
21. Вы можете наложить пароль на доступ к файлам улик с целью их дальнейшей защиты. Мы отказались от этого, потому что очень осторожны в цепочке надзора за хранением улик. Если у вас есть основания полагать, что кто-то, кому это не положено, может получить доступ к этим файлам, введите пароль. Помните, что, если вы наложите пароль на доступ к файлам улик и потеряете его, то не существует способа его восстановить (кроме некоторых случаев). Нажмите ENTER, чтобы использовать пустой пароль.
    

    
    
    Совет. Не защищайте паролем судебную копию, если у вас нет для этого очень серьезных оснований.
22. Укажите число секторов, которые вы хотите получить. В большинстве случаев, это не будет отличаться от того, что вам предложит EnCase, поэтому просто нажмите ENTER.
    

    
    
23. На следующем экране вас спросят, какой размер файла вы хотите выбрать для каждого файла улик. EnCase разобьет большие жесткие диски на несколько файлов для упрощенного управления. Примите заданное по умолчанию значение в 640Мб; тогда позже вы сможете переместить индивидуальные файлы улик на компакт-диски для архива.
    

    
    
24. Когда мы закончим ввод информации в последнем шаге, EnCase, наконец, автоматически начнет процесс судебного дублирования. Инструмент обеспечивает строку состояния и предупреждает вас о любых ошибках, которые могут возникнуть.
    

    
    
25. Когда EnCase закончит процесс дублирования, он сделает предупреждение и выдаст свой статус. Обратите внимание, что дублирование 6-гигабайтного жесткого диска без сжатия не заняло много времени. Нажмите ENTER для продолжения.
    

    
    
26. Выберите пункт Quit (Выход), чтобы вернуться к строке приглашения в DOS. Выключите судебный компьютер и отсоедините подозреваемый диск.
    

    
    

Обратите внимание, что в этом примере EnCase разделил жесткий диск на 10 файлов, которые составляют полный файл улик. Файлы, которые вы только что создали при судебном дублировании, вы будете импортировать в инструментальные средства анализа в следующих лекциях.

Теперь судебное дублирование 6-гигабайтного жесткого диска с использованием инструмента EnCase завершено.