Опубликован: 20.02.2007 | Уровень: специалист | Доступ: платный
Лекция 20:

Коммерческие наборы инструментов для судебного дублирования

SnapBack

Еще одна утилита, используемая при выполнении судебного дублирования - это SnapBack DatArrest, которая доступна на сайте http://www.snapback.com. Утилита SnapBack первоначально была разработана как сетевая утилита резервного копирования, предназначенная для системных администраторов; однако, теперь она продается, как инструмент судебного дублирования. Фактически, приблизительно до октября 2001 г., комплект судебных инструментов Forensic ToolKit компании AccessData поставлялся с утилитой SnapBack.

Реализация

Мы закончили дублирование диска подозреваемого портативного компьютера с помощью Safeback. Однако в ящике стола, имеющего отношение к подозреваемому компьютеру, мы нашли еще два жестких диска. Один из них был 2,5-дюймовым диском лэптопа с объемом 1.3Гб. Используем инструмент SnapBack, чтобы получить судебное изображение этого диска, и будем обозначать эти улики как Tag3.

SnapBack имеет несколько модулей, которые выполняют различные задачи. Здесь мы воспользуемся файлом snapback.exe, который использует накопитель на магнитной ленте SCSI для хранения судебного изображения.

Как только исходный диск подключен к судебному компьютеру, мы загружаемся со своей контрольной DOS-дискеты, которая имеет необходимые SCSI-драйверы для распознавания накопителя на магнитной ленте и программные файлы инструмента SnapBack.

Чтобы определить, какие диски были распознаны, мы можем еще раз запустить утилиту fdisk с опцией status:

A:\>fdisk /STATUS

Утилита показывает наш диск-хранилище как диск 1, и подозреваемый 1,3-гигабайтный диск портативного компьютера, который мы нашли в ящике стола, как диск 2.

Теперь мы должны блокировать запись на жесткие диски. В этом случае, так как мы собираемся записать изображение на магнитную ленту, мы можем использовать заданные по умолчанию установки утилиты PDBLOCK, при которых блокируются попытки записи на все локальные жесткие диски.

A:\pdblock
***************************************************************************
PDBlock Version 2.00: (P)hysical (D)isk Write (BLOCK)er
Copyright 1999, 2000 DIGITAL INTELLIGENCE, 
  INC - http://www.digitalintel.com
***************************************************************************
Usage: "PDBLOCK {drives} {/nomsg} {/nobell} {/fail}" 
   to (re)configure

Where: drives:  NONE, ALL, or list of hard drives to protect (0-3)
                i.e. "PDBLOCK 0", "PDBLOCK 013", "PDBLOCK 123", etc
                (Default is ALL if not specified)
/nomsg:         Do not display message when write is blocked
/nobell:        Do not ring bell when write is blocked
/fail:          Return write failure code to calling program
                (Default is to fake successful write to calling program)
                "PDBLOCK" with no options (once loaded) will display 
                   help and current config
A:\>

Теперь мы запускаем SnapBack:

A:\>snapback.exe

В главном окне мы видим, что SnapBack распознал наш накопитель на магнитной ленте Exabyte SCSI. Мы выбираем пункт меню Backup (Резервное копирование), чтобы начать процесс судебного дублирования.

В меню Backup выберите опцию 1, Backup Selected Drives/Partitions (Резервное копирование выбранных дисков/разделы).

Список Backup Edit List (Редактируемый список резервного копирования) отображает жесткие диски, которые распознаны системой. Второй диск, жесткий диск объемом 1382Мб, является диском подозреваемого портативного компьютера. Нажмите ENTER, чтобы переключить копирование на Yes (Да), и нажмите F2, чтобы запустить копирование.

SnapBack предполагает, что на магнитной ленте могут быть данные и предупреждает вас, что операция копирования уничтожит все данные, в настоящее время находящиеся на ленте. Выберите Yes (Да) и нажмите ENTER для продолжения.


Теперь SnapBack действительно начнет сохранять судебное изображение на ленте, и окно состояния будет показывать полный объем данных, предназначенный для копирования, количество скопированных данных и скорость передачи.


Когда операция успешно завершится, SnapBack отображает диалоговое окно. Теперь у вас есть возможность рассмотреть файл регистрации. Выберите Yes (Да), чтобы рассмотреть его.

Сергей Хлюкин
Сергей Хлюкин
Россия, Москва, Московский Государственный Открытый Университет, 2007
Игорь Касаткин
Игорь Касаткин
Россия, Москва