Россия, Москва, Московский Государственный Открытый Университет, 2007 |
Коммерческие наборы инструментов для судебного дублирования
В данном случае, мы хотим сделать сильное сжатие. Сжатие данных потребует меньше компакт-дисков и, вероятно, сократит процесс дублирования изображения.
Хорошая опция позволяет нам сделать первый компакт-диск изображения самозагружаемым. Это упростит процесс восстановления, так что мы выберем Yes (Да).
Чтобы сделать компакт-диск самозагружаемым, нужно прочесть загрузочную дискету. Удостоверьтесь, что дискета находится в дисководе A:; затем щелкните на Yes (Да).
Norton сообщает нам, что для создания изображения потребуется приблизительно три компакт-диска. У нас достаточно чистых компакт-дисков, поэтому нажимаем Yes (Да).
Начинается процесс отображения. Окно состояния показывает индикатор хода работ, процент выполненной работы, время, прошедшее от начала процесса, и оставшееся время до его окончания.
Когда запись на первый компакт-диск завершится, программы попросит следующий. Вставьте чистый диск и щелкните на OK.
Получив третий компакт-диск, диалоговое окно сообщит, что отображение закончено успешно.
Вы выполнили судебное дублирование, используя инструмент Norton Ghost 2001 Personal Edition.
Пример из жизни. Поиск и захват!
Как самого новичка-полицейского, вас часто выбирают для исполнения обязанностей по захвату и описи имущества в вашем округе. Сегодня вам позвонил один из ваших начальников и сообщил, что во второй половине дня намечается проверка компьютерного магазина, и что в этом событии вам поручается проводить судебное дублирование. Вооружившись программами EnCase, Safeback, SnapBack и Ghost, вы надеваете свой пуленепробиваемый жилет и присоединяетесь к остальной части группы.
Во время осмотра рабочего помещения, были найдены настольный компьютер (~6Гб) и лэптоп (~3,9Гб). Кроме того, в правом верхнем ящике стола подозреваемого находился еще один диск портативного компьютера (~1,3Гб), установленный в каретке дисков для подозреваемого лэптопа. Дополнительный жесткий диск (~2,5Гб) настольного компьютера был найден прилепленным клейкой лентой к днищу стола подозреваемого.
Обычно вы использовали один метод для получения всех судебных изображений. Однако чтобы познакомить вас с разными типами программного обеспечения, предназначенного для судебного дублирования, в этой лекции демонстрируется процесс дублирования с использованием инструментов EnCase, Safeback, SnapBack и Ghost.
EnCase. Инструмент EnCase использовался в этой лекции, чтобы скопировать первый 6-гигабайтный жесткий диск, обнаруженный во время облавы. Файлы улик были сохранены на диске-хранилище судебного компьютера для анализа, описанного в следующей лекции.
Safeback. Инструмент Safeback использовался для дублирования 3,9-гигабайтного диска портативного компьютера, обнаруженного во время описи. Файлы улик были также сохранены на диске-хранилище судебного компьютера для анализа, описанного в следующей лекции.
SnapBack. Инструмент SnapBack использовался для судебного дублирования 1,3Гб жесткого диска портативного компьютера, захваченного во время рейда. Копия диска была сохранена на магнитной ленте резервного копирования с использованием единственной опции хранения этого инструмента.
Ghost. Чтобы проиллюстрировать использование других средств сохранения улик, мы использовали Ghost. Используя Ghost, мы смогли сохранить судебную копию, предназначенную для дальнейшего анализа, на трех компакт-дисках. Исходный жесткий диск, который мы дублировали, имел объем в 2,5Гб, он был захвачен из-под стола подозреваемого во время облавы.
Если бы у нас не было устройства записи на компакт-диски (CDR) в нашем судебном компьютере, то Ghost мог бы послать изображение по сети. У инструмента SnapBack тоже есть такая возможность, а EnCase позволяет делать предварительный просмотр и копирование через перекрестный (crossover) сетевой кабель. Имейте это в виду, если вы не можете установить диск-источник и диск-хранилище в одной и той же машине (такое может быть в некоторых аппаратных конфигурациях RAID!).