Инструментальные средства обеспечения безопасности

Реализация


Первый шаг при выполнении судебного дублирования с помощью EnCase заключается в создании надежного загрузочного диска. Инструментальные средства, обсуждаемые в этой лекции, не имеют столь же простых мастеров, как мастер EnCase. Чтобы создать загрузочный диск и использовать его для получения судебного дублирования исходного жесткого диска с помощью EnCase, выполните следующие действия.

  1. Откройте EnCase и выберите Tools (Сервис), а затем Create Boot Disk (Создание загрузочного диска). Вы увидите следующий экран.


  2. Выберите адресата в группе Target Diskette (Целевая дискета) и щелкните на Next (Далее). Убедитесь, что в дисковод адресата вставлен новый диск.

  3. Выберите опцию Change From A System Diskette To An EnCase Boot Floppy (Сменить системную дискету на загрузочную дискету EnCase) и убедитесь, что отмечен флажок Format Diskette First (Сначала форматировать дискету). Затем щелкните на Next. Обратите внимание, что этот шаг выполняется только в системах Windows 95/98/Me.


  4. Выберите Full (целиком), чтобы полностью отформатировать гибкий диск. Щелкните на Start.


  5. Когда вы закончите форматирование гибкого диска, инструмент сбора данных (acquiring tool) комплекта EnCase нужно будет скопировать снова. После выхода из экрана форматирования появится следующий экран, предназначенный для копирования на гибкий диск инструмента создания изображения (imaging tool) комплекта EnCase. Обычно вам не нужно менять местоположение программы, которая будет скопирована. Щелкните на Finish (Готово) для продолжения.


  6. Когда копия готова, удалите диск и промаркируйте его соответствующим образом. Установите защиту диска от записи, перекинув положение защелки, расположенной в верхнем углу дискеты.
  7. Создайте каталог, в котором инструментом EnCase будут созданы файлы, являющиеся уликами. В этом примере мы ввели C:\EVID\ в качестве такого каталога.



  8. Для этого примера удалите исходный жесткий диск из подозреваемого компьютера и поместите его в судебном компьютере, чтобы выполнить дублирование. Убедитесь, что вы установили начальную загрузку судебного компьютера так, чтобы она происходила с дисковода гибких дисков, а не с диска, удаленного из исходной машины.

    Чтобы создать загрузочный диск, выполняют следующую команду системы Windows 95/98, которая форматирует и копирует требуемые системные файлы и делает диск самозагружаемым.

    C:\>format a:/s

    Как отмечалось прежде, одно из основных положений компьютерной судебной экспертизы состоит в том, чтобы никаким способом не изменить первоначальные улики. К сожалению, загрузочный диск DOS, который вы только что создали, содержит файл IO.SYS с жестко закодированными ссылками на C:\DRVSPACE.BIN, C:\ DBLSPACE.BIN и C:/DRVSPACE.INI. Если подозреваемый диск использует сжатие диска DriveSpace или DoubleSpace, ваш загрузочный диск может пытаться загружать драйверы и устанавливать логически несжатую файловую систему, изменяя дату и временные метки на файле уплотненного диска. Чтобы это не случалось, используйте шестнадцатеричный редактор (шестнадцатеричные редакторы обсуждаются в лекции "Средства просмотра файлов и редакторы общего назначения") и перепишите все ссылки на DRVSPACE.BIN, DBLSPACE.BIN и DRVSPACE.INI в файле IO.SYS. Кроме того, измените все ссылки на диск C:\ диском A:\ в файлах IO.SYS, COMMAND.COM и MSDOS.SYS на гибком диске. Вы должны также удалить файл DRVSPACE.BIN с дискеты. Файлы IO.SYS, DRVSPACE.BIN и MSDOS.SYS имеют атрибуты System (Системный), Hidden (Скрытый) и Read-Only (Только для чтения). Поэтому вы должны использовать команду DOS attrib, чтобы просматривать, изменять или удалять эти файлы. Например, C:\>attrib -S -H -R a:\drvspace.bin удалит эти атрибуты, что позволит вам удалить файл командой C:\>del a:\ drvspace.bin.

    Как только вы создали загрузочную дискету, управляемую системой DOS, можете добавлять необходимые драйверы, в которых вы, возможно, нуждаетесь для своего судебного компьютера. Например, если вам нужен специальный драйвер SCSI, то это самое подходящее время для его добавления. Возможно, вы захотите также включить обычные утилиты DOS типа fdisk.exe и утилиту блокирования записи.

    При использовании дискеты начальной загрузки вы должны всегда проверять установки вашего BIOS, чтобы удостовериться, что гибкий диск является первым устройством, к которому обращаются в процессе начальной загрузки. В противном случае, вы можете по неосторожности загрузиться с подозреваемого жесткого диска.

    Совет. Если вы не знаете наверняка, с какого устройства будет загружаться машина, то разъедините кабель жесткого диска, пока это не выясните!




    Вы должны скопировать утилиту PDBLOCK на свой надежный загрузочный диск прежде, чем начнете выполнение судебного дублирования, чтобы блокировать исходные диски. Загрузитесь, используя свой надежный диск; утилита PDBLOCK запускается из командной строки:

    A:\>pdblock.exe

    Использование: " PDBLOCK {drives} {/nomsg} {/nobell} {/fail}" to (re)configure Где: drives: NONE, ALL, или список жестких дисков предназначенных для защиты (0-3) То есть "PDBLOCK 0", "PDBLOCK 013", "PDBLOCK 123", и т.д. (Значение по умолчанию - ALL (Все), если другого не указано) /nomsg: Не отображать сообщение, когда запись блокирована /nobell: Не давать звонка, когда запись блокирована /fail: Возвратить код ошибки в вызывающую программу (Значение по умолчанию должно возвращать в вызывающую программу фальсифицированный успешный результат)

    "PDBLOCK" без опций (при загрузке) отобразит справку и текущую конфигурацию

    Этот инструмент уникален тем, что он может обеспечивать звуковую и визуальную обратную связь, когда обнаружена и блокирована попытка записи. По желанию эти уведомления можно также подавлять. Вы должны выполнить эту утилиту прежде, чем будете выполнять любое из инструментальных средств судебного дублирования, обсуждаемых в следующих разделах.




    Мы будем использовать инструмент Safeback для получения судебного изображения диска подозреваемого лэптопа. Для начала, мы удалили 2,5-дюймовый жесткий диск из подозреваемого лэптопа для выполнения судебного дублирования. В этом конкретном случае диск был предназначен для того, чтобы быть пользовательским сменным диском. Если бы это было не так, мы могли бы воспользоваться для получения изображения опцией порта принтера, которую предлагает Safeback, и использовать специализированный кабель передачи данных через порт принтера, хотя при этом методе значительно пострадала бы скорость передачи, поскольку это эквивалентно высасыванию океана через соломинку.

    Далее мы прикрепили диск лэптопа к IDE-цепочке нашего судебного компьютера с 2,5-дюймовым IDE-адаптером, который преобразовывает 2,5-дюймовый IDE-диск к 3,5-дюймовому IDE-интерфейсу. Эти адаптеры свободно продаются в магазинах компьютерных деталей, на торговых выставках и т. д. Адаптер, который мы использовали, был приобретен в Corporate Systems Center на сайте www.corpsys.com.

    Когда соответствующие диски подсоединены к нашему судебному компьютеру, мы еще раз проверяем BIOS, чтобы гарантировать, что система загрузится с нашей проверенной загрузочной DOS-дискеты. Затем загружаемся с дискеты. Сначала посмотрим, какие жесткие диски были распознаны.

    A:\>fdisk /STATUS


    DOS нумерует диски, начиная с 1, а утилита блокировки записи начинает блокировать с нуля. В этом случае, диск 1 - это наш диск-хранилище, а диск 2 - это подозреваемый 3,9-гигобайтный диск портативного компьютера. Подозреваемый диск имеет два логических диска с файловыми системами, которые распознаются загрузочным диском; в данном случае, диск 2 имеет логические диски D: и E:.

    Теперь мы должны блокировать запись на подозреваемый жесткий диск, который утилита fdisk распознала как диск 2 (который в действительности был диском 1).

    A:\pdblock 1

    *************************************************************************** PDBlock Version 2.00: (P)hysical (D)isk Write (BLOCK)er Copyright 1999, 2000 DIGITAL INTELLIGENCE, INC - http://www.digitalintel.com *************************************************************************** Использование: " PDBLOCK {drives} {/nomsg} {/nobell} {/fail}" to (re)configure Где: drives: NONE, ALL, или список жестких дисков предназначенных для защиты (0-3) То есть "PDBLOCK 0", "PDBLOCK 013", "PDBLOCK 123", и т.д. (Значение по умолчанию - ALL (Все), если другого не указано) /nomsg: Не отображать сообщение, когда запись блокирована /nobell: Не давать звонка, когда запись блокирована /fail: Возвратить код ошибки в вызывающую программу (Значение по умолчанию должно возвращать в вызывающую программу фальсифицированный успешный результат)




    Мы закончили дублирование диска подозреваемого портативного компьютера с помощью Safeback. Однако в ящике стола, имеющего отношение к подозреваемому компьютеру, мы нашли еще два жестких диска. Один из них был 2,5-дюймовым диском лэптопа с объемом 1.3Гб. Используем инструмент SnapBack, чтобы получить судебное изображение этого диска, и будем обозначать эти улики как Tag3.

    SnapBack имеет несколько модулей, которые выполняют различные задачи. Здесь мы воспользуемся файлом snapback.exe, который использует накопитель на магнитной ленте SCSI для хранения судебного изображения.

    Как только исходный диск подключен к судебному компьютеру, мы загружаемся со своей контрольной DOS-дискеты, которая имеет необходимые SCSI-драйверы для распознавания накопителя на магнитной ленте и программные файлы инструмента SnapBack.

    Чтобы определить, какие диски были распознаны, мы можем еще раз запустить утилиту fdisk с опцией status:

    A:\>fdisk /STATUS


    Утилита показывает наш диск-хранилище как диск 1, и подозреваемый 1,3-гигабайтный диск портативного компьютера, который мы нашли в ящике стола, как диск 2.

    Теперь мы должны блокировать запись на жесткие диски. В этом случае, так как мы собираемся записать изображение на магнитную ленту, мы можем использовать заданные по умолчанию установки утилиты PDBLOCK, при которых блокируются попытки записи на все локальные жесткие диски.

    A:\pdblock *************************************************************************** PDBlock Version 2.00: (P)hysical (D)isk Write (BLOCK)er Copyright 1999, 2000 DIGITAL INTELLIGENCE, INC - http://www.digitalintel.com *************************************************************************** Usage: "PDBLOCK {drives} {/nomsg} {/nobell} {/fail}" to (re)configure

    Where: drives: NONE, ALL, or list of hard drives to protect (0-3) i.e. "PDBLOCK 0", "PDBLOCK 013", "PDBLOCK 123", etc (Default is ALL if not specified) /nomsg: Do not display message when write is blocked /nobell: Do not ring bell when write is blocked /fail: Return write failure code to calling program (Default is to fake successful write to calling program) "PDBLOCK" with no options (once loaded) will display help and current config A:\>




    При клонировании компьютерных систем, Ghost делает предположения о файловых системах, которые он обнаруживает и распознает. Например, в системе Windows для ускорения клонирования он распознает логическую файловую систему, копирует индивидуальные файлы и пропускает определенные файлы, типа файлов подкачки (swap files) Windows. Поскольку для судебных целей мы хотим иметь истинную копию жесткого диска сектор за сектором, то эта утилита могла бы быть не адекватна. Однако у Ghost есть выбираемая пользователем опция "для использования юридическими агентствами, которым требуется судебное изображение".

    Хотя Ghost и является приложением DOS, у него есть мастер загрузки с графическим интерфейсом пользователя (GUI), который поможет вам создать загрузочный диск для ваших специфических потребностей. Для этого конкретного примера мы создадим загрузочный диск, который поддерживает пишущее устройство на компакт-диски, позволяющее записывать судебное изображение непосредственно на компакт-диски. Хотя это может занять больше времени, чем запись на ленту, вы должны знать, что такая опция существует.

    После установки инструмента Norton Ghost нужно создать загрузочный диск, выбрав мастер Norton Ghost Boot Wizard из группы программ Norton Ghost 2001. Для этого конкретного случая мы создадим загрузочный компакт-диск, который поддерживает наше устройство записи на компакт-диски.


    Мастер начальной загрузки запрашивает местоположение файла GhostPE.exe. У него уже должна быть достоверная информацию, поэтому просто нажмите Next (Далее).


    Мастер спросит вас относительно дисковода гибких дисков и порекомендует сначала отформатировать диск. Если вы уже отформатировали диск, это не всегда обязательно, но если на этот счет есть какие-либо сомнения, то вы должны полностью отформатировать его повторно.


    Обзорное диалоговое окно позволяет вам проверить параметры настройки. Нажмите Next (Далее) для продолжения.


    Далее появится стандартное диалоговое окно Windows Format (Форматирование). Щелкните на Start (Пуск), чтобы отформатировать гибкий диск, и закройте окно, как только форматирование будет закончено.


    После того как вы отформатируете диск и закроете диалоговое окно Format, требуемые системные файлы будут скопированы на гибкий диск. Обратите внимание, что этот процесс не создает истинный загрузочный диск, управляемый DOS, как говорилось ранее в этой лекции. Вам потребуется исследовать системные файлы, чтобы определить, имеются ли какие-либо жестко закодированные ссылки на утилиты сжатия диска, и сделать соответствующие изменения, а также, добавить любые программы, типа блокировщиков записи, после того как процесс создания загрузочного диска завершится.

    После того как требуемые файлы будут скопированы, создание загрузочного диска закончится. Щелкните на Finish (Готово), чтобы выйти из мастера начальной загрузки.

    Теперь, когда у вас есть загрузочный диск, завершите работу Windows и подключите 2,5-гигабайтный жесткий диск, найденный в ящике стола подозреваемого компьютера к IDE-цепочке судебного компьютера. Используйте свой недавно созданный загрузочный диск, чтобы запустить Norton Ghost 2001. Нажмите OK для продолжения.

    Как упоминалось ранее, заданные по умолчанию опции предназначены для быстрого клонирования систем, которое не подходит для судебных целей. Чтобы задать нужные нам опции, мы должны войти в меню Options (Параметры).


    Меню Options содержит несколько вкладок, первая из которых - Span /CRC. Так как мы будем записывать судебное изображение на компакт-диск, предназначенный для одноразовой записи, мы должны разрешить перекрытие (spanning). Мы также хотим разрешить опцию AutoName, чтобы не получать запрос об имени файла каждый раз, когда мы вставляем компакт-диск.


    Так как подозреваемый диск может иметь сбойные кластеры, мы должны выбрать Force Cloning (Вынудить клонирование) на вкладке Misc (Разное), чтобы гарантировать, что процесс отображения продолжится, даже если будет обнаружен сбойный кластер.


    Мы также хотим включить опции Image Disk (Сделать изображение диска) на вкладке Image/Tape (Изображение/Лента). Эта опция допускает эквивалент судебного изображения. Этот режим можно также включить из командной строки, используя опцию -id.


    Сохраните параметры настройки, которые обновят файл GHOST.INI, и щелкните на Accept (Принять), чтобы вернуться к главному окну программы.


    В главном окне программы выберите пункты Local/Disk/To Image (Локальный/Диск/Отобразить).


    Вас попросят выбрать исходный диск для отображения. Здесь нам нужен диск 1, так что выберите его и щелкните на OK.


    Мы хотим копировать файлы на наше устройство CDR, которое распознал загрузочный диск Ghost. Выберите его из раскрывающегося списка.


    Это будут улики с именем Tag4, и таким именем мы назовем файл изображения. Здесь мы также вносим описание, которое включает информацию, специфическую для диска и конкретного случая.


    В данном случае, мы хотим сделать сильное сжатие. Сжатие данных потребует меньше компакт-дисков и, вероятно, сократит процесс дублирования изображения.


    Хорошая опция позволяет нам сделать первый компакт-диск изображения самозагружаемым. Это упростит процесс восстановления, так что мы выберем Yes (Да).


    Чтобы сделать компакт-диск самозагружаемым, нужно прочесть загрузочную дискету. Удостоверьтесь, что дискета находится в дисководе A:; затем щелкните на Yes (Да).


    Norton сообщает нам, что для создания изображения потребуется приблизительно три компакт-диска. У нас достаточно чистых компакт-дисков, поэтому нажимаем Yes (Да).


    Начинается процесс отображения. Окно состояния показывает индикатор хода работ, процент выполненной работы, время, прошедшее от начала процесса, и оставшееся время до его окончания.


    увеличить изображение

    Когда запись на первый компакт-диск завершится, программы попросит следующий. Вставьте чистый диск и щелкните на OK.


    Получив третий компакт-диск, диалоговое окно сообщит, что отображение закончено успешно.

    Вы выполнили судебное дублирование, используя инструмент Norton Ghost 2001 Personal Edition.

    Пример из жизни. Поиск и захват!

    Как самого новичка-полицейского, вас часто выбирают для исполнения обязанностей по захвату и описи имущества в вашем округе. Сегодня вам позвонил один из ваших начальников и сообщил, что во второй половине дня намечается проверка компьютерного магазина, и что в этом событии вам поручается проводить судебное дублирование. Вооружившись программами EnCase, Safeback, SnapBack и Ghost, вы надеваете свой пуленепробиваемый жилет и присоединяетесь к остальной части группы.

    Во время осмотра рабочего помещения, были найдены настольный компьютер (~6Гб) и лэптоп (~3,9Гб). Кроме того, в правом верхнем ящике стола подозреваемого находился еще один диск портативного компьютера (~1,3Гб), установленный в каретке дисков для подозреваемого лэптопа. Дополнительный жесткий диск (~2,5Гб) настольного компьютера был найден прилепленным клейкой лентой к днищу стола подозреваемого.

    Обычно вы использовали один метод для получения всех судебных изображений. Однако чтобы познакомить вас с разными типами программного обеспечения, предназначенного для судебного дублирования, в этой лекции демонстрируется процесс дублирования с использованием инструментов EnCase, Safeback, SnapBack и Ghost.

    EnCase. Инструмент EnCase использовался в этой лекции, чтобы скопировать первый 6-гигабайтный жесткий диск, обнаруженный во время облавы. Файлы улик были сохранены на диске-хранилище судебного компьютера для анализа, описанного в следующей лекции.

    Safeback. Инструмент Safeback использовался для дублирования 3,9-гигабайтного диска портативного компьютера, обнаруженного во время описи. Файлы улик были также сохранены на диске-хранилище судебного компьютера для анализа, описанного в следующей лекции.

    SnapBack. Инструмент SnapBack использовался для судебного дублирования 1,3Гб жесткого диска портативного компьютера, захваченного во время рейда. Копия диска была сохранена на магнитной ленте резервного копирования с использованием единственной опции хранения этого инструмента.

    Ghost. Чтобы проиллюстрировать использование других средств сохранения улик, мы использовали Ghost. Используя Ghost, мы смогли сохранить судебную копию, предназначенную для дальнейшего анализа, на трех компакт-дисках. Исходный жесткий диск, который мы дублировали, имел объем в 2,5Гб, он был захвачен из-под стола подозреваемого во время облавы.

    Если бы у нас не было устройства записи на компакт-диски (CDR) в нашем судебном компьютере, то Ghost мог бы послать изображение по сети. У инструмента SnapBack тоже есть такая возможность, а EnCase позволяет делать предварительный просмотр и копирование через перекрестный (crossover) сетевой кабель. Имейте это в виду, если вы не можете установить диск-источник и диск-хранилище в одной и той же машине (такое может быть в некоторых аппаратных конфигурациях RAID!).

    <

    Содержание раздела