Kad izmeklētājam vai policijai jāpārbauda datora lietošana, nav tā, ka viņš sāk uzlaupīt Windows, meklējot failus, šķirot tos pēc datuma un tā tālāk. Es neesmu šīs jomas eksperts, bet es zinu, ka tiek veikta iekšējā pārbaude par cietā diska izmantošanu, izmantojot īpašas digitālās izmeklēšanas programmas. Šāda veida programma izveido cietā diska kopiju, ļauj analizēt failus, lai pārbaudītu, piemēram, nelikumīgu izmantošanu, vīrusu infekciju cēloņus vai pierādījumus par kādu noziegumu. Plaši pazīstamais programmatūras izstrādes uzņēmums Passmark, kurš šajā emuārā jau bija iepazinies ar etaloninstrumentiem, ir izlaidis bezmaksas programmu OSForensics, kas ļauj padziļināti kontrolēt katru datora lietošanas detaļu.
Tas nodrošina arī dažus patiešām vienkārši lietojamus rīkus, kurus var izmantot, lai precīzi izveidotu datora cietā diska kopiju .
Tomēr šai klonēšanai nav dublēšanas vai labošanas, bet tikai kļūdaini izdzēstu failu analīze un, ja kas, atjaunošana.
Datora diska kriminālistikas kopija kalpo vairākiem mērķiem, daži skaidri, citi daudz mazāk. Tā kā šis rīks ir bezmaksas un ļoti ērti lietojams, neslēpju, ka to var izmantot, piemēram, slepenā kolēģa vai drauga datora kopijas izveidošanai.
Starp labākajām kriminālistikas datorprogrammām, lai atrastu visus datora datus, ir OSForensics, kas ir īsts bezmaksas komplekts datoru izmeklētājiem. Apskatīsim saistītos rīkus, kuriem var būt tūlītēja lietderība.
OSFClone šobrīd tiek piedāvāts kā bezmaksas rīks (izejot no beta versijas tas vairs var nebūt) un darbojas uz jebkura datora (Windows, Mac Linux).
OSFClone ir ISO attēls, ko var ierakstīt kompaktdiskā, DVD vai USB atmiņā.
Lai instalētu USB atmiņā, ir jāizpilda fails ImageUSB.exe un jāveic dažas papildu darbības, kas aprakstītas instrukcijas lapā.
Restartējot datoru ar sāknēšanu no CD / DVD atskaņotāja vai USB atmiņas kartes, OSFClone tiek startēts nekavējoties un automātiski, neatkarīgi no datorā instalētās operētājsistēmas. Operētājsistēmas vietā tiek startēta automātiskās sāknēšanas programma, tai nav nepieciešama datora īpašnieka autentifikācija vai parole un tā darbojas pat tad, ja Windows vairs nedarbojas.
Nav grafiska interfeisa, bet, pat ja tas ir tikai komandrindā, tas ir patiešām vienkārši lietojams. Sākumā jānospiež taustiņš Enter, pēc tam programma uzreiz parāda opcijas, kas ir pieejamas teksta izvēlnē. Izmantojiet tastatūru, lai izvēlētos kādu no iespējām, uzrakstot numuru, un nospiediet enter, lai sāktu darbību.
OFSClone spēj izveidot diska vai nodalījuma kopiju attēlus neapstrādātā formātā (IMG, ISO vai BIN) vai Forensics Advance (AFF) formātā.
Vēl viena interesanta iespēja ir iespēja pārbaudīt, vai klonētais disks ir identisks kopētajam cietajam diskam, salīdzinot hashes starp klonu un avota diskdzini.
Kad cietā diska kopija ir iegūta, lai to atvērtu arī citā datorā, varat izmantot programmatūru OSFMount, kas ļauj uzstādīt attēlu un analizēt to.
Vēl viena bezmaksas programma, kas var izgatavot precīzu cietā diska kopiju pa nozarēm, ir HDD neapstrādāta kopēšanas rīks .
HDD neapstrādāta kopēšanas rīks atbalsta S-ATA (SATA), IDE (E-IDE), SCSI, SAS cietos diskus un darbojas arī ar jebkuru USB vai FireWire portu, tāpēc, lai kopētu USB atmiņas kartes, SD kartes, MMC un atmiņas kartes. Rīks izveido visu cietā diska apgabalu (ieskaitot MBR, sāknēšanas ierakstu) pa sektoriem kopijas.
Es gribu paskaidrot, ka tie nav rezerves rīki un, lai arī tos var izmantot failu atkopšanai no datora, tā drīzāk ir analīzes un verifikācijas programma, kas piemērota tikai ļoti specifiskām vajadzībām.
Citā rakstā aprakstītas labākās programmas diska klonēšanai un dublēšanai un datora atjaunošanai .
