Questão Como é possível fazer uma cópia pouco a pouco de um disco rígido enquanto o utiliza?


Aprendi em perícia que você pode implantar um agente em um computador remoto e fazer com que ele recupere uma cópia exata do disco rígido remoto, incluindo espaço não alocado e troca, mesmo enquanto estiver sendo usado. Esta cópia é enviada para o seu PC através da internet pelo agente e, em seguida, você pode trabalhar no seu PC.

Um exemplo de tal software é o EnCase.

No entanto, eu não entendo como isso é possível. Se o computador está sendo usado, algumas partes não são inatingíveis, como o arquivo com os hashes SAM no Windows? Ou se as alterações forem feitas nos arquivos enquanto o agente estiver copiando-os?


3


origem


Em máquinas com sistema operacional Windows (e, aparentemente, servidores Samba), isso é feito por meio do Serviço de Cópias de Sombra de Volume, VSS, que obtém um instantâneo da unidade. Sim, os dados na unidade podem mudar, mas a captura instantânea é invariante. Vejo en.wikipedia.org/wiki/Shadow_Copy. Para outro sistema operacional, no entanto, seria necessário haver um método alternativo. - DrMoishe Pippik
@ DrmoishePippik Legal, obrigado! - Mark Read


Respostas:


Você não

Na verdade, existem duas escolas de pensamento em relação à imagem de disco forense.

o moda antiga método era desligar o PC imediatamente, e imagem da unidade em esse estado, para garantir que nada mudasse. Também assegurou um certo grau de negação plausível ...

E isso não funcionou muito bem no momento em que as pessoas perceberam que você poderia criptografar uma unidade com uma senha.

Enquanto viver captura forense não garante que nada em tudo é sempre alterado, com registro adequado, você sabe o que o examinador fez. Também é útil, pois se o suspeito não tiver trancado o sistema, provavelmente você pode obter dados suficientes copiados para descobrir o que está acontecendo.

Aprendi em perícia que você pode implantar um agente em um computador remoto e fazer com que ele recupere uma cópia exata do disco rígido remoto, incluindo espaço não alocado e troca, mesmo enquanto estiver sendo usado. Esta cópia é enviada para o seu PC através da internet pelo agente e, em seguida, você pode trabalhar no seu PC.

Parece que você está confundindo ambos os processos - você ou execute um agente e outras ferramentas em um banco de dados ou puxe o disco rígido para a imagem nos métodos "tradicionais" ou use ferramentas ativas ou um bom e antigo trabalho investigativo em um sistema em execução. Você não pode realmente obter uma duplicata forense adequada em um sistema em execução.

EnCase, por exemplo, permite trabalhar em um VHD ou VMDK feito com outra ferramenta, mas você não o executará diretamente em um sistema que está sendo investigado.


0





O objetivo não é criar uma imagem perfeita da unidade, mas uma cópia razoável dos dados importantes, ou seja, dados do usuário. Se a unidade for acessada usando comandos de disco de baixo nível, e não comandos do sistema de arquivos, ela poderá solucionar problemas, como bloqueios de arquivos e arquivos abertos. Mas esses são provavelmente arquivos do sistema operacional que não são dados do usuário. A linha inferior é que os dados que você está interessado em geralmente estão em repouso no disco, mesmo quando o sistema está sendo executado.


-1



Por favor, esclareça e adicione um pouco mais de contexto a esta resposta para transmitir exatamente o que você está sugerindo e por que ela funciona, etc. Você sabe, considere adicionar alguma referência a essa resposta apoiando o que você declara e por que é. - Pimp Juice IT


Sim, em alguns casos, você precisa ter um link físico para o dispositivo e permissão. Se não, você precisará de conjuntos de hash e uma ordem judicial. Cuidado .. isso é escutas telefônicas


-2



Você pode emular um HD ou computador com software forense. Você pode fazer isso com um link físico ou pela rede. A implantação de um agente requer permissão. Se você não tem permissão, você precisa de chaves de criptografia (conjuntos de hash) e uma ordem judicial, pois isso é escutas telefônicas. - Patrick Joseph
Eu não vou dar informações mais específicas, pois isso seria irresponsável, pois ajuda no hacking. - Patrick Joseph
O que está sendo perguntado pelo autor não é considerado escutas telefônicas no mundo da segurança. - Ramhound
@PatrickJoseph Esta pergunta está perguntando como é feito, não como fazê-lo. Sua resposta não fornece nada útil para o OP. Não é considerado hacking neste caso. Tenho certeza de que OP conhece os perigos legais de fazê-lo, pois eles aprenderam isso em CLASSE forense. Eles estão recebendo uma educação sobre esse tópico exato. Eles sabem o que você precisa, eles só querem saber como esses softwares são capazes de acessar coisas que um sistema operacional iria impedi-los de acessar. - var firstName
Discordo, Perguntar quais alterações são feitas indicará quais rastreamentos procurar. OP indicado EnCase .. guidancesoftware.com/encase-forensic. Este não é um software de operação remota para um novo trabalho. É software forense e destina-se a cortar, esculpir e extrair dados para investigação. Se OP tivesse uma aula, por que não perguntar na aula? - Patrick Joseph