I libri di medicina legale raccomandano spesso di lavorare su un'immagine del disco rigido anziché sull'unità originale.
Devo prendere questa precauzione anche se uso un blocco di scrittura? Se sì, perché?
Poiché la normale operazione di lettura su un disco che presenta un errore (fisico o logico) può causare il danneggiamento dei dati, la distruzione e persino la scrittura per recuperare blocchi danneggiati.
Devi tenere presente che anche l'operazione di lettura può portare a danni fisici o alla modifica dei dati.
Should i take this precaution even if i use a write blocker?
Devi preoccuparti di lavorare su un'immagine del disco rigido invece del disco originale perché anche se un blocco scrittura ha accesso in lettura solo ai tuoi dischi rigidi, deve ricordare che una causa comune di guasto dell'HDD è un arresto anomalo della testa dove una testina di lettura-scrittura di un disco rigido l'unità entra in contatto con il piatto rotante . Poiché questo è un tipo di errore fisico, un blocco di scrittura non fa differenza.
Un blocco di scrittura impedisce la modifica del disco di origine. Quindi le tue immagini fatte sono esattamente identiche alla fonte. Se colleghi un disco è possibile che possa essere modificato dal sistema operativo.
Inoltre, con un writeblocker, mantieni la conformità della fonte e legalmente è un punto cruciale.
Alla fine, è meglio lavorare su una copia e non sull'originale. Se si verifica un errore durante l'operazione, l'originale verrà distrutto e quindi la prova legale.
Hai due problemi.
Mantenere il disco in una cassastrong che richiede l'apertura di due chiavi e il possesso di due persone è molto più facile da spiegare a un giudice, quindi un "blocco di scrittura". L'uso di un'immagine ti consente di mantenere il disco originale nella cassastrong a parte quando viene creata l'immagine.
In realtà, l'immagine di un disco rigido è consigliata come best practice. Non è un requisito. Ci sono volte che non giustificano la realizzazione di un'immagine. Essere un esperto nel campo ti dà la possibilità di prendere questa decisione. Assicurati solo di poter esprimere i motivi per cui non hai seguito le procedure di best practice e starai bene.
Generalmente, si crea un'immagine dell'unità per prevenire danni fisici all'unità originale, come menzionato in altre risposte. Più a lungo un'unità è attiva, più possibilità ci sono di far uscire la magia. Parte del processo di creazione di un'immagine sta anche effettuando una copia di backup dell'immagine e registrando l'MD5 (o altro algoritmo) al momento dell'acquisizione. Ciò garantisce che l'immagine che hai scattato rimanga la stessa nel corso delle indagini e ti consente di convalidare che l'immagine è ancora gli stessi anni dopo se / quando il caso arriva in tribunale.
Ci sono anche momenti in cui uno scenario richiede (o suggerisce) che un'unità venga restituita al proprietario immediatamente dopo essere stata catturata. Questo può essere per molte ragioni, ma alcune sono indagini aziendali, indagini su macchine vittima e casi in cui l'imputato ha convinto un giudice che è una difficoltà finanziaria essere senza i loro dati.
Questo ovviamente solleva la questione di essere in grado di convalidare l'immagine rispetto al disco originale, ed è qui che entra in gioco la "regola delle prove migliori". È accettato da molti tribunali che una copia digitale di un'unità o di un file è la stessa dell'originale. Questa regola è stata originata da parole scritte o immagini su carta in tempi precedenti a una fotocopiatrice. L'unico modo per duplicare quelle pagine era di trascrivere, e quel processo poteva introdurre errori. Sicuramente un'operazione di copia / incolla può anche introdurre un errore in un file digitale, ma questo è il caso in cui abbiamo MD5 simile per salvare il giorno con la convalida matematica.
Inoltre, ci sono alcuni strumenti disponibili per analizzare i dati che non sono in grado di accedere ad alcune aree protette dei file system. L'elaborazione su un'immagine rimuove quelle complessità. Alcuni esempi potrebbero essere $ MFT, $ UsnJrnl, $ Catalog, tabella Inode e altro. Windows può anche accedere al modo in cui si accede alle cartelle ACL con restrizioni di un'unità, se si analizzano i file dal disco e non si bloccano i dati dai settori.
Ci sono anche momenti in cui non vuoi prendere il tempo di creare un'immagine. Per le forze dell'ordine sulla scena di una ricerca, il mandato di perquisizione spesso limita i computer che possono essere portati via nel sequestro. Esistono criteri che richiedono che gli agenti eseguano una valutazione per identificare gli artefatti attesi e solo allora possono essere riportati al laboratorio.
Un'altra situazione che non richiede un'immagine è per un'unità che non dovrebbe contenere molti (o nessun) artefatto. Gli esaminatori cercheranno di effettuare ricerche mirate con l'unità collegata tramite un blocco di scrittura prima di passare il tempo a visualizzarlo.
Aziona l'immagine al momento con una velocità massima di 16 GiB al minuto. Questo è il migliore dei casi con il più veloce blocker / imager (Tableau TD2u) e le unità più veloci. La velocità scende solo da lì in base a numerosi fattori.
Infine, poiché alcuni formati di immagine supportano la compressione (e01), la ricerca può essere effettivamente più veloce poiché i grandi blocchi di 0x00 possono essere ignorati. Inoltre ti risparmia il fastidio di dover mettere insieme tutte le apparecchiature e gli adattatori di alimentazione necessari per utilizzare un blocco di scrittura.
Fonte: 15 anni di esperienza nel campo della medicina legale digitale, sia in materia societaria che di diritto.
Poiché non è possibile contestare che sia necessario azionare un disco rigido di prova una volta per scattare una foto prima di un'indagine, è chiaro in termini di legge. Affermare che era necessario gestirlo più di tanto (perché eri troppo pigro per scattare una foto) è probabile che porti a molte domande complicate, dovendo dimostrare le tue azioni e mettendo a rischio le prove in caso di guasto dell'hardware.
I dischi rigidi di prova dovrebbero sempre essere trattati in questo modo:
Oltre a ciò che è già stato detto, a volte è utile poter scrivere sul disco rigido di prova, ad esempio per collegare nuovamente i file cancellati nel filesystem. In tal caso, l'unica opzione è usare un'immagine. (Si potrebbe usare copy-on-write, ma dato che le immagini hanno anche altri vantaggi non c'è davvero alcun motivo per usare copy-on-write anziché un'immagine a meno che non si abbia uno spazio di lavoro molto limitato - nel qual caso non si dovrebbe sto facendo lavoro per computer forense.)
Leggi altre domande sui tag forensics