Di cosa ho bisogno di essere a conoscenza per selezionare un metodo di trasferimento per dati forensi digitali?

6

Ho una domanda relativa all'uso della tecnologia forense per raccogliere prove da workstation / dispositivi portatili / portatili?

Vorrei provare a spiegare meglio questo scenario, considerando un ambiente di lavoro in cui noi (come team di sicurezza tecnica) riceviamo una chiamata per le indagini nella posizione xyz per raccogliere qualche tipo di prova digitale. Al momento, non abbiamo i mezzi forensi per fare ciò, basandoci semplicemente sui mezzi manuali di base per raccogliere i dati.E.g cercando file histroy, cartelle temporanee.

Ora, dopo un mese di discussioni sui vantaggi dell'uso della tecnologia forensica, abbiamo elaborato una strategia in cui utilizzeremmo duplicatori di dischi rigidi per recuperare dati da workstation / laptop remoti e scrivere per scrivere hard-hard protetti dischi.

Ora, dove sono bloccato nell'intero processo, è come ottimizzare il trasferimento dei dati dalle unità al sistema di analisi. Il sistema di analisi in questo caso userebbe il software EnCase. Voglio sapere dalla lista sottostante quale sarebbe il modo ottimale per trasferire prove ai sistemi di analisi.

  1. Workstation / laptop collegato al disco rigido esterno
  2. Workstation / laptop collegato all'interfaccia USB
  3. Workstation / laptop collegati al disco rigido collegato in rete.
  4. Anche altri metodi non menzionati qui.

Considerando che nel nostro ambiente il volume delle unità disco passa da un terabyte all'altro. Ad esempio, un'immagine di un'unità di un terabyte copiata nel sistema di analisi attraverso qualunque canale dovrebbe essere abbastanza veloce da consentire al software forense di eseguire query complesse, ad esempio trovare file cancellati o accedere al computer tramite terminale remoto.

Voglio sapere del metodo sopra menzionato che fornisce l'analisi più veloce delle prove. Considerando che non c'è carenza di spazio per archiviare le prove digitali nel sistema di analisi.

    
posta Saladin 14.02.2013 - 15:03
fonte

4 risposte

4

Quando i computer vogliono avere accesso rapido ai dischi rigidi, usano SATA. USB, Firewire ... vanno bene per i dischi esterni , ma data la scelta (cioè quando stiamo parlando del disco che va dentro il computer), i computer usano SATA. Pertanto, si desidera utilizzare SATA.

Quindi, per la tua analisi, vuoi:

  1. Copia l'intero disco per ispezionarlo su un nuovo disco rigido. I duplicatori di dischi rigidi di solito usano SATA, quindi vorresti estrai il disco sorgente e collegalo al duplicatore, insieme al disco di destinazione. I buoni hard disk meccanici superano da 100 a 150 MB / s, quindi per un disco da 1 TB ci vorranno almeno due ore. Le unità SSD sono più veloci e rendono SATA ancora più importante.

  2. Collega la copia alla macchina che eseguirà l'analisi (connessione interna, SATA di nuovo).

Suggerirei di non avviare la macchina per l'analisi, anche su un CD-ROM o una chiave USB, perché ciò comporta il giochino con le impostazioni del BIOS, quindi "inquinante" la scena del crimine. Inoltre, ciò limiterà le tue opzioni a USB e il massimo USB-2.0 a 60 MB / s (limite teorico, raramente raggiunto).

Per un'analisi ancora più rapida , trasforma il disco di destinazione in un SSD (che dovrà essere abbastanza grande da contenere una copia completa del disco di origine e grandi SSD costosi, ma incredibilmente veloci! ).

    
risposta data 14.02.2013 - 15:55
fonte
1

Personalmente, sono un grande fan del boot in un liveCD forense (fai la tua scelta, EnCase funziona bene) e poi l'immagine su un disco esterno. È economico, veloce e facile da consegnare a terzi (come ad esempio le forze dell'ordine).

    
risposta data 14.02.2013 - 15:13
fonte
1

EnCase ha una varietà di modi per acquisire prove dalle unità. Consiglio vivamente di ottenere la Guida allo studio EnCE che include un ampio capitolo sui metodi di acquisizione dei dati.

Coppia di suggerimenti:

  • Se il computer è acceso; lasciarlo acceso I volumi crittografati verranno probabilmente sbloccati / aperti. Chiudere il computer quasi certamente bloccherà questi e ottenere la password da qualcuno che è "colpevole" è probabile. Utilizzare un'utilità di dump della memoria per afferrare il contenuto della RAM. Fai del tuo meglio per non cambiare nulla sul computer.
  • Ottieni un adattatore USB HD (preferibilmente con SATA e PATA) con capacità di blocco della scrittura. Questi non sono terribilmente economici, ma rendono l'esame iniziale molto più rapido e semplice nella maggior parte dei casi. La duplicazione delle unità sarà necessaria in alcuni casi, specialmente se la polizia viene coinvolta.
  • Bag-n-tag, scatta foto (anche delle cose più oscure), documenta tutto estesamente.
risposta data 14.02.2013 - 15:59
fonte
0

Non posso commentare ...

Per aggiungere a @ thomas-pornin answer, dovresti prendere in considerazione uno specifico duplicatore / riproduttore hardware in grado di creare file di prova e01 / ex01. Questo è il formato che EnCase utilizza e supporta la compressione che aumenterà la velocità di analisi indipendentemente dall'interfaccia utilizzata. Riconosce i blocchi con un pattern di riempimento e lo registra nei metadati senza dover scrivere i dati di KiB sull'unità.

So che ci sono molti duplicatori hardware che supportano questo, ma ne conosco solo uno in cima alla mia testa. Tableau TD2 o TD3 .

    
risposta data 29.08.2013 - 00:51
fonte

Leggi altre domande sui tag