Wie ist es möglich, eine Festplatte während der Verwendung Stück für Stück zu kopieren?

917
Mark Read

Ich habe in der Forensik gelernt, dass Sie einen Agenten auf einem Remote-Computer bereitstellen können und eine exakte Kopie der Remote-Festplatte abrufen können, einschließlich nicht zugewiesenem Speicherplatz und Swap, selbst wenn diese verwendet wird. Diese Kopie wird vom Agenten über das Internet an Ihren PC gesendet, und Sie können dann an Ihrem PC daran arbeiten.

Ein Beispiel für eine solche Software ist EnCase.

Ich verstehe jedoch nicht, wie das möglich ist. Wenn der Computer verwendet wird, sind einige Teile davon nicht unbrauchbar, z. B. die Datei mit den SAM-Hashwerten in Windows? Oder was ist, wenn Änderungen an Dateien vorgenommen werden, während der Agent sie kopiert?

3
Auf Windows-Betriebssystemen (und anscheinend Samba-Servern) erfolgt dies über den Volume Shadow Copy-Dienst VSS, der eine Momentaufnahme des Laufwerks erstellt. Ja, die Daten auf dem Laufwerk können sich ändern, der Snapshot ist jedoch unveränderlich. Siehe https://en.wikipedia.org/wiki/Shadow_Copy. Für andere Betriebssysteme müsste es jedoch eine alternative Methode geben. DrMoishe Pippik vor 6 Jahren 2
@DrMoishePippik Cool, danke! Mark Read vor 6 Jahren 0

3 Antworten auf die Frage

0
Journeyman Geek

Du nicht

In Bezug auf die forensische Plattenabbildung gibt es eigentlich zwei Denkrichtungen.

Die Oldschool- Methode bestand darin, den PC sofort vom Netz zu trennen und das Laufwerk in diesem Zustand zu sichern, um sicherzustellen, dass nichts geändert wurde. Es wurde auch ein gewisses Maß an plausibler Verneinbarkeit gewährleistet ...

Und das hat nicht wirklich gut funktioniert, als die Leute merkten, dass man ein Laufwerk mit einem Passwort verschlüsseln konnte.

Während Live - Forensik - Capture stellt nicht sicher, dass nichts überhaupt ist immer verändert, mit der richtigen Protokollierung, wissen Sie, was der Prüfer getan hat. Das ist auch praktisch, denn wenn der Verdächtige sein System nicht gesperrt hat, können Sie wahrscheinlich genug Daten herauskopieren lassen, um herauszufinden, was passiert.

Ich habe in der Forensik gelernt, dass Sie einen Agenten auf einem Remote-Computer bereitstellen können und eine exakte Kopie der Remote-Festplatte abrufen können, einschließlich nicht zugewiesenem Speicherplatz und Swap, selbst wenn diese verwendet wird. Diese Kopie wird vom Agenten über das Internet an Ihren PC gesendet, und Sie können dann an Ihrem PC daran arbeiten.

Sie haben das Gefühl, beide Prozesse zu verwirren - entweder würden Sie einen Agenten und andere Tools auf einem Livedisk ausführen oder die Festplatte mit den "traditionellen" Methoden abspeichern oder Live-Tools verwenden oder alte Ermittlungsarbeit auf einem Lauf durchführen System. Sie können auf einem laufenden System nicht wirklich ein richtiges forensisches Duplikat erhalten.

Mit EnCase können Sie beispielsweise an einer mit einem anderen Tool erstellten VHD oder VMDK arbeiten. Sie werden es jedoch nicht direkt auf einem untersuchten System ausführen.

-1
uSlackr

Das Ziel besteht nicht darin, ein perfektes Abbild des Laufwerks zu erstellen, sondern eine sinnvolle Kopie der wichtigen Daten, dh der Benutzerdaten. Wenn nicht über Dateisystembefehle auf das Laufwerk mit Low-Level-Festplattenbefehlen zugegriffen wird, können Probleme wie Dateisperren und offene Dateien behoben werden. Dies sind jedoch wahrscheinlich OS-Dateien und keine Benutzerdaten. Im Endeffekt befinden sich die Daten, die Sie interessieren, normalerweise auf der Festplatte, selbst wenn das System ausgeführt wird.

Bitte klären Sie diese Antwort auf und fügen Sie ein wenig mehr Kontext hinzu, um zu vermitteln, was Sie genau vorschlagen und warum es funktioniert usw. Sie sollten wissen, ob Sie dieser Antwort einen Verweis hinzufügen sollten, der Ihre Äußerungen stützt und warum dies der Fall ist. Pimp Juice IT vor 6 Jahren 0
-2
Patrick Joseph

Ja, in einigen Fällen müssen Sie eine physische Verbindung zum Gerät und eine Berechtigung haben. Wenn nicht, benötigen Sie Hash-Sets und eine gerichtliche Anordnung. Vorsicht .. das ist Abhören

Sie können eine HD oder einen Computer mit forensischer Software emulieren. Sie können dies mit einer festen Verbindung oder über das Netzwerk tun. Die Bereitstellung eines Agenten erfordert eine Berechtigung. Wenn Sie keine Berechtigung haben, benötigen Sie Verschlüsselungsschlüssel (Hash-Sätze) und eine gerichtliche Anordnung, da dies Abhören ist. Patrick Joseph vor 6 Jahren 0
Ich werde keine genaueren Informationen geben, da dies unverantwortlich wäre, da es beim Hacken hilft. Patrick Joseph vor 6 Jahren 0
Was vom Autor verlangt wird, gilt in der Welt der Sicherheit nicht als Abhören. Ramhound vor 6 Jahren 0
@PatrickJoseph Diese Frage fragt, wie es gemacht wird, nicht wie es geht. Ihre Antwort liefert nichts Nützliches für OP. Es wird in diesem Fall nicht als Hacking betrachtet. Ich bin mir sicher, dass OP die rechtlichen Gefahren kennt, die es in Forensics CLASS gelernt hat. Sie erhalten eine Ausbildung zu genau diesem Thema. Sie wissen, was Sie brauchen, sie möchten nur wissen, wie diese Software auf Dinge zugreifen kann, auf die ein Betriebssystem sie hindern würde. var firstName vor 6 Jahren 0
Nicht einverstanden. Die Frage, welche Änderungen vorgenommen wurden, zeigt an, nach welchen Spuren gesucht werden soll. OP gab EnCase an. Https://www.guidancesoftware.com/encase-forensic. Dies ist keine Fernbedienungssoftware für einen Neuzugang. Es handelt sich um eine forensische Software, die dazu dient, Daten für die Untersuchung zu hacken, zu schnitzen und zu extrahieren. Wenn OP eine Klasse hatte, warum nicht im Unterricht fragen? Patrick Joseph vor 6 Jahren 0

Verwandte Probleme