Du nicht
In Bezug auf die forensische Plattenabbildung gibt es eigentlich zwei Denkrichtungen.
Die Oldschool- Methode bestand darin, den PC sofort vom Netz zu trennen und das Laufwerk in diesem Zustand zu sichern, um sicherzustellen, dass nichts geändert wurde. Es wurde auch ein gewisses Maß an plausibler Verneinbarkeit gewährleistet ...
Und das hat nicht wirklich gut funktioniert, als die Leute merkten, dass man ein Laufwerk mit einem Passwort verschlüsseln konnte.
Während Live - Forensik - Capture stellt nicht sicher, dass nichts überhaupt ist immer verändert, mit der richtigen Protokollierung, wissen Sie, was der Prüfer getan hat. Das ist auch praktisch, denn wenn der Verdächtige sein System nicht gesperrt hat, können Sie wahrscheinlich genug Daten herauskopieren lassen, um herauszufinden, was passiert.
Ich habe in der Forensik gelernt, dass Sie einen Agenten auf einem Remote-Computer bereitstellen können und eine exakte Kopie der Remote-Festplatte abrufen können, einschließlich nicht zugewiesenem Speicherplatz und Swap, selbst wenn diese verwendet wird. Diese Kopie wird vom Agenten über das Internet an Ihren PC gesendet, und Sie können dann an Ihrem PC daran arbeiten.
Sie haben das Gefühl, beide Prozesse zu verwirren - entweder würden Sie einen Agenten und andere Tools auf einem Livedisk ausführen oder die Festplatte mit den "traditionellen" Methoden abspeichern oder Live-Tools verwenden oder alte Ermittlungsarbeit auf einem Lauf durchführen System. Sie können auf einem laufenden System nicht wirklich ein richtiges forensisches Duplikat erhalten.
Mit EnCase können Sie beispielsweise an einer mit einem anderen Tool erstellten VHD oder VMDK arbeiten. Sie werden es jedoch nicht direkt auf einem untersuchten System ausführen.