Kun tutkijan tai poliisin on tarkistettava tietokoneen käyttöä, ei ole, että hän alkaa hakkeroida Windowsia etsimään tiedostoja, lajittelemaan ne päiväyksen mukaan ja niin edelleen. En ole alan asiantuntija, mutta tiedän, että kiintolevyn käytöstä tehdään sisäinen tarkistus käyttämällä erityisiä digitaalisia tutkimusohjelmia. Tämän tyyppinen ohjelma tekee kopion kiintolevyltä, mahdollistaa tiedostojen analysoinnin esimerkiksi laittoman käytön, virusinfektioiden syiden tai jonkin rikoksen todisteiden todentamiseksi. Tunnettu ohjelmistokehitysyhtiö Passmark, joka tapasi jo tässä blogissa vertailuvälineitä, on julkaissut ilmaisen OSForensics- nimisen ohjelman, jonka avulla voit hallita perusteellisesti kaikkia tietokoneen käytön yksityiskohtia.
Se tarjoaa myös todella helppokäyttöisiä työkaluja, joiden avulla voidaan tehdä tarkka kopio tietokoneen kiintolevystä .
Tällä kloonauksella ei kuitenkaan ole varmuuskopiointi- tai korjaustarkoituksia, vaan vain vahingossa poistettujen tiedostojen analysointi ja mahdollisesti palauttaminen.
Tietokonelevyn rikostekninen kopio palvelee useita tarkoituksia, toiset selkeät, toiset paljon vähemmän. Koska tämä työkalu on ilmainen ja erittäin helppo käyttää, en salaudu, että sitä voidaan käyttää esimerkiksi kopion tekemiseen kollegan tai ystävän tietokoneesta salassa.
Yksi parhaista oikeuslääketieteellisistä tietokoneohjelmista, joiden avulla löydetään kaikki tietokoneen tiedot, on OSForensics, todellinen ilmainen sarja tutkijoille, katsokaamme niihin liittyvät työkalut, joilla voi olla välittömämpi hyöty.
OSFClonea tarjotaan tällä hetkellä ilmaisena työkaluna (se ei ehkä ole enää poistuttaessa beetaversiosta) ja se toimii millä tahansa tietokoneella (Windows, Mac Linux).
OSFClone on ISO-kuva, joka poltetaan CD-, DVD- tai USB-tikulle.
Asennus USB-tikulle vaatii ImageUSB.exe- tiedoston suorittamisen ja joitain lisäsääntöjä, jotka on kuvattu ohjaussivulla .
Käynnistämällä tietokone uudelleen käynnistämällä CD / DVD-soitin tai USB-tikku, OSFClone käynnistyy välittömästi ja automaattisesti tietokoneeseen asennetusta käyttöjärjestelmästä riippumatta. Automaattinen käynnistysohjelma käynnistyy käyttöjärjestelmän sijasta, ei vaadi tietokoneen omistajan todennusta tai salasanaa ja toimii, vaikka Windows ei enää toimisi.
Graafista käyttöliittymää ei ole, mutta vaikka se olisi vain komentorivillä, sen käyttö on todella helppoa. Aluksi sinun on painettava Enter, sitten ohjelma näyttää heti tekstivalikossa olevat vaihtoehdot. Valitse jokin vaihtoehdoista näppäimistön avulla kirjoittamalla numero ja aloita toimenpide painamalla enter-näppäintä.
OFSClone pystyy luomaan kopion kuvia levystä tai osiosta raa'assa muodossa (IMG, ISO tai BIN) tai Forensics Advance (AFF) -muodossa.
Toinen mielenkiintoinen vaihtoehto on mahdollisuus varmistaa, että kloonattu asema on identtinen kopioidun kiintolevyn kanssa vertaamalla kloonin ja lähdeaseman välisiä tiivisteitä.
Kun kiintolevyn kopio on saatu, voit avata sen myös toisella tietokoneella OSFMount- ohjelmistolla, jonka avulla voit asentaa kuvan ja analysoida sen.
Toinen ilmainen ohjelma, joka pystyy kopioimaan kiintolevyn tarkan kopion sektoreittain, on HDD Raw Copy Tool .
HDD Raw Copy Tool tukee S-ATA (SATA), IDE (E-IDE), SCSI, SAS kiintolevyjä ja toimii myös minkä tahansa USB- tai FireWire-portin kanssa, joten kopioida USB-muistitikkuja, SD-kortteja, MMC-kortteja ja muistitikkuja. Työkalu luo sektorikohtaisen kopion kiintolevyn kaikista alueista (mukaan lukien MBR, käynnistysrekisteri).
Haluan selventää, että nämä eivät ole varmuuskopiointityökaluja ja vaikka niitä voidaan käyttää tiedostojen palauttamiseen tietokoneeltasi, se on pikemminkin analyysi- ja todennusohjelma, joka soveltuu vain hyvin erityisiin tarpeisiin.
Toinen artikkeli kuvaa parhaita ohjelmia levyn kloonaamiseen, varmuuskopiointiin ja tietokoneen palauttamiseen .
