Når en etterforsker eller politiet må sjekke bruken av en datamaskin, er det ikke slik at han begynner å hacking rundt Windows på jakt etter filer, sortere dem etter dato og så videre. Jeg er ikke ekspert på området, men jeg vet at det blir foretatt en intern sjekk av bruken av harddisken ved hjelp av spesielle digitale etterforskningsprogrammer. Et program av denne typen lager kopien av harddisken, gjør det mulig å analysere filene for å verifisere for eksempel ulovlig bruk, årsaker til virusinfeksjoner eller bevis på noe kriminelt. Det kjente programvareutviklingsselskapet Passmark, som allerede møttes i denne bloggen for sine referanseverktøy, har gitt ut et gratis program kalt OSForensics som lar deg i dybden kontrollere alle detaljene i bruken av datamaskinen.
Det gir også noen virkelig enkle å bruke verktøy som kan brukes til å lage en nøyaktig kopi av en datamaskinens harddisk .
Imidlertid har denne kloningen ikke sikkerhetskopierings- eller reparasjonsformål, men bare analyse og, om noe, gjenoppretting av filer som er feil slettet.
Den rettsmedisinske kopien av datadisken tjener flere formål, noen lette, andre mye mindre. Siden dette verktøyet er gratis og veldig enkelt å bruke, legger jeg ikke skjul på at det kan brukes, for eksempel til å lage en kopi av en kollegas eller vennens datamaskin i det skjulte.
Blant de beste rettsmedisinske dataprogrammene for å finne alle dataene til en datamaskin som finnes, er OSForensics, en virkelig gratis pakke for datamaskinetterforskere. La oss se de relaterte verktøyene som kan ha et mer øyeblikkelig verktøy.
OSFClone tilbys for øyeblikket som et gratis verktøy (det kan ikke være lenger når du forlater beta) og fungerer på hvilken som helst datamaskin (Windows, Mac Linux).
OSFClone er et ISO-bilde som skal brennes til en CD, DVD eller USB-pinne.
Installasjon på en USB-pinne krever utførelse av ImageUSB.exe- filen og noen ekstra trinn som er beskrevet på instruksjonssiden.
Ved å starte datamaskinen på nytt med oppstart fra CD / DVD-spiller eller USB-pinne, starter OSFClone umiddelbart og automatisk, uavhengig av operativsystemet som er installert på datamaskinen. Et automatisk oppstartprogram starter i stedet for operativsystemet, krever ingen autentisering eller passord fra PC-eieren og fungerer selv om Windows ikke lenger fungerer.
Det er ikke noe grafisk grensesnitt, men det er veldig enkelt å bruke på kommandolinjen. I begynnelsen må du trykke Enter, så viser programmet umiddelbart alternativene som er tilgjengelige i en tekstmeny. Bruk tastaturet til å velge et av alternativene ved å skrive nummeret og trykk enter for å starte operasjonen.
OFSClone er i stand til å lage kopibilder av disken eller av en partisjon, i råformat (IMG, ISO eller BIN) eller i Forensics Advance (AFF) -format.
Et annet interessant alternativ er muligheten til å bekrefte at den klonede enheten er identisk med den kopierte harddisken, og sammenligne hasjene mellom klonen og kildenheten.
Når kopien av en harddisk er oppnådd, for å åpne den på en annen datamaskin, kan du også bruke OSFMount- programvaren som lar deg montere bildet og analysere det.
Et annet gratis program som er i stand til å lage en nøyaktig kopi av en harddisk, sektor for sektor, er HDD Raw Copy Tool .
HDD Raw Copy Tool støtter S-ATA (SATA), IDE (E-IDE), SCSI, SAS harddisker og fungerer også med hvilken som helst USB- eller FireWire-port, derfor for kopiering av USB-pinner, SD-kort, MMC-kort og minnepinner. Verktøyet lager en sektor-for-sektor-kopi av alle områdene på harddisken (inkludert MBR, startposten).
Jeg vil tydeliggjøre at dette ikke er sikkerhetskopieringsverktøy, og selv om de kan brukes til å gjenopprette filer fra datamaskinen din, er det mer et analyse- og bekreftelsesprogram som bare egner seg til veldig spesifikke behov.
En annen artikkel beskriver de beste programmene for å klone en disk og ta sikkerhetskopi og gjenopprette datamaskinen .
