Forenzní řadič disku - Forensic disk controller

Image
Přenosný blokovač zápisu Tableau připojený k pevnému disku
Image
Příklad přenosného zařízení pro zobrazování disků
Image
Forenzní blokátor tabla pro tablo
Image
Tabulový forenzní disk imager

Forenzní řadič disku nebo hardware zápisu blokové zařízení je specializovaný typ počítače řadič pevného disku vyrobeny za účelem získání read-only přístup do počítačových pevných disků bez rizika poškození obsahu měniče. Zařízení je pojmenováno forenzní, protože jeho nejběžnější aplikací je použití při vyšetřování, kde pevný disk počítače může obsahovat důkazy. Takový řadič byl historicky vyroben ve formě hardwarového klíče, který se hodí mezi počítač a pevný disk IDE nebo SCSI , ale s příchodem USB a SATA se forenzní řadiče disků podporující tyto novější technologie rozšířily. Steve Bress a Mark Menz vynalezli blokování zápisu na pevný disk (US Patent 6 813 682).

Zařízení, které je nainstalováno mezi zkoumaná paměťová média a počítač vyšetřovatele, se nazývá „ mostová souprava “. Sada můstků má jeden konektor pro paměťová média a druhý konektor pro počítač vyšetřovatele. Umožňuje vyšetřovateli číst, ale nemění vyšetřované zařízení.

United States National Institute of Justice provozuje program Computer Forensics Tool Testing (CFTT), který formálně identifikuje následující požadavky na nástroje nejvyšší úrovně:

  • Zařízení s blokem hardwarového zápisu (HWB) nesmí vysílat příkaz do chráněného paměťového zařízení, který upravuje data na úložném zařízení.
  • Zařízení HWB vrátí data požadovaná operací čtení.
  • Zařízení HWB vrátí beze změny veškeré důležité informace o přístupu požadované z jednotky.
  • Jakékoli chybové stavy hlášené paměťovým zařízením zařízení HWB musí být hlášeny hostiteli.

Popis

Forenzní řadiče disků zachycují příkazy pro zápis z hostitelského operačního systému a brání jim v přístupu na disk. Kdykoli to architektura hostitelské sběrnice podporuje, ovladač hlásí, že disk je jen pro čtení. Řadič disku může buď odmítnout všechny zápisy na disk a nahlásit je jako selhání, nebo použít palubní paměť k mezipaměti zápisů po dobu relace.

Řadič disku, který ukládá do paměti mezipaměti, představuje pro operační systém dojem, že na jednotku lze zapisovat, a pomocí paměti zajišťuje, že operační systém vidí změny v jednotlivých diskových sektorech, které se pokusil přepsat. To se provádí načítáním sektorů z disku, pokud se operační systém nepokusil je změnit, a načtením změněné verze z paměti u sektorů, které byly změněny.

Využití

Forenzní řadiče disků jsou nejčastěji spojovány s procesem vytváření obrazu disku nebo získávání během forenzní analýzy . Jejich použitím je zabránit neúmyslné změně důkazů.

Použití hardwaru k ochraně pevného disku před zápisy je velmi důležité z několika důvodů. Za prvé, mnoho operačních systémů , včetně Windows , může zapisovat na jakýkoli pevný disk, který je připojen k systému. Windows přinejmenším aktualizuje přístupovou dobu pro jakýkoli soubor, ke kterému je přístup, a může neočekávaně zapisovat věci na disk - například vytváření skrytých složek pro koš nebo uloženou konfiguraci hardwaru. Virové infekce nebo malware v systému použitém k analýze se mohou pokusit infikovat kontrolovaný disk. Navíc, NTFS souborový systém se může pokusit o potvrzení nebo vrácení nedokončené transakce a / nebo změna vlajky na objemu ji označit jako „v použití“. V nejhorším případě mohou nežádoucí soubory alokovat a přepsat odstraněný prostor na pevném disku, což může potenciálně zničit důkazy v podobě dříve odstraněných souborů.

Ochrana důkazní jednotky před zápisy během vyšetřování je také důležitá pro zamezení potenciálních obvinění, že obsah disku byl během vyšetřování změněn. Samozřejmě to lze tvrdit tak jako tak, ale vzhledem k absenci technologie na ochranu disku před zápisy neexistuje způsob, jak by takové tvrzení vyvrátilo.

Reference