Retsmedicinsk disk controller - Forensic disk controller

Image
En bærbar Tableau skriveblokering tilsluttet en harddisk
Image
Eksempel på en bærbar diskafbildningsenhed
Image
En Tableau retsmedicinsk skriveblokering
Image
En Tableau -kriminalteknisk billedbehandler

En retsmedicinsk disk controller eller hardware skriveblok enhed er en specialiseret type computer harddisk controller lavet med det formål at få skrivebeskyttet adgang til computer harddiske uden risiko for at beskadige drevets indhold. Enheden hedder retsmedicinsk, fordi dens mest almindelige applikation er til brug i undersøgelser, hvor en computerharddisk kan indeholde beviser. En sådan controller er historisk blevet fremstillet i form af en dongle, der passer mellem en computer og en IDE- eller SCSI -harddisk, men med fremkomsten af USB og SATA er retsmedicinsk diskcontrollere, der understøtter disse nyere teknologier, blevet udbredt. Steve Bress og Mark Menz opfandt skriveblokering af harddisk (US patent 6.813.682).

En enhed, der er installeret mellem et lagermedium, der undersøges, og en efterforskers computer kaldes et " brosæt ". Bridgesættet har et stik til lagermediet og et andet stik efterforskerens computer. Det giver efterforskeren mulighed for at læse, men ikke ændre den enhed, der undersøges.

United States National Institute of Justice driver et computerforensisk værktøjstestprogram (CFTT), der formelt identificerer følgende værktøjskrav på topniveau:

  • En hardware skriveblok (HWB) må ikke sende en kommando til en beskyttet lagerenhed, der ændrer dataene på lagerenheden.
  • En HWB -enhed skal returnere de data, der kræves af en læseoperation.
  • En HWB-enhed skal uden ændringer returnere alle adgangsbetydelige oplysninger, der anmodes om fra drevet.
  • Enhver fejltilstand rapporteret af lagerenheden til HWB -enheden skal rapporteres til værten.

Beskrivelse

Retsmedicinske diskcontrollere opsnapper skrivekommandoer fra værtens operativsystem og forhindrer dem i at nå drevet. Når værtsbusarkitekturen understøtter det, rapporterer controlleren, at drevet er skrivebeskyttet. Diskcontrolleren kan enten nægte alle skrivninger til disken og rapportere dem som fejl, eller bruge intern hukommelse til at cache skriverne i sessionens varighed.

En diskcontroller, der gemmer skriver i hukommelsen, viser operativsystemet, at drevet er skrivbart, og bruger hukommelsen til at sikre, at operativsystemet ser ændringer i de enkelte disksektorer, det forsøgte at overskrive. Det gør det ved at hente sektorer fra disken, hvis operativsystemet ikke har forsøgt at ændre dem, og hente den ændrede version fra hukommelsen for sektorer, der er blevet ændret.

Anvendelser

Retsmedicinske diskcontrollere er oftest forbundet med processen med at oprette et diskbillede eller erhvervelse under retsmedicinsk analyse . Deres anvendelse er at forhindre utilsigtet ændring af beviser.

Brug af hardware til at beskytte harddisken mod skrivning er meget vigtig af flere årsager. For det første kan mange operativsystemer , herunder Windows , skrive til enhver harddisk, der er forbundet til systemet. I det mindste opdaterer Windows adgangstiden for enhver fil, der er adgang til, og kan skrive ting til disken uventet - f.eks. Oprette skjulte mapper til papirkurven eller gemt hardwarekonfiguration. Virusinfektioner eller malware på det system, der bruges til analyse, kan forsøge at inficere den disk, der inspiceres. Derudover kan NTFS -filsystemet forsøge at begå eller tilbageføre uafsluttede transaktioner og/eller ændre flag på diskenheden for at markere det som "i brug". I værste fald kan uønskede filer allokere og overskrive slettet plads på harddisken, hvilket potentielt kan ødelægge beviser i form af tidligere slettede filer.

Beskyttelse af et bevisdrev mod skriver under undersøgelse er også vigtigt for at imødegå potentielle påstande om, at drevets indhold blev ændret under undersøgelsen. Selvfølgelig kan dette påstås alligevel, men i mangel af teknologi til at beskytte et drev mod at skrive, er der ingen måde at tilbagevise en sådan påstand.

Referencer