Forensischer Festplattencontroller - Forensic disk controller
Ein forensischer Festplatten-Controller oder Hardware-Schreibblock-Gerät ist ein spezieller Typ von Computer -Festplatten-Controller , der dazu dient, schreibgeschützten Zugriff auf Computer- Festplatten zu erhalten, ohne den Inhalt des Laufwerks zu beschädigen. Das Gerät wird als forensisch bezeichnet, da seine häufigste Anwendung bei Untersuchungen verwendet wird, bei denen eine Computerfestplatte Beweise enthalten kann. Ein solcher Controller wurde in der Vergangenheit in Form eines Dongles hergestellt , der zwischen einem Computer und einer IDE- oder SCSI- Festplatte passt , aber mit dem Aufkommen von USB und SATA sind forensische Festplattencontroller, die diese neueren Technologien unterstützen, weit verbreitet. Steve Bress und Mark Menz erfanden die Schreibblockierung von Festplatten (US-Patent 6.813.682).
Ein Gerät, das zwischen einem zu untersuchenden Speichermedium und dem Computer eines Ermittlers installiert wird, wird als „ Bridge-Kit “ bezeichnet. Das Bridge-Kit hat einen Anschluss für das Speichermedium und einen weiteren Anschluss für den Computer des Untersuchers. Es ermöglicht dem Untersucher, das zu untersuchende Gerät zu lesen, aber nicht zu verändern.
Das National Institute of Justice der Vereinigten Staaten betreibt ein Programm zum Testen von Computerforensik-Werkzeugen (CFTT), das die folgenden Werkzeuganforderungen auf höchster Ebene formell festlegt:
- Ein Hardware-Schreibblock-(HWB)-Gerät darf keinen Befehl an ein geschütztes Speichergerät übertragen, das die Daten auf dem Speichergerät modifiziert.
- Ein HWB-Gerät muss die durch einen Lesevorgang angeforderten Daten zurückgeben.
- Ein HWB-Gerät muss alle vom Laufwerk angeforderten zugriffsrelevanten Informationen unverändert zurückgeben.
- Jeder Fehlerzustand, der vom Speichergerät an das HWB-Gerät gemeldet wird, muss dem Host gemeldet werden.
Beschreibung
Forensische Festplattencontroller fangen Schreibbefehle vom Host- Betriebssystem ab und verhindern, dass sie das Laufwerk erreichen. Jedes Mal , wenn die Host - Bus - Architektur es die Controller - Berichte unterstützt , dass das Laufwerk schreibgeschützt ist. Der Festplattencontroller kann entweder alle Schreibvorgänge auf die Festplatte verweigern und als Fehler melden oder den integrierten Speicher verwenden, um die Schreibvorgänge für die Dauer der Sitzung zwischenzuspeichern.
Ein Festplattencontroller, der Schreibvorgänge im Speicher zwischenspeichert, gibt dem Betriebssystem den Anschein, dass das Laufwerk beschreibbar ist, und verwendet den Speicher, um sicherzustellen, dass das Betriebssystem Änderungen an den einzelnen Festplattensektoren erkennt, die es zu überschreiben versucht hat. Dies geschieht durch Abrufen von Sektoren von der Festplatte, wenn das Betriebssystem nicht versucht hat, sie zu ändern, und Abrufen der geänderten Version aus dem Speicher für Sektoren, die geändert wurden.
Verwendet
Forensische Festplatten-Controller werden am häufigsten mit dem Prozess der Erstellung eines Festplatten-Images oder der Erfassung während der forensischen Analyse in Verbindung gebracht . Ihre Verwendung besteht darin, eine unbeabsichtigte Änderung von Beweismitteln zu verhindern.
Die Verwendung von Hardware zum Schutz der Festplatte vor Schreibvorgängen ist aus mehreren Gründen sehr wichtig. Erstens können viele Betriebssysteme , einschließlich Windows , auf jede Festplatte schreiben, die an das System angeschlossen ist. Zumindest aktualisiert Windows die Zugriffszeit für jede Datei, auf die zugegriffen wird, und schreibt möglicherweise unerwartet Dinge auf die Festplatte – beispielsweise das Erstellen versteckter Ordner für den Papierkorb oder die gespeicherte Hardwarekonfiguration. Virus - Infektionen oder Malware auf dem System für die Analyse verwendet möglicherweise versuchen, den Datenträger zu prüfender zu infizieren. Außerdem kann das NTFS- Dateisystem versuchen, nicht abgeschlossene Transaktionen festzuschreiben oder rückgängig zu machen und/oder Flags auf dem Volume zu ändern, um es als "in Verwendung" zu markieren. Im schlimmsten Fall können unerwünschte Dateien gelöschten Speicherplatz auf der Festplatte zuweisen und überschreiben, wodurch möglicherweise Beweise in Form von zuvor gelöschten Dateien zerstört werden.
Der Schutz eines Beweislaufwerks vor Schreibzugriffen während der Untersuchung ist auch wichtig, um möglichen Anschuldigungen entgegenzuwirken, dass der Inhalt des Laufwerks während der Untersuchung verändert wurde. Natürlich kann dies trotzdem behauptet werden, aber mangels Technologie zum Schutz eines Laufwerks vor Schreibvorgängen gibt es keine Möglichkeit, eine solche Behauptung zu widerlegen.