Když vyšetřovatel nebo policie musí zkontrolovat použití počítače, není to tak, že začne hackovat Windows hledáním souborů, třídění podle data a tak dále. Nejsem odborník v oboru, ale vím, že se provádí interní kontrola používání pevného disku pomocí speciálních programů digitálního vyšetřování. Program tohoto typu vytváří kopii pevného disku, umožňuje analýzu souborů ověřit například jakékoli nezákonné použití, příčiny virových infekcí nebo důkaz o nějaké trestné činnosti. Známá společnost pro vývoj softwaru Passmark, která se již na tomto blogu setkala pro své referenční nástroje, vydala bezplatný program s názvem OSForensics, který vám umožňuje podrobně kontrolovat každý detail používání počítače.
Poskytuje také některé opravdu snadno použitelné nástroje, které lze použít k vytvoření přesné kopie pevného disku počítače .
Toto klonování však nemá účel zálohování nebo opravy, ale pouze analýzu a, pokud vůbec, obnovení souborů, které byly omylem vymazány.
Forenzní kopie počítačového disku slouží několika účelům, některé průhledné, jiné mnohem méně. Jelikož je tento nástroj zdarma a velmi snadno použitelný, neskrývám se, že jej lze použít například k utajení kopie počítače kolegy nebo přítele.
Mezi nejlepší forenzní počítačové programy k nalezení všech dat v počítači je OSForensics, opravdová bezplatná sada pro počítačové vyšetřovatele, podívejme se na související nástroje, které mohou mít okamžitější nástroj.
OSFClone je v současné době nabízen jako bezplatný nástroj (nemusí být již při ukončení beta verze) a funguje na jakémkoli počítači (Windows, Mac Linux).
OSFClone je obraz ISO k vypálení na disk CD, DVD nebo USB.
Instalace na USB flash disk vyžaduje provedení souboru ImageUSB.exe a některé další kroky popsané na stránce s pokyny.
Restartováním počítače s bootováním z CD / DVD přehrávače nebo USB flash disku se OSFClone spustí okamžitě a automaticky, bez ohledu na operační systém nainstalovaný v počítači. Místo operačního systému se spustí program automatického spouštění, nevyžaduje žádné ověření ani heslo vlastníka PC a funguje, i když systém Windows již nefunguje.
Neexistuje žádné grafické rozhraní, ale i když pouze na příkazovém řádku, je použití opravdu jednoduché. Na začátku musíte stisknout Enter a program okamžitě zobrazí možnosti dostupné v textové nabídce. Pomocí klávesnice vyberte jednu z možností zapsáním čísla a stisknutím klávesy Enter zahajte operaci.
OFSClone je schopen vytvářet kopie obrázků na disku nebo diskovém oddílu, v surovém formátu (IMG, ISO nebo BIN) nebo ve formátu Forensics Advance (AFF).
Další zajímavou možností je možnost ověřit, že klonovaná jednotka je totožná s zkopírovaným pevným diskem, porovnáním hashů mezi klonem a zdrojovou jednotkou.
Jakmile je kopie pevného disku získána, můžete ji otevřít také na jiném počítači, můžete použít software OSFMount, který vám umožní připojit obrázek a analyzovat jej.
Dalším bezplatným programem, který dokáže vytvořit přesnou kopii pevného disku, sektor po sektoru, je HDD Raw Copy Tool .
Nástroj HDD Raw Copy Tool podporuje pevné disky S-ATA (SATA), IDE (E-IDE), SCSI, SAS a také pracuje s jakýmkoli portem USB nebo FireWire, a proto kopíruje disky USB, SD karty, MMC a Memory Sticks. Tento nástroj vytvoří sektorovou kopii všech oblastí pevného disku (včetně MBR, spouštěcího záznamu).
Chci objasnit, že se nejedná o zálohovací nástroje, a přestože je lze použít k obnovení souborů z počítače, je to spíše program pro analýzu a ověřování vhodný pouze pro velmi specifické potřeby.
Jiný článek popisuje nejlepší programy klonování disku a zálohování a obnovení počítače .
