Keď vyšetrovateľ alebo polícia musia skontrolovať používanie počítača, nie je to tak, že začne hackovať systém Windows a vyhľadávať súbory, triediť ich podľa dátumu a tak ďalej. Nie som odborníkom v tejto oblasti, ale viem, že sa vykonáva interná kontrola používania pevného disku pomocou špeciálnych programov digitálneho vyšetrovania. Program tohto typu vytvára kópiu pevného disku, umožňuje analýze súborov overiť napríklad akékoľvek nezákonné použitie, príčiny vírusových infekcií alebo dôkazy o určitom zločine. Známa spoločnosť na vývoj softvéru Passmark, ktorá sa už stretla v tomto blogu pre svoje referenčné nástroje, vydala bezplatný program s názvom OSForensics, ktorý vám umožňuje podrobne kontrolovať každý detail používania počítača.
Poskytuje tiež niektoré skutočne jednoduché nástroje, ktoré je možné použiť na vytvorenie presnej kópie pevného disku počítača .
Toto klonovanie však nemá účel zálohovania ani opravy, ale iba analýzu a prípadné obnovenie súborov, ktoré boli omylom vymazané.
Forenzná kópia počítačového disku slúži na niekoľko účelov, niektoré priehľadné, iné oveľa menej. Keďže tento nástroj je bezplatný a veľmi ľahko použiteľný, neskrývam, že ho možno použiť napríklad na tajné vytvorenie kópie počítača kolegu alebo priateľa.
Medzi najlepšie forenzné počítačové programy na nájdenie všetkých údajov v počítači patrí OSForensics, skutočná bezplatná sada pre počítačových vyšetrovateľov, pozrime sa na súvisiace nástroje, ktoré môžu mať okamžitejší nástroj.
OSFClone sa v súčasnosti ponúka ako bezplatný nástroj (nemusí byť pri ukončení verzie beta) a funguje na akomkoľvek počítači (Windows, Mac Linux).
OSFClone je obraz ISO na napálenie na disk CD, DVD alebo USB.
Inštalácia na USB kľúč vyžaduje vykonanie súboru ImageUSB.exe a niektoré ďalšie kroky opísané na stránke s pokynmi.
Reštartovaním počítača so zavedením z CD / DVD prehrávača alebo USB kľúča sa OSFClone spustí okamžite a automaticky, bez ohľadu na operačný systém nainštalovaný v počítači. Namiesto operačného systému sa spustí program automatického zavádzania, nevyžaduje žiadne overenie ani heslo vlastníka počítača a funguje, aj keď už systém Windows nefunguje.
Neexistuje žiadne grafické rozhranie, ale aj keď iba na príkazovom riadku, je to skutočne jednoduché. Na začiatku musíte stlačiť Enter a program okamžite zobrazí možnosti dostupné v textovej ponuke. Pomocou klávesnice vyberte jednu z možností napísaním čísla a stlačením klávesu Enter spustite operáciu.
OFSClone dokáže vytvárať kópie diskov alebo diskových oddielov v surovom formáte (IMG, ISO alebo BIN) alebo vo formáte Forensics Advance (AFF).
Ďalšou zaujímavou možnosťou je možnosť overiť, či je klonovaná jednotka totožná s kopírovaným pevným diskom, porovnaním hashov medzi klonom a zdrojovou jednotkou.
Po získaní kópie pevného disku na jeho otvorenie v inom počítači môžete použiť softvér OSFMount, ktorý vám umožní pripojiť obrázok a analyzovať ho.
Ďalším bezplatným programom schopným vytvoriť presnú kópiu pevného disku, sektor po sektore, je HDD Raw Copy Tool .
Nástroj HDD Raw Copy Tool podporuje pevné disky S-ATA (SATA), IDE (E-IDE), SCSI, SAS a tiež pracuje s akýmkoľvek portom USB alebo FireWire, a preto kopíruje USB kľúče, karty SD, MMC a pamäťové karty. Nástroj vytvorí sektorovú kópiu všetkých oblastí pevného disku (vrátane MBR, bootovacieho záznamu).
Chcem objasniť, že nejde o záložné nástroje, a hoci sa dajú použiť na obnovu súborov z počítača, je to skôr program na analýzu a overovanie vhodný iba pre veľmi špecifické potreby.
Iný článok popisuje najlepšie programy na klonovanie disku, zálohovanie a obnovu počítača .
