Copie criminalistică
Copia criminalistică (sau imaginea fluxului de biți), în lexiconul criminalistic, indică „ achiziționarea de documente în format digital care generează o copie de biți în biți de către un dispozitiv de memorie de masă către altul.
Aspecte generale
Spre deosebire de o copie efectuată pe fișiere individuale din sistemul de fișiere , clonarea implică duplicarea tuturor zonelor de pe disc, chiar și a celor care nu conțin niciun fișier vizibil direct utilizatorului, definit tehnic ca zone nealocate. Deoarece în majoritatea sistemelor de fișiere eliminarea unui fișier implică pur și simplu ștergerea indexului care conține locația fișierului pe disc, posibilitatea de a avea acces la zonele nealocate permite recuperarea fișierelor șterse sau a informațiilor care nu mai sunt disponibile pentru sistem utilizator. Copierea criminalistică este realizabilă prin clonare sau prin crearea unui fișier imagine.
Clonarea
Clonarea implică o copiere bit-bit a dispozitivului sursă de pe dispozitivul de destinație, fără a reorganiza sau comprima ceea ce este scris. Acest lucru implică faptul că dacă discul sursă ar avea X octeți mari, discul de destinație va conține aceiași biți identici în primii X octeți.
Singurul avantaj al acestei metode este că discul de destinație este identic cu discul sursă, ceea ce înseamnă, în unele cazuri, să aveți o copie de boot exactă chiar și direct pe mașina de pe care a fost extras discul sursă. Dezavantajele sunt în schimb faptul că pe discul de destinație este în general posibil (cu excepția cazului în care lucrați cu valori offset care vă permit să săriți partea inițială a discului deja ocupat) să copiați doar un disc sursă, combinat cu riscul de discrepanța copiei pe care o executăm în cazul în care discul de destinație conține sectoare defecte.
Imagine
Crearea unei imagini de disc implică copierea discului sursă într-un fișier din sistemul de fișiere al discului țintă. Prin urmare, în cazul creării unui fișier imagine, X octeții din care este compus discul sursă vor fi salvate într-un fișier de pe discul de destinație cu dimensiuni variabile în funcție de tipul de codificare ales. În cazul unei imagini numite raw , fișierul va fi exact X mare, deoarece biții vor fi copiați unul câte unul fără nici o compresie sau organizare a datelor, similar cu ceea ce se întâmplă pentru clonare, dar cu diferența că, în acest caz, scriem la un fișier din sistemul de fișiere conținut pe discul de destinație, nu direct pe disc în locul sistemului de fișiere. Diferite moduri de codificare a imaginii pe discul de destinație sunt acum răspândite, implicând diferite tipuri de compresie și organizare a datelor. Principalele moduri de achiziție a imaginii, utilizate adesea ca alternativă la modul brut pentru a economisi spațiu, sunt EWF („Expert Witness Format”, utilizat de software-ul Encase dar proiectat de ASR Data) și AFF („Advanced Forensics Format”, proiectat de Simson Garfinkel, creatorul bibliotecii AffLib). Ambele moduri oferă niveluri diferite de compresie, precum și posibilitatea de a insera în imagini informații referitoare la imaginea sursă.
Pentru a depăși limitările unor sisteme de fișiere (cum ar fi FAT32 ), imaginea discului sursă scrisă pe discul de destinație este adesea împărțită în mai multe fișiere, de obicei între două și 4 GB fiecare. EWF și AFF oferă această împărțire în mod implicit, în timp ce pentru modul raw puteți seta dimensiunea fișierelor, generând astfel un fișier imagine numit split raw .
Principalele avantaje ale acestui tip de copie criminalistică este că mai multe imagini ale discurilor sursă pot fi salvate pe discul țintă, deoarece fiecare imagine va corespunde unui singur fișier (sau mai multor fișiere de dimensiuni reduse, în caz de divizare). Un alt avantaj este faptul că prin utilizarea formatelor comprimate EWF sau AFF va fi posibilă reducerea semnificativă a dimensiunii imaginii țintă, deoarece zonele neutilizate ale discului și conținând zerouri vor fi foarte comprimate, precum și fișierele cu caracteristici compresibile precum textul și documentele. Prin urmare, este foarte ușor să copiați discuri de câteva sute de GBiți în fișiere imagine de câteva zeci de GBiți.
Dezavantajul utilizării formatelor de comprimare a copiilor medico-legale, cum ar fi EWF și AFF, are ca rezultat o ocupare mai mare a procesorului asociată cu procesarea datelor în timpul analizelor care vor fi efectuate asupra rezultatelor. În mod similar, poate fi necesar un timp mai lung în timpul achiziției datorită faptului că, pe lângă copiere, compresia se realizează și cu utilizarea consecventă a resurselor CPU.
Instrumente
Instrumentele folosite pentru a genera copii medico-legale sunt în esență de două tipuri: copiatoare medico-legale și software de copiere utilizate împreună cu blocanți de scriere hardware sau software.
În primul caz (hardware), copia are loc prin plasarea discului original în stânga instrumentului (de ex. Tableau TD3, Logicube Falcon, CRU Ditto, etc ...) în timp ce în dreapta sunt poziționate discurile de destinație, care pot fi în general una sau două. Sistemul vă permite să setați datele necesare pentru a identifica copia și a începe operațiunea care va fi efectuată în întregime de dispozitiv, fără a fi nevoie să porniți sisteme de operare sau programe, ci prin interfața deja programată pentru a efectua copii complete la viteză mare.
În al doilea caz (software), copierea criminalistică are loc prin pornirea unei distribuții Linux live (de ex. DEFT, Caine, Tsurugi, etc ...) pe un sistem și conectarea discului sursă la o priză și a discului de destinație la altul, apoi pornirea software-ului de copiere precum Guymager sau comenzile dd, dcfldd, dc3dd și configurarea cu atenție a dispozitivului sursă și a folderului de destinație, astfel încât să transferați complet conținutul primului în al doilea, apoi să validați datele prin funcții hash, în general MD5, SHA1 sau SHA256.
