Коли слідчому чи міліції доводиться перевіряти використання комп’ютера, це не те, що він починає ламати Windows, шукаючи файли, сортуючи їх за датою тощо. Я не є фахівцем у цій галузі, але знаю, що проводиться внутрішня перевірка використання жорсткого диска за допомогою спеціальних програм цифрового розслідування. Програма такого типу робить копію жорсткого диска, дозволяє аналізувати файли, щоб перевірити, наприклад, будь-яке незаконне використання, причини вірусних інфекцій або докази якогось злочину. Відома компанія з розробки програмного забезпечення Passmark, яка вже зустрічалася в цьому блозі за своїми бенчмарк інструментами, випустила безкоштовну програму під назвою OSForensics, яка дозволяє глибоко контролювати кожну деталь використання комп’ютера.
Він також надає кілька дійсно простих у використанні інструментів, за допомогою яких можна зробити точну копію жорсткого диска комп'ютера .
Однак це клонування не має цілей резервного копіювання чи відновлення, а лише аналізу та, якщо що, відновлення файлів, помилково видалених.
Криміналістична копія комп'ютерного диска виконує декілька цілей, одні обмежені, інші набагато менше. Оскільки цей інструмент безкоштовний і дуже простий у використанні, я не приховую, що його можна використовувати, наприклад, для копіювання комп'ютера колеги чи друга в секреті.
Серед кращих криміналістичних комп’ютерних програм для пошуку всіх даних комп'ютера є OSForensics, справжній безкоштовний набір для комп'ютерних слідчих, давайте подивимося на супутні засоби, які можуть мати більш безпосередню корисність.
OSFClone в даний час пропонується як безкоштовний інструмент (він може не бути більше при виході з бета-версії) і працює на будь-якому комп’ютері (Windows, Mac Linux).
OSFClone - це ISO-образ, який можна записати на компакт-диск, DVD або USB-накопичувач.
Установка на USB-накопичувачі вимагає виконання файлу ImageUSB.exe та деяких додаткових кроків, описаних на сторінці інструкцій.
Перезавантаживши комп'ютер завантаженням з CD / DVD-програвача або USB-накопичувача, OSFClone запускається негайно та автоматично, незалежно від операційної системи, встановленої на комп'ютері. Програма автоматичного завантаження запускається замість операційної системи, не вимагає автентифікації або пароля власника ПК та працює, навіть якщо Windows більше не працює.
Немає графічного інтерфейсу, але, навіть якщо тільки в командному рядку, користуватися дуже просто. На початку потрібно натиснути Enter, після чого програма негайно відобразить параметри, доступні в текстовому меню. За допомогою клавіатури виберіть один із варіантів, записавши номер, і натисніть клавішу Enter, щоб розпочати операцію.
OFSClone здатний створювати копії зображень з диска або розділу, у сирому форматі (IMG, ISO або BIN) або у форматі Forensics Advance (AFF).
Ще один цікавий варіант - можливість перевірити, чи є клонований блок ідентичним скопійованому жорсткому диску, порівнюючи хеші між клоном та вихідним блоком.
Після отримання копії жорсткого диска, щоб відкрити її і на іншому комп'ютері, ви можете використовувати програмне забезпечення OSFMount, яке дозволяє монтувати зображення та аналізувати його.
Інша безкоштовна програма, здатна зробити точну копію жорсткого диска по секторах, - це HDD Raw Copy Tool .
HDD Raw Copy Tool підтримує S-ATA (SATA), IDE (E-IDE), SCSI, SAS жорсткі диски, а також працює з будь-яким портом USB або FireWire, тому для копіювання USB-накопичувачів, SD-карт, карт MMC та карт пам'яті. Інструмент створює секторальну копію всіх областей жорсткого диска (включаючи MBR, завантажувальний запис).
Хочу уточнити, що це не резервні інструменти, і хоча вони можуть бути використані для відновлення файлів з вашого комп’ютера, це більше програма аналізу та верифікації, підходяща лише для дуже конкретних потреб.
Інша стаття описує найкращі програми для клонування диска та резервного копіювання та відновлення комп'ютера .
