Los libros de Forensics a menudo recomiendan trabajar en una imagen del disco duro en lugar de la unidad original.
¿Debo tomar esta precaución incluso si uso un bloqueador de escritura? Si es así, ¿por qué?
Debido a que la operación de lectura normal en un disco presenta un error (físico o lógico) puede causar daños en los datos, destrucción e incluso la escritura para recuperar bloques defectuosos.
Debe tener en cuenta que incluso la operación de lectura puede provocar daños físicos o la modificación de los datos.
¿Debo tomar esta precaución incluso si uso un bloqueador de escritura?
Debe preocuparse por trabajar en una imagen del disco duro en lugar de la unidad original porque incluso si un bloqueador de escritura tiene un acceso de lectura solo a su (s) disco (s) duro (s), debe recordar que una causa común de falla en la unidad de disco duro es un caída de la cabeza donde es una cabeza de lectura y escritura de un disco duro La unidad entra en contacto con su plato giratorio . Debido a que este es un tipo de falla física, un bloqueador de escritura no hace ninguna diferencia.
Un bloqueador de escritura evita la modificación del disco de origen. Así que tus imágenes hechas con son exactamente idénticas a la fuente. Si conecta un disco, es posible que el SO lo modifique.
Por otra parte, con un bloqueador de escritura, mantiene la conformidad de la fuente y, legalmente, es un punto crucial.
Al final, es mejor trabajar en una copia y no en el original. Si se produce un error durante la operación, destruirá el original y, por lo tanto, la prueba legal.
Tienes dos problemas.
Mantener el disco en una caja fuerte que necesita dos llaves para abrir y tener a dos personas sosteniendo las llaves es mucho más fácil de explicar a un tribunal que un "bloqueador de escritura". El uso de una imagen le permite mantener el disco original en una caja fuerte aparte de cuando se hace la imagen.
En realidad, se recomienda tomar una imagen de un disco duro como una mejor práctica. No es un requisito. Hay ocasiones en que no se garantiza una imagen hecha. Ser un experto en el campo le da la capacidad de tomar esa decisión. Solo asegúrese de poder explicar los motivos por los que no siguió los procedimientos de mejores prácticas y estará bien.
En general, crea una imagen de la unidad para evitar daños físicos a la unidad original, como se menciona en otras respuestas. Cuanto más tiempo esté activo un disco, más posibilidades habrá de dejar que la magia salga. Parte del proceso de hacer una imagen también es hacer una copia de respaldo de la imagen y grabar el MD5 (u otro algoritmo) en el momento de la adquisición. Esto asegura que la imagen que ha tomado permanezca igual durante el curso de la investigación y le permite validar que la imagen sigue siendo el mismo años más tarde si / cuando el caso tiene tiempo en la corte.
También hay ocasiones en que un escenario requiere (o sugiere) que una unidad se devuelva al propietario inmediatamente después de ser incautada. Esto puede ser por muchas razones, pero algunas son investigaciones corporativas, investigaciones de máquinas víctimas y casos en los que el acusado ha convencido a un juez de que es una dificultad financiera estar sin su información.
Esto obviamente plantea la cuestión de poder validar la imagen en comparación con el disco original, y ahí es donde entra en juego la "mejor regla de evidencia". Muchos tribunales aceptan que una copia digital de un disco o archivo es igual a la original. Esta regla se originó con palabras escritas o imágenes en papel en tiempos anteriores a una copiadora. La única forma de duplicar esas páginas era transcribir, y ese proceso podría introducir errores. Seguramente una operación de copiar / pegar también puede introducir un error en un archivo digital, pero ahí es donde tenemos MD5 para salvar el día con la validación matemática.
Además, hay algunas herramientas disponibles para analizar datos que no pueden acceder a ciertas áreas protegidas de los sistemas de archivos. El procesamiento contra una imagen elimina esas complejidades. Algunos ejemplos serían $ MFT, $ UsnJrnl, $ Catalog, tabla de Inode y más. Windows también puede impedir el acceso a las carpetas restringidas de ACL de una unidad, si está analizando archivos del disco y no bloquea datos de los sectores.
También hay ocasiones en las que no desea tomarse el tiempo de crear una imagen. Para la aplicación de la ley en la escena de una búsqueda, la orden de registro a menudo limita las computadoras que pueden ser retiradas en caso de incautación. Hay criterios establecidos que requieren que los agentes realicen un triaje para identificar los artefactos esperados, y solo entonces se pueden llevar al laboratorio.
Otra situación que no requeriría una imagen es para una unidad que no se espera que contenga muchos (o alguno) artefactos. Los examinadores harán algunas búsquedas específicas y específicas con el disco conectado a través de un bloqueador de escritura antes de dedicar tiempo a visualizarlo.
Conduce la imagen actualmente a una velocidad máxima de 16 GiB por minuto. Ese es el mejor de los casos con el bloqueador / generador de imágenes más rápido (Tableau TD2u) y las unidades más rápidas. La velocidad solo baja desde allí en función de numerosos factores.
Por último, debido a que algunos formatos de imagen admiten la compresión (e01), la búsqueda puede ser más rápida ya que los bloques grandes de 0x00 pueden ignorarse de plano. También le ahorra la molestia de tener que encadenar todos los equipos y adaptadores de energía necesarios para usar un bloqueador de escritura.
Fuente: 15 años de experiencia en forense digital, tanto en el cumplimiento corporativo como legal.
Como no se puede negar que es necesario operar una unidad de disco duro de prueba una vez para tomar una imagen antes de una investigación, está claro en términos de la ley. Afirmar que era necesario operarlo más que eso (debido a que era demasiado perezoso para tomar una imagen) puede llevar a muchas preguntas complicadas, tener que probar sus acciones y poner la evidencia en riesgo en caso de falla del hardware.
Los discos duros con evidencia siempre deben tratarse de que:
Además de lo que ya se ha mencionado, a veces es útil poder escribir en el disco duro de pruebas, por ejemplo, para vincular archivos eliminados al sistema de archivos. En ese caso, la única opción es utilizar una imagen. (PODRÍA utilizar la copia en escritura, pero dado que las imágenes también tienen otras ventajas, no hay razón para usar la copia en escritura en lugar de una imagen a menos que tenga un espacio de trabajo muy limitado, en cuyo caso no debería hacerlo ». estaré haciendo trabajo forense informático.)
Lea otras preguntas en las etiquetas forensics