|
Название: Экспертиза больших дисков Отправлено: vpetrov от 16 Июля 2009, 11:51:07 Такой вопрос: а как правильно провести экспертизу, если, например, логический диск имеет большой размер?
Например, 3 TB в RAID 5. Скопировать такой объем на один физический диск нельзя. Добывать где-то большой NAS? А если объем 15 TB? Название: Re:Экспертиза больших дисков Отправлено: Николай Николаевич Федотов от 16 Июля 2009, 13:40:44 Не влезает на один диск - сделайте RAID0 из нескольких дисков. Эксперт не может иметь пространство меньше, чем исследуемый объём данных.
Название: Re:Экспертиза больших дисков Отправлено: Igor Michailov от 16 Июля 2009, 14:53:34 Скопировать такой объем на один физический диск нельзя. Можно. И 15Тб тоже можно. Делайте образ накопителя в формате bit copy +. Используйте опцию максимального сжатия клонируемых данных. Все влезет. Ещё и место на носителе-приемнике останется.Пример из собственной практики: образы (в формате bit copy +) накопителей из 20 офисных компьютеров+ сервер (суммарный объем представленных накопителей более 2Тб) на моём жестком диске заняли 300Гб. Название: Re:Экспертиза больших дисков Отправлено: Igor Michailov от 16 Июля 2009, 17:24:59 Эксперт не может иметь пространство меньше, чем исследуемый объём данных. Почему не может? очень даже может.Вы, наверно, хотели сказать - "Эксперт, при производстве экспертизы, не должен...". Название: Re:Экспертиза больших дисков Отправлено: grib от 17 Июля 2009, 01:41:37 а как эксперт будет клонировать рэйд, если у негоне будет контроллера, на чём этот рэйд запустить?
Название: Re:Экспертиза больших дисков Отправлено: Igor Michailov от 17 Июля 2009, 03:20:01 1)Почему у эксперта не будет контроллера?
2)Зачем нужен аппаратный контроллер, скажем, программному RAID? 3)Вопрос: "а как эксперт будет клонировать рэйд, если у негоне будет контроллера" Ответ: Будет по очереди подключать представленные накопители, через блокиратор, к стендовой ПЭВМ. Делать образы представленных накопителей. Далее, используя специализированное программное обеспечение, соберет из полученных образов RAID. 4)Вопрос: "на чём этот рэйд запустить? ". Ответ: На стендовой ПЭВМ. 5)Вопрос: "Такой вопрос: а как правильно провести экспертизу, если, например, логический диск имеет большой размер?" Ответ: В дополнение к вышесказанному могу добавить, что в отдельных случаях возможно проводить исследование по сети: В память исследуемой ПЭВМ загружается специализированная программа-транслятор обеспечивающая: а)Защиту исследуемых данных от изменений; б)Обеспечивающая доступ к всему дисковому пространству накопителей (включая зоны HPA, DCO); в)Транслирующая данные с исследуемой ПЭВМ на компьютер эксперта по сети. Версии подобных программ существуют как под Linux так и под DOS. Как пример подобного софта могу порекомендовать связку ENCD+Encase. Небольшая оговорка, в данном топике мы не описываем как проводить экспертизу (так как нам не известны вопросы которые поставлены перед экспертом), а рассказываем как, криминалистически правильно, получить доступ к RAID-массивам и большим по объему накопителям. Название: Re:Экспертиза больших дисков Отправлено: De Nada от 17 Июля 2009, 13:33:14 1)Почему у эксперта не будет контроллера? Ну да, что-то типа RAIDreconstructor от RunTime. ... 3)Вопрос: "а как эксперт будет клонировать рэйд, если у него не будет контроллера" Ответ: Будет по очереди подключать представленные накопители, через блокиратор, к стендовой ПЭВМ. Делать образы представленных накопителей. Далее, используя специализированное программное обеспечение, соберет из полученных образов RAID. По п.1: контроллер, впрочем, у эксперта будет - "родной" контроллер исследуемого массива. Достаточно загрузить с внешнего носителя forensic-дистрибутив (навроде старого доброго Helix`a) - и можем сливать образ всего RAID-тома на носитель эксперта. Главное тут - наличие у f-дистрибутива драйвера под данный контроллер, но это решаемо. Помимо всего прочего это позволяет обойтись без аппаратных блокираторов, используя монтирование томов f-дистрибутивом в режиме r/o. 2)Зачем нужен аппаратный контроллер, скажем, программному RAID? Правда Ваша - не за чем... :) Добавлю "лыко в строку" - практика показывает, что программный RAID используется в большинстве случаев для "зеркалирования": RAID 5 на программном уровне используют нечасто - тормозной он, да и отсутствие HSD для софтовой "пятёрки" не есть хорошо. В таком разе клонировать "софт-"зеркало" можно с любой из его "половинок", ну а софтовый R-5 - как Вы и говорили: образ каждого харда - и собирать на стенде прогой... Хотя если софтовый R-5 собран не из целых HDD, а из отдельных разделов разных дисков, то тут для программной реконструкции уместнее (ИМХО) будет делать образы этих разделов из-под liveCD, запущенного на этой машине. 4)Вопрос: "на чём этот рэйд запустить? ". Буквальный ответ... :)Ответ: На стендовой ПЭВМ. 5)Вопрос: "Такой вопрос: а как правильно провести экспертизу, если, например, логический диск имеет большой размер?" По поводу ENCD нельзя ли чуть поподробнее (а то эта аббревиатура плохо гуглится - даже в сочетании с "forensic" идёт сплошной мусор)??? Ответ: В дополнение к вышесказанному могу добавить, что в отдельных случаях возможно проводить исследование по сети: В память исследуемой ПЭВМ загружается специализированная программа-транслятор обеспечивающая: а)Защиту исследуемых данных от изменений; б)Обеспечивающая доступ к всему дисковому пространству накопителей (включая зоны HPA, DCO); в)Транслирующая данные с исследуемой ПЭВМ на компьютер эксперта по сети. Версии подобных программ существуют как под Linux так и под DOS. Как пример подобного софта могу порекомендовать связку ENCD+Encase. Я так подозреваю, что это какой-то live-CD с Encase "на борту", позволяющий грузить исследуемую машину с монтированием томов в r/o и позволяющий делать образы силами самой Encase непосредственно на сетевые диски, нет? Небольшая оговорка, в данном топике мы не описываем как проводить экспертизу (так как нам не известны вопросы которые поставлены перед экспертом), а рассказываем как, криминалистически правильно, получить доступ к RAID-массивам и большим по объему накопителям. В этой связи мне лично представляется более перспективным упомянутый выше метод снятия образов дисков/томов исследуемой машины путём загрузки её с live-дистрибутива, а не копированием образов отдельных хардов через блокираторы - образ RAID-тома можно непосредственно исследовать forensic-программой без необходимости предварительной сборки "реконструктором". Название: Re:Экспертиза больших дисков Отправлено: Igor Michailov от 17 Июля 2009, 17:36:28 По поводу ENCD нельзя ли чуть поподробнее (а то эта аббревиатура плохо гуглится - даже в сочетании с "forensic" идёт сплошной мусор)??? Encase for DOS.Версия этой программы под Linux называется - Linen. Название: Re:Экспертиза больших дисков Отправлено: De Nada от 17 Июля 2009, 18:11:14 2 I.M.
Ага, про Encase for Dos/Linux понял, спасибо. Верно ли я понимаю, что их пускают не в основной системе, а в live- (и, соответственно, сия красочная иллюстрация: Цитировать В память исследуемой ПЭВМ загружается специализированная программа-транслятор обеспечивающая: а)Защиту исследуемых данных от изменений; б)Обеспечивающая доступ к всему дисковому пространству накопителей (включая зоны HPA, DCO); в)Транслирующая данные с исследуемой ПЭВМ на компьютер эксперта по сети. есть не что иное, как описание работы live-CD с данными программами)??? Название: Re:Экспертиза больших дисков Отправлено: Igor Michailov от 17 Июля 2009, 18:20:47 Да.
Ещё есть XT Imager - тоже вещь необыкновенная. Ещё есть... в общем, "В мире есть много такого, друг Горацио, Что и не снилось нашим мудрецам. ..." |