Форум ''Интернет и Право''
28 Ноября 2024, 03:23:39 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1]   Вниз
  Печать  
Автор Тема: Экспертиза больших дисков  (Прочитано 6495 раз)
vpetrov
Посетитель
*
Офлайн Офлайн

Сообщений: 2


С любовью к ближнему


« : 16 Июля 2009, 11:51:07 »

Такой вопрос: а как правильно провести экспертизу, если, например, логический диск имеет большой размер?

Например, 3 TB в RAID 5.

Скопировать такой объем на один физический диск нельзя. Добывать где-то большой NAS? А если объем 15 TB?
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #1 : 16 Июля 2009, 13:40:44 »

Не влезает на один диск - сделайте RAID0 из нескольких дисков. Эксперт не может иметь пространство меньше, чем исследуемый объём данных.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #2 : 16 Июля 2009, 14:53:34 »

Скопировать такой объем на один физический диск нельзя.
Можно. И 15Тб тоже можно. Делайте образ накопителя в формате bit copy +.  Используйте опцию максимального сжатия клонируемых данных. Все влезет. Ещё и место на носителе-приемнике останется.

Пример из собственной практики: образы (в формате bit copy +) накопителей из 20 офисных компьютеров+ сервер (суммарный объем представленных накопителей более 2Тб) на моём жестком диске заняли 300Гб.
« Последнее редактирование: 16 Июля 2009, 15:16:43 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #3 : 16 Июля 2009, 17:24:59 »

Эксперт не может иметь пространство меньше, чем исследуемый объём данных.
Почему не может? очень даже может.
Вы, наверно, хотели сказать - "Эксперт, при производстве экспертизы, не должен...".
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
grib
Посетитель
*
Офлайн Офлайн

Сообщений: 39


С любовью к ближнему


« Ответ #4 : 17 Июля 2009, 01:41:37 »

а как эксперт будет клонировать рэйд, если у негоне будет контроллера, на чём этот рэйд запустить?
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #5 : 17 Июля 2009, 03:20:01 »

1)Почему у эксперта не будет контроллера?
2)Зачем нужен аппаратный контроллер, скажем, программному RAID?

3)Вопрос: "а как эксперт будет клонировать рэйд, если у негоне будет контроллера"
Ответ: Будет по очереди подключать представленные накопители, через блокиратор, к стендовой ПЭВМ. Делать образы представленных накопителей. Далее, используя специализированное программное обеспечение, соберет из полученных образов RAID.
4)Вопрос: "на чём этот рэйд запустить? ".
Ответ: На стендовой ПЭВМ.
5)Вопрос: "Такой вопрос: а как правильно провести экспертизу, если, например, логический диск имеет большой размер?"
Ответ: В дополнение к вышесказанному могу добавить, что в отдельных случаях возможно проводить исследование по сети: В память исследуемой ПЭВМ загружается специализированная программа-транслятор обеспечивающая: а)Защиту исследуемых данных от изменений; б)Обеспечивающая доступ к всему дисковому пространству накопителей (включая зоны HPA, DCO); в)Транслирующая данные с исследуемой ПЭВМ на компьютер эксперта по сети. Версии подобных программ существуют как под Linux так и под DOS.
Как пример подобного софта могу порекомендовать связку ENCD+Encase.

Небольшая оговорка, в данном топике мы не описываем как проводить экспертизу (так как нам не известны вопросы которые поставлены перед экспертом), а рассказываем как, криминалистически правильно, получить доступ к RAID-массивам и большим по объему накопителям.
« Последнее редактирование: 17 Июля 2009, 08:09:05 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #6 : 17 Июля 2009, 13:33:14 »

1)Почему у эксперта не будет контроллера?
...
3)Вопрос: "а как эксперт будет клонировать рэйд, если у него не будет контроллера"
Ответ: Будет по очереди подключать представленные накопители, через блокиратор, к стендовой ПЭВМ. Делать образы представленных накопителей. Далее, используя специализированное программное обеспечение, соберет из полученных образов RAID.
Ну да, что-то типа RAIDreconstructor от RunTime.

По п.1: контроллер, впрочем, у эксперта будет - "родной" контроллер исследуемого массива. Достаточно загрузить с внешнего носителя forensic-дистрибутив (навроде старого доброго Helix`a) - и можем сливать образ всего RAID-тома на носитель эксперта. Главное тут - наличие у f-дистрибутива драйвера под данный контроллер, но это решаемо.
Помимо всего прочего это позволяет обойтись без аппаратных блокираторов, используя монтирование томов f-дистрибутивом в режиме r/o.

2)Зачем нужен аппаратный контроллер, скажем, программному RAID?

Правда Ваша - не за чем... Улыбающийся
Добавлю "лыко в строку" - практика показывает, что программный RAID используется в большинстве случаев для "зеркалирования": RAID 5 на программном уровне используют нечасто - тормозной он, да и отсутствие HSD для софтовой "пятёрки" не есть хорошо. В таком разе клонировать "софт-"зеркало" можно с любой из его "половинок", ну а софтовый R-5 - как Вы и говорили: образ каждого харда - и собирать на стенде прогой... Хотя если софтовый R-5 собран не из целых HDD, а из отдельных разделов разных дисков, то тут для программной реконструкции уместнее (ИМХО) будет делать образы этих разделов из-под liveCD, запущенного на этой машине.

4)Вопрос: "на чём этот рэйд запустить? ".
Ответ: На стендовой ПЭВМ.
Буквальный ответ... Улыбающийся

5)Вопрос: "Такой вопрос: а как правильно провести экспертизу, если, например, логический диск имеет большой размер?"
Ответ: В дополнение к вышесказанному могу добавить, что в отдельных случаях возможно проводить исследование по сети: В память исследуемой ПЭВМ загружается специализированная программа-транслятор обеспечивающая: а)Защиту исследуемых данных от изменений; б)Обеспечивающая доступ к всему дисковому пространству накопителей (включая зоны HPA, DCO); в)Транслирующая данные с исследуемой ПЭВМ на компьютер эксперта по сети. Версии подобных программ существуют как под Linux так и под DOS.
Как пример подобного софта могу порекомендовать  связку ENCD+Encase.
По поводу ENCD нельзя ли чуть поподробнее (а то эта аббревиатура плохо гуглится - даже в сочетании с "forensic" идёт сплошной мусор)Непонимающий
Я так подозреваю, что это какой-то live-CD с Encase "на борту", позволяющий грузить исследуемую машину с монтированием томов в r/o и позволяющий делать образы силами самой Encase непосредственно на сетевые диски, нет?

Небольшая оговорка, в данном топике мы не описываем как проводить экспертизу (так как нам не известны вопросы которые поставлены перед экспертом), а рассказываем как, криминалистически правильно, получить доступ к RAID-массивам и большим по объему накопителям.

В этой связи мне лично представляется более перспективным упомянутый  выше метод снятия образов дисков/томов  исследуемой машины путём загрузки её с live-дистрибутива, а не копированием образов отдельных хардов через блокираторы - образ RAID-тома можно непосредственно исследовать forensic-программой без необходимости предварительной сборки "реконструктором".
Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #7 : 17 Июля 2009, 17:36:28 »

По поводу ENCD нельзя ли чуть поподробнее (а то эта аббревиатура плохо гуглится - даже в сочетании с "forensic" идёт сплошной мусор)Непонимающий
Encase for DOS.
Версия этой программы под Linux называется - Linen.
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #8 : 17 Июля 2009, 18:11:14 »

2 I.M.
Ага, про Encase for Dos/Linux понял, спасибо. Верно ли я понимаю, что их пускают не в основной системе, а в live- (и, соответственно, сия красочная иллюстрация:
Цитировать
В память исследуемой ПЭВМ загружается специализированная программа-транслятор обеспечивающая: а)Защиту исследуемых данных от изменений; б)Обеспечивающая доступ к всему дисковому пространству накопителей (включая зоны HPA, DCO); в)Транслирующая данные с исследуемой ПЭВМ на компьютер эксперта по сети.

есть не что иное, как описание работы live-CD с данными программами)Непонимающий
Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #9 : 17 Июля 2009, 18:20:47 »

Да.

Ещё есть XT Imager - тоже вещь необыкновенная.
Ещё есть... в общем, "В мире есть много такого, друг Горацио, Что и не снилось нашим мудрецам. ..."
« Последнее редактирование: 17 Июля 2009, 18:29:59 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines