1)Почему у эксперта не будет контроллера?
...
3)Вопрос: "а как эксперт будет клонировать рэйд, если у него не будет контроллера"
Ответ: Будет по очереди подключать представленные накопители, через блокиратор, к стендовой ПЭВМ. Делать образы представленных накопителей. Далее, используя специализированное программное обеспечение, соберет из полученных образов RAID.
Ну да, что-то типа RAIDreconstructor от RunTime.
По п.1: контроллер, впрочем, у эксперта будет - "родной" контроллер исследуемого массива. Достаточно загрузить с внешнего носителя forensic-дистрибутив (навроде старого доброго Helix`a) - и можем сливать образ всего RAID-тома на носитель эксперта. Главное тут - наличие у f-дистрибутива драйвера под данный контроллер, но это решаемо.
Помимо всего прочего это позволяет обойтись без аппаратных блокираторов, используя монтирование томов f-дистрибутивом в режиме r/o.
2)Зачем нужен аппаратный контроллер, скажем, программному RAID?
Правда Ваша - не за чем...
Добавлю "лыко в строку" - практика показывает, что программный RAID используется в большинстве случаев для "зеркалирования": RAID 5 на программном уровне используют нечасто - тормозной он, да и отсутствие HSD для софтовой "пятёрки" не есть хорошо. В таком разе клонировать "софт-"зеркало" можно с любой из его "половинок", ну а софтовый R-5 - как Вы и говорили: образ каждого харда - и собирать на стенде прогой... Хотя если софтовый R-5 собран не из целых HDD, а из отдельных разделов разных дисков, то тут для программной реконструкции уместнее (ИМХО) будет делать образы этих разделов из-под liveCD, запущенного на этой машине.
4)Вопрос: "на чём этот рэйд запустить? ".
Ответ: На стендовой ПЭВМ.
Буквальный ответ...
5)Вопрос: "Такой вопрос: а как правильно провести экспертизу, если, например, логический диск имеет большой размер?"
Ответ: В дополнение к вышесказанному могу добавить, что в отдельных случаях возможно проводить исследование по сети: В память исследуемой ПЭВМ загружается специализированная программа-транслятор обеспечивающая: а)Защиту исследуемых данных от изменений; б)Обеспечивающая доступ к всему дисковому пространству накопителей (включая зоны HPA, DCO); в)Транслирующая данные с исследуемой ПЭВМ на компьютер эксперта по сети. Версии подобных программ существуют как под Linux так и под DOS.
Как пример подобного софта могу порекомендовать связку ENCD+Encase.
По поводу ENCD нельзя ли чуть поподробнее (а то эта аббревиатура плохо гуглится - даже в сочетании с "forensic" идёт сплошной мусор)
Я так подозреваю, что это какой-то live-CD с Encase "на борту", позволяющий грузить исследуемую машину с монтированием томов в r/o и позволяющий делать образы силами самой Encase непосредственно на сетевые диски, нет?
Небольшая оговорка, в данном топике мы не описываем как проводить экспертизу (так как нам не известны вопросы которые поставлены перед экспертом), а рассказываем как, криминалистически правильно, получить доступ к RAID-массивам и большим по объему накопителям.
В этой связи мне лично представляется более перспективным упомянутый выше метод снятия образов дисков/томов исследуемой машины путём загрузки её с live-дистрибутива, а не копированием образов отдельных хардов через блокираторы - образ RAID-тома можно непосредственно исследовать forensic-программой без необходимости предварительной сборки "реконструктором".
