====== Návod - vytvoření obrazu disku ======
Na této stránce naleznete **návod na vytvoření obrazu disku pro následnou analýzu**. Správně vytvořený obraz disku je nutná podmínka pro kvalitní analýzu, zejména je nutné zajistit, aby s daty na disku nebylo během vytváření obrazu nijak manipulováno a nedošlo tak k přepsání důležitých digitálních stop. Možnosti se liší podle dostupného vybavení.
===== Návody s ohledem na dostupné vybavení =====
V první řadě je třeba zjistit, zda je k dispozici další (separátní) PC, ke kterému bude připojeno médium z podezřelého počítače, nebo bude nutné použít přímo podezřelý počítač ke kopírování dat na externí médium (pevný disk, USB klíčenka).
==== Vytvoření obrazu na separátním PC ... ====
- Vypněte podezřelou stanici
- Vyjměte pevné disky z podezřelé stanice
- Zaznamenejte si umístění disků a příslušné kabeláže tak, abyste byli schopni po vytvoření obrazu vrátit vše do původního stavu.
- Označte systémový disk
- Vyjměte všechna externí úložná média (USB disky, diskety, CD apod.)
- Označte si umístění všech vyjímaných médií
- V závislosti na typu incidentu pak mohou být vytvořeny kopie i těchto médií
* Originální hudební CD například nebude třeba kopírovat, podezřelá klíčenka ano
* Nejste-li si jisti, konzultujte s pracovníky FLABu
- Dále se postup liší podle toho, jaké další vybavení máte k dispozici
* V ideálním případě máte **Write-Blocker** - postupujte podle [[cs:navody:disk-image#... s použitím write-blockeru|návodu pro write-blocker]]
* Máte-li alespoň **USB-SATA/IDE převodník** - postupujte podle [[cs:navody:disk-image#... s použitím USB-SATA/IDE převodníku|návodu pro USB-SATA/IDE převodník]]
* Nemáte-li **nic z uvedeného** - postupujte podle [[cs:navody:disk-image#... bez dalšího vybavení|příslušného návodu]]
=== ... s použitím write-blockeru ===
- Připojte vyjmutý disk k Write-Blockeru.
- Připojte Write-Blocker do funkčního rozhraní separátního PC.
- Před připojením disku se ujistěte že máte vypnutý autorun! [mohlo by dojít např. k zavirování separátního PC]
- Zapněte Write-Blocker.
- Vytvořte obraz disku podle
* [[cs:navody:disk-image#Návod pro Windows|Návodu pro Windows]] nebo
* [[cs:navody:disk-image#Návod pro Linux|Návodu pro Linux]].
=== ... s použitím USB-SATA/IDE převodníku ===
- Připojte vyjmutý disk k převodníku.
- Do PC, pokud se jedná o Windows, importujte klíč, který zabrání zápisu na USB zařízení, respektive spusťte příkaz: reg add "HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v “WriteProtect” /t REG_DWORD /d 1 /f
- Připojte převodník do funkčního rozhranní separátního PC.
* Před připojením disku se ujistěte, že máte **vypnutý autorun ve Windows**.
* **Vypněte auto-mount v Linuxu**.
- Zapněte převodník
- Vytvořte obraz disku podle
* [[cs:navody:disk-image#Návod pro Windows|Návodu pro Windows]] nebo
* [[cs:navody:disk-image#Návod pro Linux|Návodu pro Linux]]
=== ... bez dalšího vybavení ===
- Stáhněte a vypalte si na CD(DVD) nebo nahrajte na flashdisk aktuální verzi Vaší oblíbené Linuxové distribuce (např. [[http://www.knopper.net/knoppix-mirrors/download.php?lang=en&link=ftp://ftp.uni-kl.de/pub/linux/knoppix/|Knoppix]])
- Vypněte separátní PC
- Disk připojte do separátního PC přímo do SATA/IDE/SAS/SCSI portu
- Zapněte PC, zvolte start z CD/flash disku
- Nastartujte zvolenou linuxovou distribuci
- Pokračujte [[cs:navody:disk-image#Návod pro Linux|návodem pro Linux]]
==== Vytvoření obrazu s přímým použitím podezřelé stanice ====
- Stáhněte a vypalte si na CD(DVD) nebo nahrajte na flashdisk aktuální verzi Vaší oblíbené Linuxové distribuce (např. [[http://www.knopper.net/knoppix-mirrors/download.php?lang=en&link=ftp://ftp.uni-kl.de/pub/linux/knoppix/|Knoppix]]).
- Do podezřelého PC vložte interní / připojte externí disk, na který obraz nahrajete (volným místem musí převyšovat kapacitu analyzovaného disku).
- Zapněte podezřelé PC, zvolte start z CD/flash disku.
- Nastartujte zvolenou linuxovou distribuci.
- Pokračujte [[cs:navody:disk-image#Návod pro Linux|návodem pro Linux]].
===== Návody pro vytvoření obrazu =====
==== Návod pro Linux ====
Následující návod byl sepsán pro distribuci Knoppix 7.0.3, ale lze přepodkládat, že bude téměř totožný i pro jiné distribuce.
- **Nastartujte systém v konzolovém režimu**
* Některé grafické režimy mají automatické mountování zařízení, kterému se chceme vyhnout
* Nemountujte připojený disk, ze kterého bude dělán obraz, ani ručně
* Po zobrazení úvodní obrazovky (vlevo dole bude nápis ''boot'') napište\\ knoppix 2 a stiskněte enter.
- **Lokalizujte disk(y) podezřelého PC**
* Vypište disky v PC fdisk -l
* Bude se jednat nejspíš o ''/dev/sdXY'' (v případě raritního HW/SW pak ''/dev/hdXY'')
* ''X'' zastupuje písmeno, počínaje ''a'', a každé písmeno odpovídá jednomu fyzickému zařízení)
* ''Y'' zastupuje číslici, počínaje ''1'', a každá číslice odpovídá logickému oddílu
* Pro každý disk `/dev/sdX` je vypsána jeho velikost a oddíly
* Podle velikosti a rozdělení disku je tak možné identifikovat konkrétní připojený disk z analyzovaného PC
- **Připojte disk, na který bude obraz ukládán**
* Po identifikaci disku k analýze je třeba rozhodnout kam bude obraz disku uložen.
* Při tvorbě obrazu na separátním počítači lze použít libovolný disk separátního počítače s dostatečnou kapacitou nebo externí disk
* Při analýze na podezřelém počítačí je třeba dodat další disk (ať už interní nebo externí), data by nikdy neměla být ukládána na disk normálně v PC přítomný.
* Každopádně ''X'' disku k analýze se bude lišit od ''X'' cílového disku k uložení obrazu.
* Připojte cílový disk mkdir analyza
mount /dev/sdXY analyza kde ''/dev/sdXY'' je oddíl na disku, na který bude obraz ukládán.
- **Vytvořte obraz disku pomocí nástrojů ''dd'' a ''gzip''**
* Následujícím příkazem bude vytvořen obraz disku ''/dev/sdXY'' a gzipem zabalený uložen do adresáře ''analyza'' dd if=/dev/sdXY bs=8M | gzip -cv9 > analyza/____.dd.gz
* '''' - datum ve formátu yyyy-mm-dd (např. 2012-04-15)
* '''' - organizace vlastnící podezřelé PC (např. ZCU)
* '''' - typ stroje (např. server/workstation/tablet/phone)
* '''' - zadavatel (např. knykles)
* Nyní počkejte na dokončení příkazu, což může trvat i několik (desítek) hodin, v závislosti na velikosti disku.
- **Doručte vytvořený obraz do forenzní laboratoře**
* Postupujte v dle [[cs:navody:postup-analyza#|návodu na zadání analýzy forenzní laboratoři]].
|**Praktický příklad**: [[cs:navody:disk-image:priklad-live-knoppix|Získání obrazu disku pomocí Knoppix Live CD]]|
==== Návod pro Windows ====
Následující postup je založen na volně použitelném nástroji **FTK imager**.
- **Stáhněte si nástroj FTK imager**
* Odkaz ke stažení - [[http://accessdata.com/support/adownloads]]
- **Vytvořte obraz disku**
- Spusťte FTK Imager, zvolte **File > Create Disk Image**.
- Zvolte **Physical drive** a **Next**.
- V rolovacím menu zvolte který disk má být zkopírován do obrazu.
- Vyberte **Finish**.
- V dalším okně pak klikněte na **ADD** a zvolte typ **Raw (dd)(1:1)** nebo **E01** (podporuje kompresi).
- Dále přidejte vhodné popisky.
- Vyberte umístění, do kterého bude obraz uložen.
- Zadejte název souboru bez přípony.
- Vyberte fragmentaci obrazu, v závislosti na možnostech vašeho souborového systému.
- Zvolte úroveň komprese - čím vyšší, tím déle bude operace trvat, ale obza bude menší.
- Potvrďte **Finish** a zvolte **Start**.
- Počkejte dokud operace neskončí, může to trvat až několik (desítek) hodin v závislosti na způsobu připojení disku, úrovni komprese a rychlosti PC/disku.
- **Doručte vytvořený obraz do forenzní laboratoře**
- Postupujte v dle [[cs:navody:postup-analyza#|návodu na zadání analýzy forenzní laboratoři]].
| **Praktický příklad**: [[cs:navody:disk-image:priklad-ftk-imager|Získání obrazu disku pomocí nástroje FTK Imager]] |