cs:navody:disk-image

Návod - vytvoření obrazu disku

Na této stránce naleznete návod na vytvoření obrazu disku pro následnou analýzu. Správně vytvořený obraz disku je nutná podmínka pro kvalitní analýzu, zejména je nutné zajistit, aby s daty na disku nebylo během vytváření obrazu nijak manipulováno a nedošlo tak k přepsání důležitých digitálních stop. Možnosti se liší podle dostupného vybavení.

V první řadě je třeba zjistit, zda je k dispozici další (separátní) PC, ke kterému bude připojeno médium z podezřelého počítače, nebo bude nutné použít přímo podezřelý počítač ke kopírování dat na externí médium (pevný disk, USB klíčenka).

Vytvoření obrazu na separátním PC ...

  1. Vypněte podezřelou stanici
  2. Vyjměte pevné disky z podezřelé stanice
    1. Zaznamenejte si umístění disků a příslušné kabeláže tak, abyste byli schopni po vytvoření obrazu vrátit vše do původního stavu.
    2. Označte systémový disk
  3. Vyjměte všechna externí úložná média (USB disky, diskety, CD apod.)
    1. Označte si umístění všech vyjímaných médií
    2. V závislosti na typu incidentu pak mohou být vytvořeny kopie i těchto médií
      • Originální hudební CD například nebude třeba kopírovat, podezřelá klíčenka ano
      • Nejste-li si jisti, konzultujte s pracovníky FLABu
  4. Dále se postup liší podle toho, jaké další vybavení máte k dispozici

... s použitím write-blockeru

  1. Připojte vyjmutý disk k Write-Blockeru.
  2. Připojte Write-Blocker do funkčního rozhraní separátního PC.
  3. Před připojením disku se ujistěte že máte vypnutý autorun! [mohlo by dojít např. k zavirování separátního PC]
  4. Zapněte Write-Blocker.
  5. Vytvořte obraz disku podle

... s použitím USB-SATA/IDE převodníku

  1. Připojte vyjmutý disk k převodníku.
  2. Do PC, pokud se jedná o Windows, importujte klíč, který zabrání zápisu na USB zařízení, respektive spusťte příkaz:
     reg add "HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v “WriteProtect” /t REG_DWORD /d 1 /f
  3. Připojte převodník do funkčního rozhranní separátního PC.
    • Před připojením disku se ujistěte, že máte vypnutý autorun ve Windows.
    • Vypněte auto-mount v Linuxu.
  4. Zapněte převodník
  5. Vytvořte obraz disku podle

... bez dalšího vybavení

  1. Stáhněte a vypalte si na CD(DVD) nebo nahrajte na flashdisk aktuální verzi Vaší oblíbené Linuxové distribuce (např. Knoppix)
  2. Vypněte separátní PC
  3. Disk připojte do separátního PC přímo do SATA/IDE/SAS/SCSI portu
  4. Zapněte PC, zvolte start z CD/flash disku
  5. Nastartujte zvolenou linuxovou distribuci
  6. Pokračujte návodem pro Linux

Vytvoření obrazu s přímým použitím podezřelé stanice

  1. Stáhněte a vypalte si na CD(DVD) nebo nahrajte na flashdisk aktuální verzi Vaší oblíbené Linuxové distribuce (např. Knoppix).
  2. Do podezřelého PC vložte interní / připojte externí disk, na který obraz nahrajete (volným místem musí převyšovat kapacitu analyzovaného disku).
  3. Zapněte podezřelé PC, zvolte start z CD/flash disku.
  4. Nastartujte zvolenou linuxovou distribuci.
  5. Pokračujte návodem pro Linux.

Následující návod byl sepsán pro distribuci Knoppix 7.0.3, ale lze přepodkládat, že bude téměř totožný i pro jiné distribuce.

  1. Nastartujte systém v konzolovém režimu
    • Některé grafické režimy mají automatické mountování zařízení, kterému se chceme vyhnout
    • Nemountujte připojený disk, ze kterého bude dělán obraz, ani ručně
    • Po zobrazení úvodní obrazovky (vlevo dole bude nápis boot) napište
      knoppix 2

      a stiskněte enter.

  2. Lokalizujte disk(y) podezřelého PC
    • Vypište disky v PC
      fdisk -l
    • Bude se jednat nejspíš o /dev/sdXY (v případě raritního HW/SW pak /dev/hdXY)
      • X zastupuje písmeno, počínaje a, a každé písmeno odpovídá jednomu fyzickému zařízení)
      • Y zastupuje číslici, počínaje 1, a každá číslice odpovídá logickému oddílu
    • Pro každý disk `/dev/sdX` je vypsána jeho velikost a oddíly
    • Podle velikosti a rozdělení disku je tak možné identifikovat konkrétní připojený disk z analyzovaného PC
  3. Připojte disk, na který bude obraz ukládán
    • Po identifikaci disku k analýze je třeba rozhodnout kam bude obraz disku uložen.
      • Při tvorbě obrazu na separátním počítači lze použít libovolný disk separátního počítače s dostatečnou kapacitou nebo externí disk
      • Při analýze na podezřelém počítačí je třeba dodat další disk (ať už interní nebo externí), data by nikdy neměla být ukládána na disk normálně v PC přítomný.
      • Každopádně X disku k analýze se bude lišit od X cílového disku k uložení obrazu.
    • Připojte cílový disk
      mkdir analyza
      mount /dev/sdXY analyza

      kde /dev/sdXY je oddíl na disku, na který bude obraz ukládán.

  4. Vytvořte obraz disku pomocí nástrojů dd a gzip
    • Následujícím příkazem bude vytvořen obraz disku /dev/sdXY a gzipem zabalený uložen do adresáře analyza
      dd if=/dev/sdXY bs=8M | gzip -cv9 > analyza/<date>_<organization>_<incident_description>_<machine_type>_<customer>.dd.gz
      • <date> - datum ve formátu yyyy-mm-dd (např. 2012-04-15)
      • <organization> - organizace vlastnící podezřelé PC (např. ZCU)
      • <machine_type> - typ stroje (např. server/workstation/tablet/phone)
      • <customer> - zadavatel (např. knykles)
    • Nyní počkejte na dokončení příkazu, což může trvat i několik (desítek) hodin, v závislosti na velikosti disku.
  5. Doručte vytvořený obraz do forenzní laboratoře

Následující postup je založen na volně použitelném nástroji FTK imager.

  1. Stáhněte si nástroj FTK imager
  2. Vytvořte obraz disku
    1. Spusťte FTK Imager, zvolte File > Create Disk Image.
    2. Zvolte Physical drive a Next.
    3. V rolovacím menu zvolte který disk má být zkopírován do obrazu.
    4. Vyberte Finish.
    5. V dalším okně pak klikněte na ADD a zvolte typ Raw (dd)(1:1) nebo E01 (podporuje kompresi).
    6. Dále přidejte vhodné popisky.
    7. Vyberte umístění, do kterého bude obraz uložen.
    8. Zadejte název souboru bez přípony.
    9. Vyberte fragmentaci obrazu, v závislosti na možnostech vašeho souborového systému.
    10. Zvolte úroveň komprese - čím vyšší, tím déle bude operace trvat, ale obza bude menší.
    11. Potvrďte Finish a zvolte Start.
    12. Počkejte dokud operace neskončí, může to trvat až několik (desítek) hodin v závislosti na způsobu připojení disku, úrovni komprese a rychlosti PC/disku.
  3. Doručte vytvořený obraz do forenzní laboratoře
Poslední úprava: 14.11.2014 18:52