При работе на выезде определяющим фактором зачастую является время, затраченное на поиск и анализ улик. В то же время важно обеспечить чистоту собранных в процессе анализа данных с правовой точки зрения. При создании образов дисков необходимо обеспечить как неизменность изначальных данных и доказательное соответствие снятого образа оригиналу, так и неизменность самого образа в процессе его хранения и обработки. Новые функции Elcomsoft System Recovery облегчат достижение этих целей.
Сохранение криминалистической чистоты собранных улик начинается с первого звена цепочки. Именно по этой причине стандартная методика предписывает отключение компьютера и изъятие жёстких дисков (а также снятие образа оперативной памяти). Elcomsoft System Recovery предлагает альтернативный способ доступа к данным, позволяющий сэкономить время и усилия во время работы на выезде. Программа поможет преодолеть проблему доступа к заблокированной системе загрузкой с внешнего накопителя, обеспечивая возможность исследования компьютеров в полевых условиях и позволяя снять образ дисков компьютера, найти зашифрованные тома и зашифрованные виртуальные машины. Благодаря новому функционалу Elcomsoft System Recovery можно рекомендовать в качестве замены специализированным аппаратным комплексам для снятия образов дисков с функцией блокировки записи.
Доступ в режиме «только для чтения»
Обеспечение целостности и неизменности данных на исследуемом компьютере — важнейшая часть процесса криминалистического анализа. В ESR 8.0 появился новый режим, позволяющий монтировать накопители исследуемого компьютера в режиме «только для чтения». В этом режиме любые попытки записи на исследуемый компьютер блокируются, гарантируя неизменность исследуемых данных. В этом режиме можно создавать образы дисков (на внешний накопитель), извлекать метаданные шифрования и исследовать файлы и папки. Такие функции, как сброс пароля к учётной записи Windows, в этом режиме недоступны, т.к. для них требуется возможность записи.
Новый режим включается умолчанию. Для его отключения потребуется вручную отключить соответствующую настройку в момент запуска Elcomsoft System Recovery.
Подписанные образы дисков
Для создаваемых образов диска теперь доступны функции создания контрольных сумм с использованием хэш-функций MD5, SHA1 и SHA-256, а также поддержка формата образов дисков .E01, который был разработан специально для нужд судебно-криминалистической экспертизы и поддерживается большинством криминалистических программ. Создание подписанных образов позволит экспертам правильно оформлять извлечённые данные, гарантируя целостность и неизменность снятых образов дисков в ходе следственных действий.
Пара контрольных сумм MD5 и SHA1 создаётся автоматически при снятии образа диска для всех поддерживаемых форматов (RAW/DD/.E01); хэш SHA-256 можно включить дополнительно. Обратите внимание: при создании образа в формате RAW/DD контрольная сумма вычисляется автоматически в процессе создания, в то время как данные в образах .E01 сжимаются; соответственно, для образов в формате .E01 контрольная сумма вычисляется в самом конце и занимает дополнительное время.
С технической точки зрения контрольные суммы с использование хэш-функций MD5, SHA1 и SHA-256 не являются полноценными цифровыми подписями и требуют соответствующего документального оформления.
Проверка целостности данных
Для проверки контрольной суммы рекомендуем использовать утилиту командной строки certutil в следующем формате:
certutil -hashfile FILENAME md5|sha1|sha256
При успешном прохождении проверки выводится следующий результат:
MD5 hash of disk.e01: 0d8a7ca3d87bf6c202c26dc363983836
CertUtil: -hashfile command completed successfully
Последовательность шагов
Для создания образа дисков с гарантией неизменности данных на исследуемом компьютере проделайте следующую последовательность действий: ...
Читать статью полностью бесплатно: https://blog.elcomsoft.ru/2021/11/rabota-na-vyezde-sozdanie-obrazov-diskov-s-garantiej-autentichnosti-i-neizmennosti-dannyh/