Судебный контроллер диска - Forensic disk controller

Портативный блокировщик записи Tableau, прикрепленный к Жесткий диск
Пример портативного накопителя информации
Блокировщик криминалистической записи Tableau
Криминалистический имидж-сканер Tableau

А судебный контроллер диска или аппаратное устройство с блокировкой записи это специализированный тип компьютера контроллер жесткого диска сделано с целью получения доступа к компьютеру только для чтения жесткие диски без риска повредить содержимое диска. Устройство названо судебно-медицинский потому что его наиболее распространенное применение - для использования в расследованиях, где жесткий диск компьютера может содержать улики. Такой контроллер исторически был выполнен в виде ключ который подходит между компьютером и IDE или SCSI жесткий диск, но с появлением USB и SATA, криминалистические контроллеры дисков, поддерживающие эти новые технологии, получили широкое распространение. Стив Бресс и Марк Менз изобрели блокировку записи на жесткий диск (патент США 6813682). [1]

Соединенные Штаты Национальный институт юстиции управляет программой компьютерной криминалистической экспертизы (CFTT), которая формально идентифицирует[2] следующие требования к инструментам верхнего уровня:

  • Устройство аппаратного блока записи (HWB) не должно передавать команду на защищенное запоминающее устройство, которое изменяет данные на запоминающем устройстве.
  • Устройство HWB должно возвращать данные, запрошенные операцией чтения.
  • Устройство HWB должно возвращать без изменений любую важную для доступа информацию, запрошенную от привода.
  • О любом состоянии ошибки, о котором запоминающее устройство сообщает устройству HWB, следует сообщать хосту.

Описание

Криминалистические контроллеры дисков перехватывают команды записи от хоста Операционная система, не давая им добраться до диска. Когда бы хозяин автобус Архитектура поддерживает это, контроллер сообщает, что диск доступен только для чтения. Контроллер диска может либо запретить все записи на диск и сообщить о них как о сбоях, либо использовать встроенную память для кэширования записей на время сеанса.

Контроллер диска, который кэширует записи в памяти, представляет для операционной системы вид, что диск доступен для записи, и использует память, чтобы гарантировать, что операционная система видит изменения в отдельных секторах диска, которые она пыталась перезаписать. Он делает это путем получения секторов с диска, если операционная система не пыталась их изменить, и получения измененной версии из памяти для секторов, которые были изменены.

Использует

Криминалистические контроллеры дисков чаще всего связаны с процессом создания образ диска, или приобретение, во время судебно-медицинский анализ. Их использование заключается в предотвращении непреднамеренного изменения доказательств.

Использование оборудования для защиты жесткого диска от записи очень важно по нескольким причинам. Во-первых, многие операционные системы, в том числе Windows, может записывать на любой жесткий диск, подключенный к системе. По крайней мере, Windows обновит время доступа для любого файла, к которому осуществляется доступ, и может неожиданно записывать что-либо на диск - например, создавать скрытые папки для корзина или сохраненная конфигурация оборудования. Вирус инфекции или вредоносное ПО в системе, используемой для анализа, может попытаться заразить проверяемый диск. Кроме того, NTFS файловая система может попытаться зафиксировать или откатить незавершенные транзакции и / или изменить флаги на томе, чтобы пометить его как «используемый». В худшем случае нежелательные файлы могут выделить и перезаписать удаленное пространство на жестком диске, что потенциально может уничтожить доказательства в виде ранее удаленных файлов.

Защита диска с доказательствами от записи во время расследования также важна для противодействия потенциальным обвинениям в том, что содержимое диска было изменено в ходе расследования.[3] Конечно, об этом можно утверждать в любом случае, но из-за отсутствия технологии защиты диска от записи опровергнуть такое утверждение невозможно.

Рекомендации

  1. ^ https://patents.google.com/patent/US6813682B2/en
  2. ^ http://www.cftt.nist.gov/HWB-ATP-19.pdf
  3. ^ Кларк, Натан (2010). «Криминалистический сбор данных». Компьютерная криминалистика. Управление ИТ. С. 26–33. ISBN  9781849280396. JSTOR  j.ctt5hh5mg.8.