10 апреля 2012 | Рубрика: Для справки
Метки: ,

О всех действиях Windows наверное не знает даже Бил Гейтс, что уж говорить о конечном пользователе. А она ежесекундно выполняет десятки непонятных операций, создает кучи временных файлов, пишет кто, когда, что запускал, какие устройства подключал и т.д.

Для того что бы описать какие следы оставляет пользователь и где их искать потребуется не один пост…… А сперва я хотел рассказать как создать точную побитовую копию жесткого диска (тем же способом можно сделать копию любого носителя информации). Можно разумеется исследовать и сам диск, но очень часто с этим возникает ряд проблем:

доступ к компьютеру имеется только на пару часов (провести полное исследование за это время сложновато);

при исследовании можно внести изменения в жесткий диск, что не останется незамеченным для пользователя;

компьютер опломбирован или опечатан, вскрыть корпус невозможно.

При создании образа с помощью Acronis True Image, Norton Ghost или чем-нибудь похожим данные с жесткого диска сохраняется не все (если не использовать «подробные» режимы), как правило, отсутствуют удаленные (логически) файлы, в некоторых случаях еще и временные, могут пропускаться скрытые разделы диска. Для полного побитного копирования диска, на мой взгляд, проще всего использовать утилиту, которая имеется в любом дистрибутиве Linux – dd. (кстати, есть и для Windows). Программа хороша, хотя и не выводит статистику скопированных, оставшихся и ошибочных блоков. Этого недостатка лишены dcfldd, dd_rescue, ddrescue. Синтаксис команд у них практически одинаковый.

Так что загружаем компьютер c LiveCD c Unix-овой системой, подключаем внешний жесткий диск и создаем на нем точный побитовый образ.

1) создаем посекторный образ в текущем каталоге в файле hda.img

#dd if=/dev/hda of=<каталог на примонтированном внешнем диске>/hda.img conv=noerror,sync

conv=noerror,sync указывают dd продолжить чтение информации, даже если диске встречены плохие сектора.

Не стоит забывать при записи файла-образа на систему FAT-32, что данная файловая система поддерживает файлы размером только 4Gb, а NTFS по умолчанию монтируется «только для чтения», необходимо его монтировать для записи например так:

#mount –t ntfs-3g /dev/sdb /mnt/sdb –o force

2) создаем точную копию диска на другой жесткий диск (клонирование)

#dd if=/dev/hda of=/dev/sdb conv=noerror,sync

3) создаем точную копию диска на компьютере по сети

Достаточно редко, но еще встречаются компьютеры с USB 1.0, копирование информации по такому интерфейсу потребует много времени (десятки часов), так что удобнее и быстрее скопировать образ по сети.

На компьютер подключенном к сети (ip:192.168.1.100)(на который будем копировать образ) запускаем программу Netcat, данная программа существует как для Unix-систем так и для Windows (права желательно админские:

#nc -L –p 5555 > ./hda.img

Программа netcat будет ожидать открытия соединения на порту 5555. Данные принятые по сети будут попадать в файл hda.img, в текущем каталоге.

На компьютере, чей образ будем копировать по сети пишем команду

#dd if=/dev/hda bs=1M | nc 192.168.1.100 5555

При проведении копирования по сети необходимо учитывать, что netcat прилично забивает сеть.

Образ получен, теперь смело можно приступать к изучению информации на нем и поиску следов работы…

Продолжение исследования следует….

]]>twitter.com Google Buzz google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru]]>

Подпишитесь!