我在取证学中了解到,你可以将代理部署到远程计算机,并让其检索远程硬盘的精确副本,包括未分配的空间和交换空间,即使在使用时也是如此。代理会通过互联网将此副本发送到你的电脑,然后你就可以在电脑上对其进行操作。
此类软件的一个例子是 EnCase。
但是,我不明白这是怎么可能的。如果计算机正在使用,那么它的某些部分是否无法访问,例如 Windows 中带有 SAM 哈希的文件?或者,如果在代理复制文件时对文件进行了更改,该怎么办?
答案1
你不知道。
关于法医磁盘成像,实际上有两种观点。
这老套方法是拔掉电脑立即地,并将驱动器映像到那个州,以确保没有任何改变。它还确保了一定程度的合理否认……
当人们意识到可以使用密码加密驱动器时,这种方法实际上并没有起到很好的作用。
尽管居住法医捕获并不能确保没有什么根本就是曾经更改后,通过适当的记录,您便可以知道检查者做了什么。这也很方便,因为如果嫌疑人没有锁定他的系统,您可能可以复制出足够的数据来弄清楚发生了什么。
我在取证学中了解到,你可以将代理部署到远程计算机,并让其检索远程硬盘的精确副本,包括未分配的空间和交换空间,即使在使用时也是如此。代理会通过互联网将此副本发送到你的电脑,然后你就可以在电脑上对其进行操作。
感觉你混淆了这两个过程——你会任何一个在活动磁盘上运行代理和其他工具,或使用“传统”方法将硬盘拉到映像,或使用活动工具,或在运行的系统上进行良好的传统调查工作。您无法在运行的系统上真正获得适当的取证副本。
包住例如,可以让您在使用其他工具制作的 VHD 或 VMDK 上工作 - 但您不会在正在调查的系统上直接运行它。
答案2
目标不是创建驱动器的完美映像,而是创建重要数据(即用户数据)的合理副本。如果使用低级磁盘命令(而不是文件系统命令)访问驱动器,则可以解决文件锁定和打开文件等问题。但这些可能是操作系统文件,而不是用户数据。最重要的是,即使系统正在运行,您感兴趣的数据通常也处于静止状态。
答案3
是的,在某些情况下,你必须与设备建立物理连接并获得许可。如果没有,你将需要哈希集和法院命令。小心……这是窃听