Thu thập và sao chép dữ liệu

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang	42
Dung lượng	1,08 MB

Nội dung

THU THẬP VÀ SAO CHÉP DỮ LIỆU Các phương pháp điều tra viên sử dụng để thu thập bằng chứng kỹ thuật số là gì? Tạo tệp từ disk-to-image bit-stream Là phương pháp phổ biến nhất mà các nhà điều tra pháp y sử dụng. Khi sử dụng phương pháp này, các nhà điều tra pháp y có thể tạo ra nhiều bản sao của bằng chứng kỹ thuật số như họ cần. Các nhà điều tra có thể hình ảnh đĩa gốc sang đĩa khác. Một nhà điều tra sau đó có thể sử dụng các công cụ khác như EnCase, FTK, Smart, Task và Ilook để đọc và phân tích tệp hình ảnh. Tạo bản sao disk-to-disk bit-stream Nếu một nhà điều tra không thể tạo một tệp từ đĩa đến hình ảnh, giải pháp thay thế là tạo một bản sao đĩa-to-disk bit của ổ đĩa của nghi phạm để có được thông tin từ nó. Có một số chương trình bitstreaming có thể sao chép thông tin từ đĩa này sang đĩa khác. Các công cụ chụp ảnh từ đĩa này sang đĩa khác bao gồm SafeBack, SnapCopy và Norton Ghost. Nhiều ứng dụng trong số này chạy theo MS-DOS. Tạo bản sao dữ liệu thưa thớt của thư mục hoặc tệp Một bản sao dữ liệu thưa thớt là một bản sao mà một nhà điều tra chỉ tạo ra một phần của một tập hợp dữ liệu lớn, trong đó chỉ có dữ liệu phù hợp với cuộc điều tra được bao gồm. Một nhà điều tra có thể chọn tạo một bản sao dữ liệu thưa thớt để giảm kích thước tổng thể của một tập tin bằng chứng. Điều tra viên thu thập dữ liệu trên Linux như thế nào?

THU THẬP VÀ SAO CHÉP DỮ LIỆU NHÓM Họ Tên Sinh Viên MSSV Câu 4,8,9 1,6 2,3,7 5,10 Các phương pháp điều tra viên sử dụng để thu thập chứng kỹ thuật số gì?  Tạo tệp từ diskto-image bitstream  Tạo disk-to-disk bitstream Là phương pháp phổ biến mà nhà điều tra pháp y sử dụng Khi sử dụng phương pháp này, nhà điều tra pháp y tạo nhiều chứng kỹ thuật số họ cần Các nhà điều tra hình ảnh đĩa gốc sang đĩa khác Một nhà điều tra sau sử dụng cơng cụ khác EnCase, FTK, Smart, Task Ilook để đọc phân Nếu nhà điều tra tạo tệp từ đĩa đến hình ảnh, giải pháp thay tạo đĩa-to-disk bit ổ đĩa nghi phạm để có thơng tin từ Có số chương trình bitstreaming chép thông tin từ đĩa sang đĩa khác Các công cụ chụp ảnh từ đĩa sang đĩa khác bao gồm SafeBack, SnapCopy Norton  Tạo liệu thưa thớt thư mục tệp Một liệu thưa thớt mà nhà điều tra tạo phần tập hợp liệu lớn, có liệu phù hợp với điều tra bao gồm Một nhà điều tra chọn tạo liệu thưa thớt để giảm kích thước tổng thể tập tin chứng Điều tra viên thu thập liệu Linux nào? “  Các nhà điều tra pháp y sử dụng lệnh dd có sẵn Linux để chép liệu từ ổ đĩa  Lệnh dd chép liệu từ đĩa mà Linux gắn kết truy cập “  Các biện pháp thu thập liệu: • Using the dd command (Sử dụng dịng lệnh dd) • Using dd to Extract the MBR (Sử dụng dịng lệnh để trích xuất MBR) • Using netcat with dd (Sử dụng Netcat với dòng lệnh dd) Các lệnh SavePart WritePart DriveSpy làm gì? “  DriveSpy cho phép người điều tra chuyển hướng thông tin từ phạm vi khu vực cụ thể sang khu vực khác Các lệnh bảo toàn liệu DriveSpy SavePart Có chức tạo hình ảnh phân vùng SavePart cho phép người điều tra mở rộng phương tiện để lưu trữ hình ảnh hồn chỉnh cần thiết Sau tạo hình ảnh phân vùng, DriveSpy cung cấp tóm tắt băm MD5 trì cho hình ảnh để đảm bảo tính tồn vẹn liệu hình ảnh khơi phục 10 WritePart Chức khơi phục hình ảnh phân vùng Hình ảnh hình ảnh lưu trữ phân vùng kiểm tra Một số tính DFSMSdss: “ 28 • Movement and replication of data (di chuyển chép liệu) • Backup and recovery of data (sao lưu phục hồi liệu) • Conversion of data sets and volumes (chuyển đổi tập liệu khối lượng) dd làm việc với hệ thống tập tin nào? • • “ • • • • 30 Sao lưu phục hồi toàn liệu ổ cứng partition Chuyển đổi định dạng liệu từ ASCII sang EBCDIC ngược lại Sao lưu lại MBR máy (MBR file liệu quan chứa lệnh để LILO GRUB nạp hệ điều hanh) Chuyển đổi chữ thường sang chữ hoa ngược lại Tạo file với kích cơ định Tạo file ISO “ 31 CÚ PHÁP SỬ DỤNG #dd if= of= option Trong đó: • if= địa nguồn liệu bắt đầu đọc • of= viết đầu file • option : tùy chọn cho câu lệnh “ 32 CÁC TRƯỜNG HỢP CỤ THỂ  #dd if=/dev/sda of=/dev/sdb conv=noerror,sync Câu lệnh dùng dể lưu toàn liệu ổ sda sang ổ sdb với tùy chọn trường conv=noerrom.sync với ý ngĩa tiếp tục lưu liệu đầu vào bị lỗi tự động đồng với liệu sdb “ 33  dd if=/dev/sda1 of=/root/sda1.img Tạo file image cho ổ sda1 Các nhanh viêc chuyển liệu ổ khác  Nếu muốn nén ảnh file anh vào bạn sử dụng command sau dd if=/dev/sda1 | grip > /root/sda1.img.gz  Sao lưu từ đĩa CDroom dd if=/dev/cdrom of=/root/cdrom.img conv=noerror  Phục hồi liệu dd if=/root/sda1.img of=/dev/sda1 Gán quyền cho root vào xem chmod 600 /root/swap “ 34 Kết hợp với câu lệnh mkswap để tạo phân vùng swap cho máySử dụng câu lênh dd để tạo phân vùng trống có kích cỡ 1G: “ 35 Mơ tả tính QuickCopy “ 37 • Quick Copy hệ thống nhân băng Sau số tính QuickCopy: • Nhân băng thành nhiều băng đích • Bản từ ảnh lưu trữ ổ cứng cục mạng “ 38 • Có khả đa nhiệm cho cơng việc hỗn hợp Ví dụ, chép đồng thời băng mm DLT • Cung cấp xác minh 100% tất thực • Sử dụng hệ điều hành Microsoft NT giao diện người dùng đồ họa (GUI) • Cũng chép phương tiện CD với tùy chọn QuickCopy-CD 10 Yêu cầu hệ thống Drive SnapShot gì? “ 40 Drive SnapShot cơng cụ thu thập liệu tạo hình ảnh đĩa xác Nó tạo hình ảnh điều tra viên tiếp tục thực cơng việc Windows Khởi động vào DOS khơng cần thiết Nó tương thíchvới tất hệ thống tệp Windows hầu hết hệ thống tệp Linux “ 41 • Hệ điều hành: Windows NT 4.0 SP3/2000/XP/2003/PE/Vista • RAM: MB • Hard disk: Phải có 2MB cịn trống ổ đĩa Thanks! 42 ... nguồn: dd if / dev / had bs16065b | netcat targethost-IP 12 34  Trên máy đích: netcat -1 –p 12 34 | dd / dev / hdc bs16065s Viết công cụ phần cứng sử dụng để thu thập liệu “ 19 Image MASSter Solo-3... Firewire máy tính Nó thu thập liệu tốc độ vượt GB / phút Nó sử dụng bảo vệ ghi hỗ trợ băm MD5, CRC-32 SHA -1 để đảm bảo tính tồn vẹn liệu “ 21 RoadMASSter-2 công cụ thu thập phân tích liệu pháp y thiết... khơng thể Chính điều mà liệu phải thu thập chép từ đĩa cứng trước phân tích diễn  Do mà chép liệu phần quan trọng điều tra pháp y máy tính Netcat sử dụng với dd để lấy liệu? “ 15  Netcat đa tảng

Ngày đăng: 21/10/2021, 01:40