Контроллер криминалистического диска

Аппаратное устройство для судебной экспертизы предотвращает запись

Портативный блокиратор записи Tableau, подключенный к жесткому диску

Пример портативного устройства для создания образа диска

Блокировщик криминалистической записи Tableau

Криминалистический образ диска Tableau

Контроллер криминалистического диска или аппаратное устройство блокировки записи — это специализированный тип контроллера жесткого диска компьютера , созданный с целью получения доступа только для чтения к жестким дискам компьютера без риска повреждения содержимого диска. Устройство называется криминалистическим , потому что его наиболее распространенное применение — это использование в расследованиях, где жесткий диск компьютера может содержать доказательства. Такой контроллер исторически был выполнен в виде ключа , который устанавливается между компьютером и жестким диском IDE или SCSI , но с появлением USB и SATA криминалистические контроллеры дисков, поддерживающие эти новые технологии, стали широко распространены. Стив Бресс и Марк Менц изобрели блокировку записи жесткого диска (патент США 6,813,682). ^[1]

Устройство, которое устанавливается между исследуемым носителем информации и компьютером следователя, называется « мостовым комплектом ». Мостовой комплект имеет один разъем для носителя информации и другой разъем для компьютера следователя. Он позволяет следователю считывать, но не изменять исследуемое устройство. ^[2]

Национальный институт юстиции США реализует программу тестирования средств компьютерной криминалистики (CFTT), которая официально определяет следующие требования к инструментам высшего уровня:

Устройство аппаратного блока записи (HWB) не должно передавать команду на защищенное устройство хранения данных, которая изменяет данные на устройстве хранения данных.

Устройство HWB должно возвращать данные, запрошенные операцией чтения.

Устройство HWB должно возвращать без изменений любую важную для доступа информацию, запрошенную у накопителя.

Любое состояние ошибки, сообщенное устройством хранения устройству HWB, должно быть сообщено хосту. ^[3]

Описание

Контроллеры криминалистических дисков перехватывают команды записи из операционной системы хоста , не давая им достичь диска. Всякий раз, когда архитектура шины хоста поддерживает это, контроллер сообщает, что диск доступен только для чтения. Контроллер диска может либо запретить все записи на диск и сообщить о них как об ошибках, либо использовать встроенную память для кэширования записей на время сеанса.

Контроллер диска, который кэширует записи в памяти, создает видимость для операционной системы, что диск доступен для записи, и использует память, чтобы гарантировать, что операционная система видит изменения в отдельных секторах диска, которые она пыталась перезаписать. Он делает это, извлекая сектора с диска, если операционная система не пыталась изменить их, и извлекая измененную версию из памяти для секторов, которые были изменены.

Использует

Контроллеры криминалистических дисков чаще всего связаны с процессом создания образа диска или его получения во время криминалистического анализа . Их использование заключается в предотвращении непреднамеренного изменения доказательств.

Использование оборудования для защиты жесткого диска от записи очень важно по нескольким причинам. Во-первых, многие операционные системы , включая Windows , могут записывать данные на любой жесткий диск, подключенный к системе. По крайней мере, Windows обновит время доступа для любого файла, к которому осуществляется доступ, и может записывать данные на диск неожиданно, например, создавая скрытые папки для корзины или сохраняя конфигурацию оборудования. Вирусные инфекции или вредоносное ПО в системе, используемой для анализа, могут попытаться заразить проверяемый диск. Кроме того, файловая система NTFS может попытаться зафиксировать или откатить незавершенные транзакции и/или изменить флаги на томе, чтобы пометить его как «используемый». В худшем случае нежелательные файлы могут занимать и перезаписывать удаленное пространство на жестком диске, что может потенциально уничтожить доказательства в виде ранее удаленных файлов.

Защита накопителя с доказательствами от записи во время расследования также важна для противодействия потенциальным обвинениям в том, что содержимое накопителя было изменено во время расследования. ^[4] Конечно, это можно утверждать в любом случае, но при отсутствии технологии защиты накопителя от записи опровергнуть такое утверждение невозможно.

Ссылки

1. «Защита от записи для долговременных запоминающих устройств компьютера».
2. "Результаты испытаний для аппаратного блочного устройства записи: Tableau Forensic SATA/IDE Bridge T35u" (PDF) . Министерство внутренней безопасности США . Октябрь 2018 г. . Получено 23 февраля 2021 г. .
3. Computer Forensics Tool Testing Handbook (PDF) . Национальный институт стандартов и технологий . 1 февраля 2012 г. стр. 88 . Получено 15 ноября 2022 г. .
4. Кларк, Натан (2010). «Судебная экспертиза данных». Компьютерная криминалистика . Управление ИТ. С. 26–33. ISBN 9781849280396. JSTOR  j.ctt5hh5mg.8.