opentext-logo

Opentext TD4 Duplicator Forensic

opentext-TD4-Forensic-Duplicator-image

Specificazioni

  • Pruduttu: OpenText Tableau Forensic TD4 Duplicator
  • Mudellu: ISTD230400-UGD-EN-1
  • Produttore: Open Text Corporation
  • Indirizzu: 275 Frank Tompa Drive, Waterloo, Ontario, Canada, N2L 0A1
  • Cuntattu: Tel: +1-519-888-7111, Toll Free Canada/USA: 1-800-499-6544, Internaziunale: +800-4996-5440, Fax: +1-519-888-0677

Informazione di u produttu

L'OpenText Tableau Forensic TD4 Duplicator hè un duplicatore forensicu putente è intuitivu cuncepitu per i praticanti di forensica digitale. Offre capacità d'imaghjini d'altu rendiment in un pacchettu chjucu è portable. L'interfaccia d'utilizatore di u touch screen furnisce una sperienza familiare simile à i tablette è smartphones muderni.

Features:

  • Custruitu apposta per a forensica
  • Funzioni di imaging standard è avanzate
  • Disegnu portatile è compactu
  • Interfaccia touch screen user-friendly

Istruzzioni d'usu

Capitulu 1: Prefazione

Stu capitulu furnisce infurmazioni tecniche è prucedure per
utilizendu l'OpenText Tableau Forensic TD4 Duplicator.

Cunvenzioni di misurazione di a capacità di u trasferimentu è a velocità di trasferimentu:

I prudutti di Tableau riportanu capacità di guida è tassi di trasferimentu
sicondu i puteri standard di l'industria di dece cunvenzione. Per
example, un discu duru di 4 GB conserva finu à 4,000,000,000 XNUMX XNUMX XNUMX bytes.

Capitulu 2: Finuview

U Tableau TD4 hè un putente duplicatore forensicu cù a
interfaccia touch screen user-friendly. Offre un altu rendiment
capacità di imaging in un pacchettu portable.

Features:

  • Interfaccia d'utilizatore intuitiva
  • Capacità di imaging standard è avanzate
  • Disegnu compactu per a portabilità

FAQs

  • Q: U Duplicatore Tableau TD4 pò esse usatu per l'imaghjini di più unità simultaneamente?
    • A: Sì, u Duplicatore di Tableau TD4 supporta l'imaghjini di più unità simultaneamente per operazioni forensiche efficienti.
  • Q: C'è una garanzia per Tableau TD4 Duplicator?
    • A: Open Text Corporation ùn offre micca garanzie per l'accuratezza di e funzioni presentate in a publicazione. Per piacè riferite à a sezione di disclaimer in a guida d'utilizatore per più infurmazione.

"'

OpenTextTM TableauTM Forensic TD4 Duplicator
Guida d'usu
Questa guida presenta una larga gamma di informazioni tecniche è prucedure per l'usu di OpenText Tableau Forensic TD4 Duplicator.
ISTD230400-UGD-EN-1

OpenTextTM TableauTM Forensic TD4 Duplicator Guida per l'utente ISTD230400-UGD-EN-1 Rev.: 2023-Oct-19
Questa documentazione hè stata creata per OpenTextTM TableauTM Forensic TD4 Duplicator 23.4. Hè ancu validu per e versioni successive di u software, salvu chì OpenText hà fattu una documentazione più nova dispunibule cù u pruduttu, nantu à un OpenText. websitu, o da ogni altru modu.
Open Text Corporation
275 Frank Tompa Drive, Waterloo, Ontario, Canada, N2L 0A1
Tel: +1-519-888-7111 Toll Free Canada/USA: 1-800-499-6544 Internaziunale: +800-4996-5440 Fax: +1-519-888-0677 Supportu: https://support.opentext.com Per più infurmazione, visitate https://www.opentext.com
Copyright © 2023 Open Text.
Unu o più brevetti ponu copre stu pruduttu (s). Per più infurmazione, visitate https://www.opentext.com/patents.
Disclaimer
Nisuna Garanzia è Limitazione di Responsabilità
Ogni sforzu hè statu fattu per assicurà a precisione di e caratteristiche è tecniche presentate in sta publicazione. Tuttavia, Open Text Corporation è i so affiliati ùn accettanu micca rispunsabilità è ùn offrenu alcuna garanzia, sia espressa o implicita, per l'accuratezza di sta publicazione.

Capitulu 1

Prefazione

Questa guida presenta una larga gamma di informazioni tecniche è prucedure per l'usu di OpenText Tableau Forensic TD4 Duplicator, un pruduttu di OpenText. Hè divisu in i seguenti capituli:
· Piùview: Fornisce infurmazioni generali nantu à TD4 è ancu di disimballà, avvià è navigà i menu TD4 è leghje i LED.
· Configurazione TD4: Fornisce sistema sopraview infurmazione nantu à TD4 è e prucedure per a cunfigurazione è a cunnessione.
· Utilizà TD4: furnisce infurmazioni detallate è prucedure per l'operazione TD4.
· Adattatori: Descrive l'adattatori chì estendenu l'opzioni di acquisizione di unità è e capacità di unità di destinazione di TD4.
· Specificazioni è risoluzione di prublemi: Fornisce specificazioni TD4 è una breve lista di prublemi potenziali è suluzione. Per infurmazione più cumpleta è attuale di risoluzione di i prublemi è risposte à e dumande frequenti (FAQ), visitate OpenText My Support (https://support.opentext.com).
1.1 Cunvenzioni di misurazione di a capacità di cunduce è a velocità di trasferimentu
L'industria di l'informatica aderisce in generale à duie cunvenzioni diverse per e definizione di i termini megabyte (MB) è gigabyte (GB). Per a RAM di l'urdinatore, 1 MB hè definitu cum'è 220 = 1,048,576 bytes è 1 GB hè definitu cum'è 230 = 1,073,741,824 bytes. Per u almacenamiento di unità, 1 MB hè definitu cum'è 106 = 1,000,000 byte è 1 GB hè definitu cum'è 109 = 1,000,000,000 byte. Sti dui cunvenzioni sò cunnisciuti cum'è putenzi di dui è putenzi di deci rispettivamente. Microsoft devia da a cunvenzione di misurazione di capacità di u discu duru è usa i puteri di dui cunvenzioni per i so sistemi operativi.
I prudutti di Tableau riportanu capacità di guida è tassi di trasferimentu secondu e putenzi standard di l'industria di dece cunvenzioni. In i schermi, i rapporti è a documentazione TD4, un discu duru di 4 GB guarda finu à 4,000,000,000 150 150,000,000 XNUMX bytes; un discu duru cù una velocità di trasferimentu di XNUMX MB/sec trasferisce XNUMX bytes per seconda.

ISTD230400-UGD-EN-1

Guida d'usu

5

Capitulu 2

Overview

Tableau TD4 hè un duplicatore forensicu putente è intuitivu chì offre capacità d'imaghjini preziose è d'altu rendiment in un picculu pacchettu portatile. L'interfaccia d'utilizatore touch screen hè faciule d'utilizà è furnisce una sperienza d'utilizatore familiare simile à i tablette è smartphones muderni. TD4 hè custruitu apposta per a forensica è furnisce parechje caratteristiche standard è avanzate chì servenu i bisogni specializati di i pratichi forensici digitale, cumprese:
· Acquisizione di unità PCIe, USB, SATA, SAS, FireWire è IDE.
Nota: l'adattatori PCIe, IDE è FireWire (venduti separatamente) sò richiesti per imagine questi tipi di unità.
· Uscita à unità PCIe, USB è SATA.
· A capacità di mira fileevidenza basata cù funziunalità logica di imaging è standard di l'industria file outputs (lx01 è metadati csv files).
· A capacità di duplicà una unità di fonte à finu à cinque unità di destinazione.
· L'abilità di prevene i danni à i dischi di discu spinnendu quandu sò espulsi da TD4 prima di a rimozione fisica.
· A capacità di power down TD4 dopu chì l'ultimu travagliu attivu hè cumpletu.
· A capacità di pause è ripiglià i travaglii di Duplicazione, cumprese situazioni di perdita di putenza sorpresa.
· A capacità di chjude funzioni è paràmetri specifichi cù un PIN di l'amministratore per rinfurzà i paràmetri è e prucedure standard per i vostri travaglii d'acquisizione forensica.
· Tassi di trasferimentu di dati superiori, ancu durante i calculi di i valori di MD5, SHA-1 è SHA-256.
· A capacità di view dettagliu estensivu di l'unità, cumprese a partizione è fileinfurmazione di u sistema.
· Unità di navigazione filesistemi.
· Vasta filesupportu di u sistema - APFS, ExFAT, NTFS, EXT4, FAT (12/16/32), è HFS +.
· Discu tutale, standard apertu, criptografia di unità di destinazione utilizendu XTS-AES.
· A capacità di detectà è informà di a presenza di criptografia Opal attivata, BitLocker è APFS.
· A capacità di muntà i media digitale in i dispositi Apple chì supportanu u Modu Disk Target.
· Capacità di pulitura cumpleta di destinazione è unità d'accessorii, cumprese i salvietti conformi à NIST 800-88.

ISTD230400-UGD-EN-1

Guida d'usu

7

Capitulu 2 Overview
· Supportu HPA, DCO è AMA per a rilevazione è a gestione di e zone di dati nascosti / prutetti nantu à i dischi di fonte. Questu include a disattivazione HPA / DCO / AMA standalone, "scaffale" DCO / AMA è supportu di trim per a creazione di una destinazione DCO o AMA.
· Interfaccia d'utilizatore localizzata è supportu di tastiera virtuale per e seguenti lingue: Tedesco, Inglese, Spagnolu (Internazionale), Francese, Coreanu, Portoghese (Brazilianu), Turcu è Cinese (Simplificatu)
· Logs forensici dettagliati in formatu HTML per a documentazione di u casu. · A capacità di filtrà a lista di log forensic per vede solu logs d'interessu basatu
casu specificu è / o infurmazione di guida. I logs filtrati ponu ancu esse esportati o sguassati. · Supportu sempre gratuitu per l'aghjurnamentu di u firmware. · Porti di fonte (scrittura bluccata) è di destinazione (lettura / scrittura) chjaramente marcati è codificati.

8

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

A surgente manca (scrittura bluccata) latu di TD4.

2.1. U cuntenutu di u kit TD4

U latu di destinazione ghjustu (lettu / scrive) di TD4.
2.1 Contenutu di u kit TD4
TD4 spedisce in un kit in scatula cù schiuma persunalizata chì include l'articuli seguenti:

Articulu

Model # TD4

Descrizzione
OpenText Tableau Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

TP6

Fornisce energia à TD4. Usi

un AC universale in stile 3-prong

cordone di linea è hè cumpatibile

cù linea 100-240V AC

voltaghè in u mondu sanu.

TC4-8-R4
TC-PCIE-8 TCA-USB3-AC TPKG-VCT-5

Segnale SATA/SAS unificatu è putenza à 8in. Segnale SATA/SAS è 8in. cable d'alimentazione (quantità 3)
8 in. Cavo adattatore PCIe. Deve esse usatu cù un adattatore Tableau PCIe (quantità 1)
Cavo adattatore USB Type A femmina à Type C maschio (quantità 2)
Kit di attache per cable Velcro di 5 pezzi

Guida d'usu

9

Capitulu 2 Overview Articulu

Model # TPKG-CLOTH

Descrizzione Pannu per a pulizia di u screnu in microfibra
Guida rapida di riferimentu

Ùn scartate micca l'imballaggio in schiuma TD4, postu chì hè cuncepitu per adattà à parechji casi di trasportu duru standard di l'industria (per es.ample, u Pelican 1500). Se avete ricevutu u kit TD4 in a scatula di cartone spedita da OpenText, pudete reutilizà l'inserti di schiuma impilabile in u vostru propiu casu duru.
2.2 Navigazione TD4
Aduprate u display touchscreen TD4 per navigà e funzioni dispunibili TD4. Aduprate u teclatu virtuale nantu à u screnu o un teclatu USB per inserisce u testu alfanumericu quandu vi dumanda. Vede "Supportu di tastiera è mouse USB" à a pagina 17.
2.2.1 Schermata iniziale
A pantalla di casa di TD4 mostra tile di funzione per inizià i seguenti travaglii forensi:
· Duplicate · Image Logica · Hash · Verificate · Risturà
Include ancu piastrelle per entra /viewinfurmazione essenziale, cum'è seguita:
· Info di casu · Storia di u travagliu

10

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

2.2. Navigazione TD4

Ogni tile di funzione pò esse apertu per vede più infurmazione, inserisce dati, è, se applicabile, inizià u travagliu assuciatu. Sicondu e diverse cundizioni, u travagliu sia principiatu immediatamente dopu avè chjappu u buttone Start o una schermata di paràmetri avanzati serà visualizata per permette a cunfigurazione di paràmetri specifichi prima di inizià u travagliu. Più dettagli per ogni funzione di u screnu in casa ponu esse truvati più tardi in questa guida d'utilizatore.
À traversu a barra di navigazione superiore ci sò i buttoni per accede rapidamente à u Menu di Navigazione di u Sistema è a pantalla di casa è à view l'ora attuale. Toccu u nome di u mudellu TD4 in a barra di navigazione superiore vi porta à a pantalla di casa.
Nota: In l'eventuali di cundizioni di rinfrescamentu anormali, un icona di avvisu di l'avvenimentu termale serà mostratu in a barra di navigazione superiore à a diritta di l'icona di u Menu di Navigazione di u Sistema. Un tali avvertimentu ùn serà mai vistu in cundizioni normali di u funziunamentu. Vede "Problemi termichi" a pagina 94 per più infurmazione.

ISTD230400-UGD-EN-1

Guida d'usu

11

Capitulu 2 Overview
2.2.2 Drive détails
Nantu à i lati manca è destra di u screnu in casa, truverete piastrelle di unità chì si allineanu cù i porti di cunnessione di l'unità fisica. Queste piastrelle seranu inattive (grigiate) per qualsiasi porti chì ùn anu micca un drive attaccatu. Quandu un drive hè attaccatu à un portu determinatu, quellu tile diventerà attivu è pò esse tappatu per accede à l'infurmazioni detallate nantu à quella unità è eseguisce azioni specifiche di unità.
Nota: U tile di unità per u portu di l'accessori USB posteriore appariscerà solu quandu un drive hè cunnessu à quellu portu. Cumpariscerà sottu à l'icona di u Menu di Navigazione di u sistema in l'angulu superiore manca di u screnu in casa.
Vede "Usà TD4" à a pagina 33 per più infurmazione nantu à i dettagli di l'unità.
2.2.3 Menu di navigazione di u sistema
Toccu l'icona di u Menu di Navigazione di u Sistema in l'angulu superiore manca di a barra di navigazione superiore mostra u Menu di Navigazione di u Sistema TD4, cum'è mostratu quì sottu. Per ulteriori informazioni sugli elementi di questo menu, vedere "Configurazione di TD4" a pagina 19.

12

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

2.2. Navigazione TD4
2.2.4 Status di u travagliu
Dopu chì un travagliu principia, u so schermu di u statu di u travagliu hè automaticamente visualizatu. Questa schermu di statutu mostra i dettagli di un travagliu determinatu, cumprese un intestazione chì mostra u tipu di travagliu, u so statutu, i so tempi di iniziu è di fine, a tarifa generale di dati, u tempu restante è u percentu cumpletu. L'area più bassa di u screnu di u statutu di u travagliu mostra dettagli supplementari di u travagliu, cumpresi i valori di hash (quandu dispunibule) u prugressu sub-passu (per ex.ample, Duplicazione separata da Verificazione in un travagliu di duplicazione / verificazione), un riassuntu di i paràmetri, è e unità implicate in u travagliu. Toccando una tessera di unità apre una schermata di dettagli di unità chì furnisce un rapidu view di tutte l'infurmazioni dispunibili per u drive. L'area inferiore fissa di u screnu di u statu di u travagliu include i buttoni per l'esportazione di u logu forensicu è l'annullamentu di u travagliu. Un exampLe di una schermata di statutu di travagliu di Duplicazione attiva hè mostrata quì sottu.

Nota: Se a schermu di u statutu di u travagliu detallatu hè chjusu, un brevi riassuntu di u statu di u travagliu hè sempre dispunibule in a tile di funzione ampliata nantu à a pantalla di casa. Toccu a parte più bassa di quella tile di funzione riaprerà a schermata di statutu di u travagliu detallatu. Inoltre, quandu un travagliu hè in esecuzione, un spinner circular hè mostratu in a barra di navigazione superiore à a diritta di u nome di u mudellu TD4. Toccu u spinner riaperturarà a schermata di statutu di u travagliu detallatu.

ISTD230400-UGD-EN-1

Guida d'usu

13

Capitulu 2 Overview
Una volta un travagliu hè finitu, a pantalla di u statu di u travagliu hè visualizata è mostra u statu finali di quellu travagliu. Un exampLe di una schermata di statutu di travagliu di Duplicazione cumpleta hè mostrata quì sottu.

2.2.5 Storia di u travagliu
I schermi di u statu di u travagliu storicu ponu esse viewed da a lista di Storia di u travagliu. Per accede à a lista di Storia di l'impieghi, espansione u tile di funzione Storia di u travagliu nantu à a pantalla di casa. Un riassuntu di l'impieghi totali è i casi (basatu nantu à l'impostazione di l'ID Case) serà mostratu in u tile di funzione espansa. Toccate a parte più bassa di a tile di funzione Storia di l'impieghi ampliata per apre a lista di Storia di u travagliu. I travaglii in questa lista persistanu in i ciculi di putere. Ogni travagliu attivu si mostrarà in a lista cù una barra di prugressu blu attiva. I travaglii cumpleti cù successu mostraranu cù una barra di prugressu verde cumpleta. I travaglii annullati mostraranu una barra di prugressu gialla parzialmente piena. È i travaglii falluti mostraranu una barra di prugressu rossa parzialmente piena. Toccate un tile di travagliu specificu da a lista apre u screnu detallatu di u statu di u travagliu per quellu travagliu. Un exampU listinu di a storia di u travagliu hè mostratu quì sottu.

14

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

2.2. Navigazione TD4

Comu pò esse vistu in a cima di a pantalla di Storia di l'impieghi sopra, u casu attuale (cum'è identificatu da u paràmetru di u sistema ID Case) hè mostratu cù un cuntu di u numeru di casi diffirenti inclusi in a lista di Storia di u travagliu.
In certi casi, pò esse convenientu view è gestisce (esporta o sguassate) solu un subset di impieghi da a lista. Per filtrà a lista di l'impieghi, tocca l'icona di u filtru vicinu à u latu in cima à destra di a pantalla di a storia di u travagliu. I criteri di filtru ponu esse aghjuntu per vede solu i travaglii desiderati. A lista di l'impieghi pò esse filtrata in basa di i seguenti criteri:
· Nome di l'esaminatore
· ID di casu
· Note di travagliu
· Venditore di Drive
· Mudellu di Drive
· Numero di seriale di Drive
Basta à appughjà u campu di filtru desideratu è inserite u valore di u filtru. Un conte di quanti impieghi currispondenu à i criteri di filtru serà mostratu vicinu à a cima di u screnu accantu à l'icona di filtru. Nota chì quandu parechji criteri sò utilizati, tutti devenu cuncordà per un travagliu

ISTD230400-UGD-EN-1

Guida d'usu

15

Capitulu 2 Overview
per vede in a lista filtrata. A sezione di criteri di filtru di u screnu pò esse allargata è colapsata toccu nantu à l'icona di filtru.
Nota: Ci hè un modu faciule per filtrà a lista di a Storia di u travagliu per vede solu i travaglii assuciati cù una unità specifica. Per fà quessa, toccu u tile di u drive desideratu da u screnu in casa. Scroll to the Jobs summary section in the bottom of the drive details screen, and then tap on the View buttone. Una lista di solu i travaglii assuciati cù quella unità serà mostrata.
Per esportà i logs assuciati à l'impieghi in a lista di a Storia di u travagliu, toccu u buttone Esporta in u fondu à manca di a pantalla di a Storia di u travagliu. Sceglite u desideratu filesistema è poi tuccà u buttone Esporta in u cantonu fondu-destra di a finestra di navigazione.
Per sguassà i travaglii (è i so logs assuciati) chì sò mostrati in a lista di a Storia di u travagliu, toccu u buttone Elimina in u fondu à destra di a pantalla di Storia di u travagliu è seguitate u prompt.
Nota: sia per l'esportazione sia per l'eliminazione di l'impieghi / logs, qualsiasi travagliu chì si vede in a lista di a Storia di u travagliu sò quelli chì saranu attuati. Se ùn ci sò micca filtri in u locu, allora tutti i travaglii / logs seranu esportati o sguassati. Se un filtru hè utilizatu per mostrà solu un subset di a lista generale di l'impieghi, allora solu quelli travaglii / logs filtrati seranu esportati o sguassati.
Finu à 100 impieghi ponu esse almacenati in TD4. Quandu quellu limitu hè culpitu, l'iniziu di qualsiasi travagliu sussegwente richiederà a ricunniscenza chì u travagliu più anticu serà automaticamente eliminatu. Per evità quellu passu inefficace di l'iniziu di u travagliu, hè cunsigliatu chì i logs di u travagliu esse esportati è i travaglii esse eliminati à a fine di ogni casu.
2.3 Lettura di i LED di statutu
LED indicatore On/Off: L'interruttore di alimentazione illuminatu si trova in l'angulu superiore manca di TD4, è mostra un LED biancu quandu l'unità hè accesa.
DC In LED: U cable di alimentazione TP6 hà un anellu LED blu vicinu à a fine di u connettore di canna chì indica chì l'alimentazione TD4 riceve una putenza d'ingressu DC adatta.
LED d'attività: U LED di attività multicolore si trova in l'angulu inferjuri à destra di TD4. Hè biancu quandu l'unità si avvia, lampeggiante biancu quandu un prublema di energia hè rilevata, spenta quandu l'unità hè accesa ma inattiva, blu quandu una operazione hè in corso, lampeggiante in verde quandu una operazione cumpleta cù successu, è lampeggiante in rossu quandu una operazione hè in corso. falla.

16

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

2.4. Interpretazione di feedback audio
2.4 Interpretazione di feedback audio
TD4 riproduce unu di i dui soni chì indicanu u statu à a fine di un travagliu. Un sonu di campanile piacevule cù note di pitch crescente riproduce per un travagliu successu. Per un travagliu fallutu, u sonu hà note di pitch dicrescente. Pudete cambià u voluminu di i soni o disattivà elli nantu à u screnu Settings.
2.5 Avvisi nantu à u screnu
Quandu hè necessariu, TD4 furnisce avvisi nantu à u screnu in diverse paràmetri è schermi di operazioni. L'avvertimenti gialli chjamanu l'attenzione di l'utilizatori à un risicu potenziale ma ùn impediscenu micca l'operazione. L'avvertimenti rossi significanu chì un paràmetru sceltu ùn pò esse allughjatu, una operazione hà fiascatu, o u potenziale esiste per evidenza forensica per esse mancata, cum'è quandu un DCO o AMA hè rilevatu è micca eliminatu. L'utilizatori sò incuraghjiti à prestà attenzione è à leghje qualsiasi avvisi affissati quandu appariscenu è procedenu in cunseguenza.
2.6 Supportu di tastiera è mouse USB
Pudete inserisce un teclatu USB standard è / o un mouse in lingua inglese in ogni portu USB TD4. (Mentre u portu di l'Accessori in a parte posteriore di TD4 hè destinatu à questu scopu, qualsiasi portu USB funziona.) Pudete truvà più convenientu per utilizà un teclatu esternu è / o un mouse per navigà in l'UI è inserisce dati invece di utilizà a touchscreen. è tastiera virtuale. L'adattatori wireless per tastiera / mouse sò supportati ancu, cumprese l'adattatori unificati.
Notes
· TD4 supporta tastiere wireless è mouse. Per utilizà un teclatu o un mouse wireless, basta inserisce l'adattatore wireless USB in u portu di l'accessori USB posteriore di u TD4, è duverebbe automaticamente cunghjuntà cù u teclatu è cumincià à travaglià. Ci sò parechji vinditori di tastieri è mouse wireless, è certi ùn ponu micca esse cumpatibili cù TD4. Se preferite usà un teclatu o un mouse wireless è u vostru ùn hè micca travagliatu cù TD4, cuntattate l'Assistenza Clienti OpenText per cunsiglii di tastiera.
· Sè vo aduprate una tastiera wireless unificata / adattatore di mouse cù solu un mouse, u teclatu virtuale ùn pò micca appare nantu à a pantalla TD4 per situazioni di ingressu di dati. TD4 hà da vede l'adattatore wireless cum'è u teclatu chì face vulete ammuccià u teclatu virtuale in situazioni di ingressu di dati. Per accodà stu casu d'usu, un paràmetru di u sistema di Tastiera Virtuale hè stata aghjunta per permette chì u teclatu virtuale sia sempre mostratu quandu inserite dati. Questa impostazione serà disattivata per automaticamente, chì significa chì u teclatu virtuale ùn apparirà micca se un teclatu USB hè rilevatu.

ISTD230400-UGD-EN-1

Guida d'usu

17

Capitulu 3

Configurazione di TD4

Stu capitulu descrive i passi per cunfigurà TD4 prima di usà in una basa regulare.
3.1 Sequenza di startup
Quandu hè attivatu, TD4 mostra una schermata di inizializazione durante a sequenza di boot. U ciclu iniziale di boot (dopu à un resettore di fabbrica) mostrarà un assistente di installazione chì mostra i paràmetri chjave di u sistema per fà fà faciule cunfigurà u vostru TD4 per l'usu. L'interazzione cù quella schermu di l'assistente di cunfigurazione (chiudendula o toccu u buttone Full Settings) impedirà chì apparisce in futuri cicli di boot. Una volta avviatu dopu à u screnu di l'assistente di cunfigurazione, TD4 mostra a pantalla di casa è poi accende in sequenza è rileva unità cunnesse è monta qualsiasi supportatu. filesistemi.
3.2 Configurazione di TD4
I paràmetri predeterminati di TD4 sò definiti utilizendu valori sensibili è di megliu pratiche. Ci hè parechje opzioni è paràmetri chì pudete cunfigurà è persunalizà à i vostri bisogni specifichi. Toccate l'icona di u Menu di Navigazione di u Sistema in u cantonu superiore manca di l'interfaccia d'utilizatore per accede à u Menu di Navigazione di u Sistema, chì include i seguenti elementi:
· Home: Ritorna à u screnu in casa. · Configurazione: Accede à a pantalla di Configurazione di u Sistema. · Amministrazione: Accedi à a pantalla di cunfigurazione Amministrazione. · Lock System: Lock the screen with a PIN to prevent access while unattended. · À propositu: Accedi à u screnu About à view infurmazione supplementaria cum'è l'unità
numeru di seriale, versione di firmware / hash, copyright, è infurmazione di licenza. L'aghjurnamentu di u firmware è u resettore di fabbrica sò ancu iniziati da questa schermu.
3.2.1 Impostazioni
Tap Settings per vede u screnu Settings.

ISTD230400-UGD-EN-1

Guida d'usu

19

Capitu 3 Configurazione TD4

A screenshot sopra mostra a pantalla di Settings TD4. Ogni paràmetru è e so opzioni è i valori predeterminati sò descritti quì sottu.
· Hashes: Permette a selezzione di i calculi di hash desiderati per i vostri travaglii di Duplicate, Logical Imaging è Hash. L'opzioni sò MD5, SHA-1, SHA-256 è Prompt. A selezzione di Prompt permetterà di sceglie l'hash à l'ora di l'iniziu di u travagliu. E selezioni di hash predeterminate sò MD5 è SHA-1.
· "Duplicate" File Tipu: Permette a selezzione di l'output file tipu per i travaglii duplicati (imagine fisica). L'opzioni sò: Ex01, E01, DD, DMG è Prompt. Selezzione Prompt permetterà file tipu da esse sceltu à u tempu di u principiu di u travagliu. L'impostazione predefinita hè Ex01.
· Max File Size: Permette a selezzione di a pruduzzioni massima desiderata file dimensione di u segmentu. L'opzioni sò: 2 GB, 4 GB, 8 GB, è Unlimited. L'impostazione predefinita hè Unlimited.
· Recuperazione di l'errore: Permette a selezzione di u Modu di Recuperazione è u Conte di Retry per quandu l'errore di lettura di l'unità di fonte sò scontri durante i travaglii Duplicate è Hash.
Modu di Recuperazione: Questu determina a dimensione di letture chì saranu aduprate per truvà dati leghjite in e regioni chì anu errore. L'opzioni sò: Standard è Exhaustive. U modu standard significa chì i tentativi di ricuperazione di errore leghjeranu

20

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

3.2. Configurazione di TD4

blocchi di dati chì sò sempre 32,768 bytes. In u modu Esaustivu, e letture di ricuperazione di l'errore saranu finu à u livellu più granulare pussibule, chì hè settori individuali. Modu esaustivu vi assicurà a quantità massima di dati recoverable, ma dinù aghjunghje tempu à u travagliu. L'impostazione predefinita hè Standard.
Retry Count: Questu dice à u TD4 quante volte per pruvà à rileghje un determinatu bloccu di dati quandu un errore hè scontru. L'opzioni sò: 0, 1, 10, è 100. U paràmetru predeterminatu hè 1.

Prudenza
Un paràmetru di 100 per u conte di ripetiri ùn hè micca cunsigliatu. Se una lettura continua à sbaglià più di 10 tentativi, hè prubabile chì ùn hà mai successu, è cuntinuà à pruvà parechje letture fallite puderia dannà un drive digià fallimentu è perde un preziosu tempu d'investigazione.
· Cumpressione: Permette a selezzione di cumpressione di dati per e output E01, Ex01, è LX01. Selezziunà a casella assicurarà chì a cumpressione di dati hè utilizata sempre chì hè pussibule. U paràmetru predeterminatu hè di cumpressione quandu pussibule.
· Evidenza File Path: Permette a definizione di u specificu filenome è repertoriu per l'output files. Innota chì i caratteri jolly ponu esse usatu per inserisce automaticamente l'infurmazioni chjave in u filenomi è / o cartulare di output, cum'è seguitu:

Wildcard %d %t %e %s %m %c

annuariu/filedata di nome Data (data di u sistema attuale à u mumentu di l'acquisizione) Ora (ora di u sistema attuale à u mumentu di l'acquisizione) ID di prova per l'unità di fonte in usu Numeru di seriale di unità di fonte in usu Numeru di mudellu di unità di fonte in usu ID di casu à tempu d'acquistu

U difettu fileu nome hè imagine. U nome di u cartulare predeterminatu hè td4 images/%d_%t/.
· Verificazione di lettura: Permette a selezzione di a verificazione di lettura da esse fatta à a fine di a duplicazione / parte di l'imaghjini lògichi di i travaglii, per assicurà chì i dati almacenati currispondenu à ciò chì hè stata acquistata. Selezziunate a casella Verify permetterà a verificazione di lettura per tutti i travaglii. A selezzione di Prompt permetterà a verificazione di lettura per esse attivata à u mumentu di l'iniziu di u travagliu. L'impostazione predefinita hè Verificate.
· Trim Clones: Permette a selezzione di a cunfigurazione di "trimming" di destinazione desiderata per tutti i travaglii. Trimming un drive di destinazione significa chì un DCO o AMA serà appiicatu à l'unità di destinazione (se li supporta) in modu chì a dimensione di l'unità di destinazione apparirà per currisponde à quella di l'unità di origine clone originale. L'opzioni sò: Mai, Quandu pussibule, è Prompt. Selezziunà Prompt permetterà a paràmetra di Trim Clones per esse selezziunata à l'ora di l'iniziu di u travagliu. L'impostazione predefinita hè Mai.

ISTD230400-UGD-EN-1

Guida d'usu

21

Capitu 3 Configurazione TD4
Nota: Per chì u trimming clone funziona, l'unità di destinazione scelta deve supportà DCO o AMA.
· Audio: Permette a selezzione di u livellu di u voluminu di u sistema per esse utilizatu per tutti l'alerta audible. A selezzione di a casella Idle Chirp pruvucarà u sonu di cumpiimentu di u travagliu per esse ghjucatu ripetutamente ogni minutu finu à chì a pantalla di u statu di u travagliu hè stata chjusa. Nota chì, ancu s'è Idle Chirp hè disattivatu, u sonu di cumpiimentu di u travagliu serà ghjucatu una volta à a fine di u travagliu è l'indicatore LED lamperà u statu di cumpiimentu finu à chì a pantalla di u statu di u travagliu hè stata chjusa. L'impostazione predefinita hè di attivà Idle Chirp.
· Display Time: Permette a selezzione di u fusu orariu di u sistema visualizatu è u modu di visualizazione di l'ora (12 ore o 24 ore). I cambiamenti di l'impostazione di u Display di u Tempu devenu esse salvatu esplicitamente per avè effettu. Nota chì cambià i paràmetri di u tempu ùn hè micca permessu mentre un travagliu hè in esecuzione. U modu di visualizazione predeterminatu hè u modu di 12 ore.
· Tempu di u Sistema: Permette l'ingressu di u tempu di u sistema. I cambiamenti di l'impostazione di u Tempu di u Sistema devenu esse esplicitamente salvati per avè effettu. Nota chì cambià i paràmetri di u tempu ùn hè micca permessu mentre un travagliu hè in esecuzione.
· Data di u Sistema: Permette l'ingressu di a data di u sistema. I cambiamenti di l'impostazione di a Data di u Sistema devenu esse esplicitamente salvati per avè effettu. Nota chì cambià i paràmetri di u tempu ùn hè micca permessu mentre un travagliu hè in esecuzione.
· Luminosità: Permette a selezzione di a luminosità di u screnu LCD.
· Tastiera virtuale: Fornisce l'opzione di mostrà sempre u teclatu virtuale nantu à u screnu, ancu quandu un teclatu esternu hè rilevatu. Questu hè utile per un scenariu specificu, induve un teclatu / mouse wireless unificatu (doppiu scopu) hè cunnessu in TD4, ma solu a parte di u mouse hè aduprata. Selezziunate l'opzione "Mostra sempre" per assicurà chì u teclatu virtuale appare in questa situazione. Per automaticamente, u teclatu virtuale hè oculatu quandu un teclatu USB hè rilevatu.
· Lingua: Permette a selezzione di a lingua di u sistema. L'opzioni sò: tedescu, inglese, spagnolu, francese, coreanu, portoghese, turcu è cinese. A lingua predeterminata hè l'inglese.
Nota: Quandu a lingua di u sistema hè cambiata, u teclatu virtuale serà automaticamente cambiatu à quella lingua. Se vulete, u teclatu virtuale pò esse cambiatu manualmente in una lingua diversa da a lingua di u sistema. Per selezziunà manualmente a lingua di u teclatu virtuale, tocca un campu di input è dopu toccu u buttone di localizazione nantu à u teclatu per selezziunà a lingua desiderata.

22

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

3.2. Configurazione di TD4
3.2.2 Amministrazione
In certi ambienti di travagliu forensicu, pò esse desideratu di pruibisce l'utilizatori micca autorizati di accede à l'unità o di cambià paràmetri specifichi. TD4 permette à un utilizatore di livellu amministrativu di chjude spazii specifichi di l'interfaccia d'utilizatore per permette un tali cuntrollu. Toccate u buttone Amministrazione in u Menu di Navigazione di u Sistema per inizià sta cunfigurazione. A schermata iniziale di configurazione di l'Amministrazione hè mostrata quì sottu.

Tap Enable Administration per cumincià. U primu passu hè di stabilisce un PIN Administration di sei cifre. U PIN deve esse inseritu duie volte per assicurà a precisione.
Una volta chì l'Amministrazione hè attivata, i seguenti spazii ponu esse selezziunati per bluccà l'accessu à qualcunu senza u PIN:
· System Boot Lock: Se selezziunatu, l'unità avviarà direttamente à u pad PIN, è u PIN di l'amministratore deve esse inseritu per utilizà l'unità.
· Configurazione di Duplicazione: Se attivata, i seguenti paràmetri di Duplicazione necessitanu u PIN di l'Amministratore per fà qualsiasi cambiamenti:
Hashes

ISTD230400-UGD-EN-1

Guida d'usu

23

Capitu 3 Configurazione TD4
"Duplicate" File Tipu Max File Size Error Recovery Compression Evidence File Path Readback Verification Trim Clones
A screenshot sottu mostra u menù Settings dopu chì u cuntrollu di l'Amministrazione hè statu attivatu per a Configurazione di Duplicazione. Nota u scudo cù l'icona di marca di spunta accantu à l'articuli di paràmetri enumerati sopra. Questu indica quale paràmetri richiederà u PIN di l'amministratore per fà cambiamenti. Tutti l'utilizatori puderanu view i paràmetri currenti, ma ogni tentativu di cambià qualcunu di i paràmetri chjusi pruvucarà l'utilizatore per u PIN di l'amministratore.

Per disattivà l'Amministrazione TD4, tocca Amministrazione da u Menu di Navigazione di u Sistema è dopu tocca Disable Administration. U PIN di Amministrazione deve esse inseritu per cumplettà a disattivazione.

24

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

3.2. Configurazione di TD4
Nota: Quandu l'Amministrazione hè stata attivata, ancu s'è nimu di l'opzioni di cuntrollu individuale hè statu sceltu, u PIN di l'Amministratore serà necessariu per aghjurnà u firmware in l'unità. Stu impedisce circumvention di i paràmetri Administration da downgrade firmware.
3.2.3 Locking u sistema
Pò esse desideratu di chjude u vostru sistema TD4 mentre ùn hè micca assistitu per assicurà chì nisuna paràmetra hè cambiata o chì i vostri travaglii attivi ùn sò micca alterati in alcun modu. Per chjude u vostru sistema, basta à appughjà l'elementu Lock System in u System Navigation Menu. Apparirà una schermu chì permette l'ingressu di un numeru di identificazione persunale di sei cifre (PIN), cum'è mostratu quì sottu.

Avete bisognu di entre in u codice di sei cifre una seconda volta per verificà u PIN. Una volta chì u PIN hè statu verificatu, l'unità serà chjusa, mostrendu solu u pad PIN nantu à u screnu.
Per sbloccare u sistema, basta inserisce u PIN.
Nota: U buttone in u fondu à manca di u teclatu permette di randomizing u layout di i numeri nantu à u teclatu. Questu pò esse usatu per assicurà chì i PIN cumunimenti usati ùn creanu micca un mudellu distintu nantu à u screnu.

ISTD230400-UGD-EN-1

Guida d'usu

25

Capitu 3 Configurazione TD4

Stu mekanismu di serratura PIN hè pruvisoriu in u sensu chì ogni avvenimentu di sbloccare mantene l'unità sbloccata finu à ch'ella hè ri-bloccata. Nutate chì u putere cycling TD4 sguassate u serratura PIN schermu.
3.2.4 Aghjurnà u firmware TD4
U firmware TD4 hè almacenatu in un dispositivu di memoria non-volatile, non-removable in l'unità. Quandu una aghjurnazione di firmware TD4 hè dispunibule nantu à OpenText websitu (Tableau Download Center), pudete scaricà u pacchettu firmware file è aduprà per aghjurnà l'unità.
Nota: Un aghjurnamentu di firmware ùn pò esse iniziatu mentre un travagliu hè in esecuzione.
Per aghjurnà u vostru firmware TD4, andate à u Centru di Download di Tableau à https://www.opentext.com/products/tableau-download-center, dopu seguite questi passi:
1. Locate a sezione TD4 nantu à a pagina di u Centru di Download di Tableau, è dopu toccu l'ultimu firmware file ligame per inizià una scaricamentu à u vostru urdinatore.
Nota: pacchettu firmware TD4 files hannu un .td4_pkg file estensione.
2. Copy u pacchettu firmware telecaricatu file à una chiavetta USB è poi eject è sguassate quella unità da u vostru urdinatore.
3. Inserite u bastone USB in ogni portu USB TD4. 4. Andà à u Menu System Navigation da tuccà nant'à l 'icona à u latu manca di
a barra di navigazione superiore. Dopu tocca l'elementu di menu About. 5. In u screnu About, tu m'aimais u buttone Update Firmware. 6. Selezziunà l'unità adatta /filesistema toccu nant'à u filetile di sistema. 7. Sfoglia à u locu di u .td4_pkg desideratu file è tocca à quessa file. 8. Una volta vi sò sicuru chì vo vulete principià l 'aghjurnamentu cù u sceltu file, tocca u
Selezziunà u buttone in u fondu à destra di u screnu.
TD4 hà da principià u prucessu di l'aghjurnamentu di u firmware utilizendu u firmware sceltu file.
Prudenza
Una volta chì u prucessu di l'aghjurnamentu di u firmware principia, ùn sguassate micca o aghjunghje alcuna unità, spegne l'unità o sguassate u putere da l'unità. Fendu cusì puderia causà prublemi cù u prucessu di l'aghjurnamentu di u firmware chì pò esse risultatu in un TD4 non funzionale. Se qualcosa deve esse accadutu durante u prucessu di l'aghjurnamentu di u firmware chì risultatu in un fallimentu di aghjurnà, hè pussibule chì a prucedura di ricuperazione di firmware pò esse dumandata. Vede "Risoluzione di prublemi cumuni" in a pagina 92 ​​per infurmazioni nantu à u prucessu di ricuperazione di firmware.
TD4 riavviarà automaticamente in u novu firmware una volta chì u prucessu d'aghjurnamentu hè cumpletu.

26

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

3.3. Cunnettendu unità
Nota chì u valore hash SHA-256 di u pacchettu di firmware attualmente caricatu hè calculatu è visualizatu in a parte superiore di a pantalla About inseme cù a versione completa di firmware. Questu permette a verificazione chì a versione di firmware curretta hè in esecuzione è chì ùn hè micca stata alterata. Per scopi di verificazione di l'hash, u valore di l'hash per una versione di firmware data hè dispunibule in u documentu di note di liberazione per ogni aghjurnamentu TD4, chì hè dispunibule nantu à u Centru di Download di Tableau à https://www.opentext.com/products/tableau-download- centru.
3.3 Cunnessu unità
I seguenti rùbbriche furnisce infurmazioni chì permettenu a cunnessione sicura è affidabile di unità à TD4.
Nota: Per i drives chì necessitanu cables di l'adattatore per cunnette à TD4, OpenText ricumandemu di lascià i cables di l'adattatore cunnessi in TD4 è di attaccà / caccià l'unità da l'altra estremità di i cavi. Mentre i connettori di l'unità in TD4 sò robusti è pensati per parechji cicli di accoppiamentu, attache / rimuove unità da l'altra estremità di i cavi aiuterà à maximizà a vita di u vostru TD4.
3.3.1 Versioni USB è tipi di connector
E specificazioni USB anu cambiatu cù u tempu, è, cù elli, a cunvenzione di nomenclatura per diversi porti / velocità di l'interfaccia USB hè ancu cambiata. Per esample, quandu u USB 3.0 (SuperSpeed ​​USB) hè ghjuntu prima, a velocità di l'interfaccia hà saltatu à 5 Gbps sopra a precedente USB 2.0 di 480 Mbps. Cù l'avventu di USB 3.1, u cuncettu di generazioni hè statu introduttu per copre e diverse velocità di l'interfaccia. Per esample, USB 3.0 SuperSpeed ​​hè equivalente à USB 3.1 Gen 1 à 5 Gbps, è USB 3.1 Gen 2 duppiò quella velocità à 10 Gbps. Più recentemente, u standard USB 3.2 hè statu liberatu. In ogni casu, a riferenza generazionale per a velocità resta a stessa chì USB 3.1, cù USB 3.2 Gen 1 essendu 5 Gbps è USB 3.2 Gen 2 essendu 10 Gbps. Utilizendu a lingua di specificazione USB più recente, u portu USB di fonte di TD4 hè USB 3.2 Gen 1 chì funziona à 5 Gbps. I so porti USB di destinazione sò USB 3.2 Gen 2 chì funziona à 10 Gbps. Per simplicità, sti porti sò etichettati cum'è "USB" nantu à u TD4 stessu è sò cumunimenti chjamati porti USB in questa guida d'utilizatore.
I porti USB TD4 usanu tutti i connettori USB Type C. L'unità di Type C è i cavi di unità ponu esse inseriti in TD4 senza riguardu à l'orientazione. Per cunnette una unità USB Type A à TD4, hè necessariu un cable adattatore Tableau TCA-USB3-AC Type A-Type C (o un adattatore equivalente dispunibule in u cummerciu).

ISTD230400-UGD-EN-1

Guida d'usu

27

Capitu 3 Configurazione TD4

3.3.2 Adattatori Drive
Per alcuni di i porti TD4, adattatori esterni sò necessarii per cunnette certi tipi di unità. U capitulu 5 di sta guida d'utilizatore cuntene una lista cumpleta di adattatori di unità Tableau dispunibili. Eccu un riassuntu di l'adattatori cumunimenti utilizati:

Tipo di unità Scheda aggiuntiva PCIe SSD m.2 PCIe SSD Apple PCIe SSD 2013+ u.2 SSD (PCIe) IDE Apple PCIe SSD 2016+ FireWire mSATA/m.2 SATA SSD

Tableau Adapter Part Number TDA7-1 TDA7-2 TDA7-3 TDA7-4 TDA7-5 TDA7-7 TDA7-9 TDA3-3

3.3.3 Drive tile
Nantu à i lati manca è destra di u screnu in casa, truverete piastrelle di unità chì si allineanu cù i porti di cunnessione di l'unità fisica. Queste piastrelle saranu grigiate per qualsiasi porti chì ùn anu micca un drive attaccatu. Quandu un drive hè attaccatu à un portu determinatu, quellu tile diventerà attivu è pò esse tappatu per accede à l'infurmazioni detallate nantu à quella unità è eseguisce azioni specifiche di unità.

Nota: U tile di unità per u portu di l'accessori USB posteriore appariscerà solu quandu un drive hè cunnessu à quellu portu. Cumpariscerà sottu à l'icona di u Menu di Navigazione di u Sistema in l'angulu superiore manca di a pantalla di casa.
3.3.4 Unità di fonte
TD4 esegue un travagliu forensicu à u tempu, è, in u risultatu, hè statu cuncepitu per permette solu di cunnette una unità di fonte à u mumentu. Unità di fonti multiplici ponu esse fisicamenti cunnessi à TD4 è fà cusì ùn pruvucarà micca danni à u dispusitivu. Tuttavia, quandu più di una unità di fonte hè cunnessa, i tile di l'unità di fonte diventeranu rossi è tutte l'operazioni chì necessitanu una unità di fonte (Duplicazione, Image Logica, Hash è Restore) seranu pruibiti. Verificate hè l'operazione chì pò ancu esse fatta cù parechje unità di fonte attaccate, postu chì usa solu unità di destinazione.
Cunnette un'unità (o un adattatore di unità cù l'unità in u locu) à una di l'interfacce laterali di a fonte TD4 (manca): SATA/SAS, PCIe, USB. U tile di unità di l'interfaccia d'utilizatore assuciata diventerà attivu è pò esse toccu view infurmazione dettagliata nantu à u drive è eseguisce azioni specifiche di u drive. Per i dischi di origine, l'azzioni di l'unità dispunibili sò i seguenti:
· Sfoglia filesistemi

28

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

3.3. Cunnettendu unità
· Cuntrolla in biancu · Elimina HPA/DCO/AMA · Sbloccare a crittografia Tableau
Un riassuntu di u travagliu specificu à quella unità pò ancu esse viewed in u screnu di i dettagli di u drive, cù un ligame per view a lista di a storia di u travagliu filtrata per quella unità. U buttone Eject per ogni unità hè situatu à u latu fondu à destra di a pantalla di dettagli di l'unità.
3.3.5 Unità di destinazione
Cunnette una o più unità à u latu di destinazione TD4 (destra): SATA (x2), PCIe, è / o USB (x2). U tile (s) di unità di l'interfaccia d'utilizatore assuciata diventerà attivu è pò esse toccu view infurmazione dettagliata nantu à u drive è eseguisce azioni specifiche di u drive. Per i drive di destinazione, l'azzioni di unità dispunibili sò i seguenti:
· Sfoglia filesistemi · Cuntrolla vuota · Riconfigurazione (vede a sezione "Riconfigurazione" a pagina 42 per informazioni dettagliate
circa a funzione di riconfigurazione di l'unità di destinazione) · Sbloccare a crittografia Tableau
Un riassuntu di u travagliu specificu à u drive pò ancu esse viewed nantu à sta schermu, cù un ligame à view a lista di Storia di u travagliu filtrata per quella unità. U buttone Eject per ogni unità hè situatu à u latu fondu à destra di a pantalla di dettagli di l'unità.
Vede "Duplicazione" à a pagina 58 è "Eseguisce un'immagine logica" à a pagina 69 per i dettagli nantu à l'esecuzione di i travaglii di l'Immagine Logica è Duplicata.
3.3.6 Unità accessori
Un portu USB d'accessori hè dispunibule nantu à a parte posteriore di TD4. Stu portu pò esse usatu per attaccà una unità USB per permette l'esportazione di logs di travagliu o l'aghjurnamentu di u firmware TD4. Pò esse ancu usatu per attaccà un teclatu è / o mouse (wired o wireless).
Prudenza
U portu di l'accessori USB in a parte posteriore di TD4 ùn hè micca prutettu da scrittura! I media di evidenza ùn devenu mai esse cunnessi à stu portu.
Quandu una unità USB d'Accessori hè attaccata à TD4 è rilevata, una piccula tile di unità apparirà ghjustu sottu à l'icona di u Menu di Navigazione di u Sistema in a cima sinistra di l'interfaccia d'utilizatore.

ISTD230400-UGD-EN-1

Guida d'usu

29

Capitu 3 Configurazione TD4
3.3.7 Rilevazione di u drive
Dopu l'avviamentu, TD4 cumencia à detectà unità cunnessi in sequenza. I piastrelli di unità inattivi mostrati nantu à i lati manca è destra di u screnu diventeranu cumplettamente visibili è attivu quandu un drive hè rilevatu. Toccate ogni tile di unità view infurmazione dettagliata nantu à l'unità cunnessa è per eseguisce azioni specifiche di l'unità. Vede "Unità di origine" à a pagina 28 è "Unità di destinazione" à a pagina 29 prima in stu capitulu per più infurmazione nantu à l'azzioni dispunibili.
L'imaghjini sottu mostra a pantalla di casa TD4 cù e seguenti unità cunnessi: fonte USB, accessori USB, destinazione SATA, destinazione PCIe.

30

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

3.4. Spegnendu TD4
3.4 Spegnimentu di TD4
Per spegne u vostru TD4, basta à appughjà u buttone di putenza in l'angulu superiore manca di l'unità. Cunfirmà a dumanda toccu u buttone Shutdown o toccu u buttone Annulla per mantene l'unità alimentata.
In certi casi, pò esse desiderate avè u putere TD4 stessu off dopu chì u travagliu attuale hè cumpletu. In u casu di eseguisce un travagliu durante a notte o durante un weekend cù l'unità senza assistenza, questu pò aiutà à riduce u cunsumu di energia è u runtime innecessariu in ogni unità attaccata. Per disattivà TD4 quandu u travagliu attuale hè cumpletu, basta à appughjà u buttone di putenza in l'angulu superiore manca di l'unità cum'è normalmente, è dopu toccu u buttone Spegni. U travagliu attuale si compie è dopu l'unità si spegnerà. Questu hà da travaglià per ogni tipu di travagliu.
Nota: Se u metudu di spegnimentu di u buttone di alimentazione descrittu sopra hè utilizatu, ùn ci hè bisognu di ejectà alcuna unità attaccata prima di chjude TD4. Utilizà stu metudu di spegnimentu propiu permette à u software di tempu per interrompe ogni attività attiva è eject drives prima di spegne l'unità. Forzà TD4 à spegnere tirà u cordone di alimentazione o tenendu premutu u buttone d'alimentazione ùn hè micca cunsigliatu perchè pò corrompere qualsiasi partizione / partizione esistente.fileinfurmazione di u sistema.

ISTD230400-UGD-EN-1

Guida d'usu

31

Capitulu 4

Utilizendu TD4

Stu capitulu copre prucedure dettagliate è infurmazioni per l'usu di TD4.
4.1 Schermata iniziale
A pantalla di casa di TD4 mostra tile di funzione per inizià i seguenti travaglii forensici: · Duplicate · L'Imagine Logica · Hash · Verificate · Risturà Include ancu tile per entre /viewing infurmazione essenziale, cum'è seguita: · Case Info · Job History

ISTD230400-UGD-EN-1

Guida d'usu

33

Capitulu 4 Utilizendu TD4

Ogni tile di funzione pò esse apertu per vede più infurmazione, inserisce dati, è, se applicabile, inizià u travagliu assuciatu. Sicondu e diverse cundizioni, u travagliu sia principiatu immediatamente dopu avè chjappu u buttone Start o una schermata di paràmetri avanzati serà visualizata per permette a cunfigurazione di paràmetri specifichi prima di inizià u travagliu. Più dettagli per ogni funzione di u screnu in casa ponu esse truvati più tardi in stu capitulu.
À traversu a barra di navigazione superiore ci sò i buttoni per accede rapidamente à u Menu di Navigazione di u Sistema è a pantalla di casa è à view l'ora attuale. Toccu u nome di u mudellu TD4 in a barra di navigazione superiore vi porta à a pantalla di casa.
Nota: In casu di cundizioni di rinfrescamentu anormali, un icona di avvisu termale serà mostratu in a barra di navigazione superiore à a diritta di l'icona di Menu di Navigazione di Sistema. Un tali avvertimentu ùn serà mai vistu in cundizioni normali di u funziunamentu. Vede "Problemi termichi" à pagina 94 per più infurmazione.

34

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.2. Dettagli di Drive
4.2 Drive détails
Nantu à i lati manca è destra di u screnu in casa, truverete piastrelle di unità chì si allineanu cù i porti di cunnessione di l'unità fisica. Questi tile seranu inattivi per qualsiasi porti chì ùn anu micca un drive attaccatu. Quandu un drive hè attaccatu à un portu determinatu, quellu tile diventerà attivu è pò esse tappatu per accede à l'infurmazioni detallati nantu à l'unità è eseguisce azioni specifiche di unità.
Nota: U tile di unità per u portu di l'accessori USB posteriore appariscerà solu quandu un drive hè cunnessu à quellu portu. Cumpariscerà sottu à l'icona di u Menu di Navigazione di u Sistema in l'angulu superiore manca di a pantalla di casa.
Vede "Viewsorgenti e destinazioni” a pagina 39 per ulteriori informazioni sulla schermata di dettagli dell'unità e funzionalità associate.
4.3 Menu di navigazione di u sistema
Toccu l'icona di u Menu di Navigazione di u Sistema in l'angulu superiore manca di a barra di navigazione superiore mostra u Menu di Navigazione di u Sistema TD4, cum'è mostratu quì sottu. Per ulteriori informazioni sugli elementi di questo menu, vedere "Configurazione di TD4" a pagina 19.

ISTD230400-UGD-EN-1

Guida d'usu

35

Capitulu 4 Utilizendu TD4
4.4 Status di u travagliu
Dopu chì un travagliu principia, u so schermu di u statu di u travagliu hè automaticamente visualizatu. Questa schermu di statutu mostra i dettagli di un travagliu determinatu, cumprese un intestazione chì mostra u tipu di travagliu, u so statutu, i so tempi di iniziu è di fine, a tarifa generale di dati, u tempu restante è u percentu cumpletu. L'area più bassa di u screnu di u statutu di u travagliu mostra dettagli supplementari di u travagliu, cumpresi i valori di hash (quandu dispunibule) u prugressu sub-passu (per ex.ample, Duplicazione separata da Verificazione in un travagliu di duplicazione / verificazione), un riassuntu di i paràmetri, è una lista di e unità implicate in u travagliu. Toccu un tile di unità apre a so schermu di dettagli di unità chì furnisce un view di tutte l'infurmazioni dispunibili per u drive. L'area inferiore fissa di u screnu di u statu di u travagliu include i buttoni per l'esportazione di u logu forensicu per quellu travagliu è annullà u travagliu. Un exampLe di una schermata di statutu di travagliu di Duplicazione attiva hè mostrata quì sottu.

Nota: Se u screnu di u statu di u travagliu hè chjusu, un brevi riassuntu di u statu di u travagliu hè sempre dispunibule in u tile di funzione ampliata nantu à a pantalla di casa. Toccu a parte più bassa di quella tile di funzione riaperturarà a pantalla di statutu di u travagliu. Inoltre, quandu un travagliu hè in esecuzione, un spinner circular hè mostratu in a barra di navigazione superiore à a diritta di u nome di u mudellu TD4. Toccu u spinner riapre u screnu di u statu di u travagliu.

36

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.5. Storia di u travagliu
Una volta un travagliu hè finitu, a pantalla di u statu di u travagliu hè visualizata è mostra u statu finali di quellu travagliu.

Se a schermata di u statu di u travagliu hè lasciata aperta dopu à a fine di u travagliu, l'indicatori di u statu di u travagliu cuntinueghjanu finu à chì a pantalla di u statu di u travagliu hè chjusa. Quelli indicatori di statutu di cumpleta includenu un LED di status lampeggiante è, se Idle Chirp hè attivatu in i paràmetri di u sistema, una notificazione audible (una volta ogni minutu). Se Idle Chirp hè disattivatu, a notificazione audible di fine di u travagliu serà furnita solu una volta.
4.5 Storia di u travagliu
I schermi di u statu di u travagliu ponu esse viewed da a lista di l'impieghi chì hè accessibile da u tile Storia di u travagliu nantu à a pantalla di casa. Toccate a parte più bassa di a tessera di Storia di u travagliu espansa apre a lista di l'impieghi per quella unità. I travaglii in questa lista sò almacenati in l'unità è persistenu in i cicli di putenza. Ogni travagliu attivu si mostrarà in a lista cù una barra di prugressu blu attiva. I travaglii cumpleti cù successu si mostraranu cù una barra di prugressu verde cumpleta. I travaglii annullati mostraranu una barra di prugressu gialla parzialmente piena. È i travaglii falluti si mostraranu cù una barra di prugressu rossa parzialmente piena. Toccu un tile di travagliu specificu da a lista apre a pantalla di statutu di u travagliu per quellu travagliu. Un exampU listinu di a storia di u travagliu hè mostratu quì sottu.

ISTD230400-UGD-EN-1

Guida d'usu

37

Capitulu 4 Utilizendu TD4

Comu pò esse vistu in a cima di a pantalla di Storia di u travagliu sopra, u casu attuale (cum'è identificatu da u paràmetru di ID Case) hè mostratu cù un cuntu di u numeru di casi diffirenti inclusi in a lista di Storia di u travagliu.
In certi casi, pò esse convenientu view è gestisce (esporta o sguassate) solu un subset di impieghi da a lista. Per filtrà a lista di l'impieghi, tocca l'icona di u filtru vicinu à u latu in cima à destra di a pantalla di a storia di u travagliu. I criteri di filtru ponu esse aghjuntu per vede solu i travaglii desiderati. Nota chì quandu parechji criteri sò utilizati, tutti deve cuncordà per un travagliu per vede in a lista filtrata. A lista di l'impieghi pò esse filtrata in basa di i seguenti criteri:
· Nome di l'esaminatore
· ID di casu
· Note di travagliu
· Venditore di Drive
· Mudellu di Drive
· Numero di seriale di Drive
Nota: Ci hè un modu faciule per filtrà a lista di a Storia di u travagliu per vede solu i travaglii assuciati cù una unità specifica. Per fà quessa, tocca à u tile di u drive desideratu da u

38

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.6. Viewing fonti è destinazioni
screnu in casa. Scroll to the Jobs summary section in the bottom of the drive details screen and then tap the View buttone. Una lista di solu i travaglii assuciati cù quella unità serà mostrata. Pudete espansione u filtru in questu view per vede i criterii specifichi chì sò stati utilizati per filtrà a lista.
Per esportà i logs assuciati à l'impieghi in a lista di a Storia di u travagliu, toccu u buttone Esporta in u fondu à manca di a pantalla di a Storia di u travagliu. Sceglite u desideratu filesistema è cartulare è poi tuccà u buttone Esporta à u cantonu fondu-destra di a finestra di navigazione.
Per sguassà i travaglii chì sò mostrati in a lista di a Storia di l'impieghi, tocca u buttone Elimina in u fondu à destra di a pantalla di Storia di u travagliu è seguitate u prompt.
Nota: Per l'esportazione di u logu è l'eliminazione di u travagliu, qualsiasi travaglii chì sò mostrati in a lista di Storia di u travagliu sò quelli chì saranu attuati. Se ùn ci sò micca filtri in u locu, allora tutti i logs / jobs seranu esportati o sguassati. Se un filtru hè utilizatu per mostrà solu un subset di a lista generale di l'impieghi, allora solu quelli logs / impieghi seranu esportati o sguassati.
Finu à 100 impieghi ponu esse almacenati in TD4. Quandu quellu limitu hè culpitu, l'iniziu di qualsiasi travagliu sussegwente richiederà a ricunniscenza chì u travagliu più anticu serà automaticamente eliminatu. Per evitari stu passu inefficace di u principiu di u travagliu, hè cunsigliatu chì i logs sò esportati è dopu i travaglii sguassati à a fine di ogni casu.
Vede "Registri forensici" à pagina 79 per più infurmazione nantu à i registri forensici TD4.
4.6 Viewing fonti è destinazioni
Per accede à a schermu di i dettagli di l'unità per una fonte o destinazione, toccu u tile di u drive desideratu nantu à a pantalla di casa TD4. I tile di Drive sò mostrati nantu à i lati di manca (fonte) è di destra (destinazione) di l'interfaccia d'utilizatore TD4. A schermata di dettagli di l'unità per una unità SATA di fonte hè mostrata quì sottu.

ISTD230400-UGD-EN-1

Guida d'usu

39

Capitulu 4 Utilizendu TD4

U campu ID Evidenza in a cima di u screnu di i dettagli di l'unità permette una breve descrizzione di l'unità per esse inserita. Stu valore d'Evidence ID hè un modu informale per identificà e unità chì li permette di esse ricunnisciuti più facilmente in tutta l'interfaccia d'utilizatore TD4. Questu ID di Evidenza appariscerà in i schermi di i dettagli di l'unità è e carte di l'unità, chì sò veduti in parechji lochi, cum'è in e sezioni Fonte è Destinazione (s) di u screnu di u statu di u travagliu. L'ID di prova appariscerà ancu in i logs forensici. Se ùn ci hè micca inseritu un ID di Evidenza per un drive determinatu, u drive serà identificatu da u nome di u venditore, u mudellu è u numeru di serie.
Dopu à u campu d'Evidence ID, a sezione superiore di u screnu di i dettagli di l'unità mostra l'infurmazioni chjave nantu à l'unità scelta, cum'è a dimensione, u venditore, u mudellu, a revisione di firmware, i numeri di serie, a dimensione di u settore è i settori dispunibili (rappurtati). Unità USB averà infurmazione supplementaria mostrata, cumpresu un numeru di serie USB specificu.
A sezione Cuntinutu di u screnu di i dettagli di l'unità furnisce infurmazioni nantu à ciò chì hè nantu à l'unità, è permette ancu l'azzioni specifiche di l'unità cum'è Blank Check, Reconfigure (solu destinazioni), Elimina HPA / DCO / AMA (solu surghjenti) è Tableau Encryption. Sbloccare. Per unità cù rilevabile fileSistemi, a parte superiore di a sezione Cuntinutu indica u tipu di tabella di partizioni, u numeru di partizioni è u numeru di filesistemi. Ogni detectable filesistema averà a filecarta di sistema chì mostra più infurmazione nantu à u filesistema. Per navigà a filesistema, tocca u filecarta di sistema. Se una unità hà alcune limitazioni di settore in u locu (HPA/DCO/AMA), a

40

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.6. Viewing fonti è destinazioni
un missaghju d'avvertimentu serà furnitu in a parte superiore di a sezione Cuntinutu. Tali
e limitazioni di u settore sò ancu identificate cù l'icona attaccata à e piastrelle di unità nantu à a pantalla di casa.
A sezione di l'impieghi di a pantalla di Dettagli di l'unità furnisce infurmazioni nantu à i travaglii chì sò stati realizati cù quella unità. U conte di l'impieghi indica u numeru di tutti i travaglii forensici fatti cù quella unità, è include e seguenti operazioni: Duplicazioni, Immagini logiche, Hashes, Verificazioni, Reconfigures, Cuntrolli in biancu, Restaurazione è Eliminazione di Limitazioni di Settore. U cuntu di Acquisizioni Cumpleti indica u numeru di travaglii di tippu d'acquisizione cumplettamente cumpletati, riesciuti, vale à dì Duplicazioni è Immagini Logiche. Se tutti i travaglii per una determinata unità anu u stessu ID Case, quellu ID Case hè indicatu ancu in questa sezione. Se ci sò parechje ID Case assuciate cù una determinata unità, "Multiple" serà mostratu in u campu ID Case. U View U buttone in fondu à a destra di a sezione di l'impieghi mostrarà una lista di Storia di l'impieghi filtrata chì mostra solu i travaglii assuciati cù quella unità specifica.
In u fondu à destra di ogni schermu di Drive Details hè u buttone Eject. Simply tuccà u buttone Eject è rispondi à u prompt à eject un drive da u sistema. L'espulsione di un drive l'elimina da u software di u sistema in modu sicuru è hè cunsigliatu prima di scollegare qualsiasi media attaccatu da un TD4 alimentatu è prima di spegnere TD4 cù unità attaccate. Per l'unità di destinazione è accessori in particulare (perchè sò leghjite / scritte), fallimentu di ejectu un discu prima di a rimuzione da u sistema puderia corrompere l'unità. filesistema, chì puderia risultatu in a perdita di evidenza / dati catturati prima. Nota chì l'espulsione di i media utilizati in un travagliu ùn serà micca permessu finu à chì u travagliu hè cumpletu.
In più di quiesce l'unità per a rimozione di u sistema, pressu u buttone Eject emetterà un cumandamentu di spin down ATA à i drive chì ponu sustene. Spinning down drives di discu duru rotanti hè cunsigliatu per minimizzà a probabilità di danni di platter dopu a rimozione fisica di l'unità da u sistema. Nota chì micca tutti i drive supportanu stu cumandamentu, è alcuni pò piglià più tempu per eject da u sistema per mancanza di supportu di spin down command. Ma questu hè cunsideratu un inconveniente minore paragunatu à u benefiziu di minimizzà a chance di danni à u drive.
Prudenza
Hè assai cunsigliatu per eject tutti i drive da u sistema prima di sguassà fisicamente da TD4. Questu mette l'unità in un statu tranquillu, chì assicurarà a stabilità di u sistema è l'integrità di e dati nantu à e unità.
Per i media attaccati à i porti TD4 PCIe, l'ejection prima di a rimozione hè necessaria. Un'unità PCIe di scambià à caldu senza ejectu pò causà inestabilità di u sistema è cumportamentu / rendiment TD4 imprevisible.
A rimozione forzata di l'energia (tirannu u cordone di alimentazione o tenendu premutu u buttone di putenza) pò causà prublemi cù unità attaccate, cumprese a corruzzione di l'infurmazioni di furmatu. Sè pussibule, hè altamente cunsigliatu per spentà attraversu l'interfaccia d'utilizatore (per via di una pressa rapida di u buttone di alimentazione), chì espellerà automaticamente tutte e unità attaccate prima di chjude l'unità.

ISTD230400-UGD-EN-1

Guida d'usu

41

Capitulu 4 Utilizendu TD4

4.6.1 Cuntrolla in biancu
L'utilità Blank Check verifica una unità per a presenza di dati significati. Per accede à a pantalla di configurazione di u cuntrollu in biancu, tocca a cuntrolla bianca in a sezione Cuntinutu di qualsiasi schermu di dettagli di l'unità.
A tabella seguente furnisce i dettagli di l'opzione di cuntrollu in biancu:

Opzione Fast
casuale
Lineare

Descrizzione
Cuntrolla rapidamente per determinà se l'unità pare esse in biancu per leghje è cuntrollà i settori in u Master Boot Record, u GPT Primariu è u GPT Secundariu.
Esegue a verificazione rapida, poi leghje finu à u 75% di i settori dispunibili in modu aleatoriu per determinà s'ellu sò vuoti. U cuntrollu in biancu si fermerà appena un mudellu di dati micca in biancu hè rilevatu.
Leghjite linearmente finu à u 100% di i settori dispunibili per verificà se l'unità hè in biancu. U cuntrollu in biancu si ferma appena un mudellu di dati micca in biancu hè rilevatu.

Un settore hè cunsideratu biancu s'ellu cuntene solu u stessu mudellu ripetutu di 2 byte. Ogni mudellu chì ùn si ripete hè cunsideratu cum'è micca biancu. Tuttavia, ogni settore individuale pò cuntene mudelli ripetuti diffirenti. Se un settore ùn hè micca viotu, l'unità ùn hè micca cunsiderata bianca, è u cuntrollu in biancu si ferma.

Nota: L'opzioni di verificazione in biancu veloce è aleatoriu ùn facenu micca cuntrolli exhaustivi di tuttu u drive. Hè pussibule chì una unità apparissi in biancu secondu una verificazione veloce o aleatoria, mentre chì sempre almacenà l'infurmazioni forensicamente pertinenti.
4.6.2 Reconfigure
L'utilità Reconfigure permette l'esekzione di azioni specifiche di l'unità, per suprattuttu ligati à a preparazione di una unità di destinazione per esse aduprata per i futuri travaglii di duplicazione è di imaging logicu. A causa di a natura di alterazione di l'accionamentu di l'azzioni dispunibuli in questa utilità, Reconfigure hè dispunibule solu per i drive di destinazione. Per accede à a pantalla di cunfigurazione di l'utilità di ricunfigurazione (mostrata quì sottu), toccu Reconfigure da a sezione Cuntinutu di a pantalla di dettagli di l'unità.

42

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.6. Viewing fonti è destinazioni

A ricunfigurazione permette a realizazione sequenziale di i travaglii dumandati senza bisognu di intervenzione di l'utilizatori. Questu facilita l'esecuzione di passi cumuni di preparazione di media di destinazione in modu automatizatu, senza avè da fà ognunu cum'è un passu separatu. Per esample, una unità di destinazione puderia esse sguassata è poi furmatu in un travagliu scegliendu Wipe and Format, stabilisce l'opzioni per ogni sub-passu, è dopu toccu Start. Nota chì l'ordine listatu di e sub-funzioni opzionali di Reconfigure hè intenzionale è currisponde à l'ordine in quale saranu applicati à l'unità. I dettagli nantu à ogni subfunzione di ricunfigurazione sò furniti in e sottosezzioni sottu.
4.6.2.1 Elimina i limitazioni di u settore
In u passatu, u metudu più cumuni di limità intenzionalmente a capacità riportata di un drive era utilizendu i set di funzioni ATA HPA (zona protetta di l'ospite) è / o DCO (overlay di cunfigurazione di u dispositivu). Partendu cù l'aghjurnamentu di specificazione ACS-3 (ATA / ATAPI Command Set 3), u cuncettu di Indirizzu Massimu Addressable (AMA) hè statu introduttu. L'unità più recenti ponu sustene stu metudu di limità a capacità di unità rapportata. TD4 supporta tutti questi metudi cù a rilevazione, l'identificazione è a notificazione automatizata chì vi farà trattà cun elli senza saldatura è faciule. Da un puntu forensicu di view, hè preziosa per sapè se HPA, DCO, o AMA sò in usu. Cù sta cunniscenza, u praticante forensicu pò piglià una decisione infurmata nantu à l'acquistu di dati in e regioni nascoste di u drive.

ISTD230400-UGD-EN-1

Guida d'usu

43

Capitulu 4 Utilizendu TD4
Nota chì questi metudi (HPA / DCO è AMA) sò mutualmente esclusivi. Un drive chì supporta HPA / DCO ùn sustene micca AMA, è un drive chì supporta AMA ùn sustene micca HPA / DCO. Inoltre, mentri HPA è DCO sò funzioni cunnessi per un determinatu drive, HPA hà un attributu unicu (volatile, o tempurane, rimozione) chì u distingue da DCO è AMA. Per quessa, sta sezione coprerà a rimozione di HPA volatile cum'è un tema separatu prima di indirizzà a rimozione non volatile (permanente) di HPA / DCO o AMA.
TD4 furnisce ancu a capacità di "shelve" un DCO o AMA, chì significa disattivà un DCO o AMA d'unità di fonte per i scopi di duplicazione di evidenza è poi rimette u stessu DCO / AMA dopu chì u travagliu hè finitu. Vede "Duplicazione" à a pagina 58 per più dettagli nantu à a scaffalatura di un DCO.
4.6.2.2 Eliminazione di HPA volatile
HPA pò esse disattivatu senza fà una mudificazione permanente à l'unità. Questu hè cunnisciutu com'è rimozione volatile, o tempurale, di a cunfigurazione HPA. Quandu una unità chì hà avutu u so HPA sguassatu in questu modu hè sguassatu da TD4 (o hè altrimenti alimentata) è poi ricollegata, sempre torna in u so statu originale (cù l'HPA originale cunfigurata è attivata). Siccomu questu hè un cambiamentu di cunfigurazione di l'unità temporale solu (micca un cambiamentu di i dati guardati in u drive), TD4 disattiva automaticamente HPA in ogni unità cunnessa à unu di i so porti fonte. Siccomu i paràmetri DCO è AMA ponu esse disattivati ​​solu nantu à una basa permanente, TD4 ùn li disattiveghja micca automaticamente in unità di fonte cunnessi.
In u casu di una rimozione automatica è volatile di HPA da una unità di fonte cunnessa, l'interfaccia d'utilizatore TD4 rende evidente ciò chì hè accadutu dichjarà quanti settori HPA sò stati esposti, cum'è mostra in a screenshot seguente.

44

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.6. Viewing fonti è destinazioni

In riferimentu à a screenshot di i dettagli di l'unità sopra, u fattu chì l'HPA hè stata eliminata si riflette in dui maneri. Unu, u campu Size di l'unità riflette a piena capacità di l'unità (cù HPA eliminata). È dui, a sezione Cuntinutu mostra quanti settori HPA sò stati esposti in testu rossu. Nota chì questa infurmazione ligata à l'HPA hè ancu catturata in i logs forensici.
TD4 ùn face mai cambiamenti automatichi à qualsiasi cunfigurazione di limitazione di capacità di unità in unità di destinazione. TD4 hè statu cuncepitu per dà à u praticante forensicu un cuntrollu cumpletu nantu à u drive di destinazione. Se sceglite di limità a capacità di l'unità di destinazione utilizendu HPA, DCO o AMA, TD4 ùn annullà micca quella decisione.

ISTD230400-UGD-EN-1

Guida d'usu

45

Capitulu 4 Utilizendu TD4
4.6.2.3 Eliminazione HPA/DCO/AMA non volatile
L'utilità Rimuovere limitazioni di settore disattiva permanentemente e cunfigurazioni HPA, DCO o AMA nantu à l'unità scelta. Questi cambiamenti sò permanenti, ùn ponu esse annullati, è persisteranu annantu à i cicli di putenza.
Per i unità di destinazione, l'utilità Rimuovere Limitazioni di u Settore hè inclusa in a funzione Reconfigure, chì hè dispunibule in a sezione Cuntinutu di a pantalla di dettagli di l'unità. Toccate u tile di l'unità di destinazione desiderata da a pantalla di casa, è dopu tocca u buttone Reconfigure nantu à a pantalla di dettagli di l'unità. In a pantalla di Reconfigure Setup, selezziunate Elimina Limitazioni di Settore, è dopu appughjà u buttone Start. Ogni limitazione di u settore identificatu (HPA/DCO o AMA) serà eliminata da u drive di destinazione.
Per l'unità di fonte, l'utilità Rimuovere Limitazioni di u Settore hè dispunibule direttamente in a sezione Cuntinutu di a pantalla di dettagli di l'unità. Questu hè perchè ùn ci hè micca una utilità di ricunfigurazione per l'unità di fonte, postu chì a maiò parte di l'opzioni di ricunfigurazione sò specificamente destinate à unità di destinazione.
Nota chì per HPA / DCO, ùn pudete micca sguassà una regione protetta da DCO in un drive senza ancu eliminà alcuna regione prutetta da HPA, cum'è definitu da a specificazione ATA.
Se un drive hà un HPA / DCO o AMA cunfiguratu, un missaghju d'avvertimentu rossu hè visualizatu in a sezione Contenutu di a pantalla di dettagli di l'unità chì indica u numeru di settori chì sò oculati da HPA / DCO / AMA. L'icona hè ancu mostrata nantu à a riva di u tile di l'unità nantu à a pantalla di casa è vicinu à a cima di u screnu di i dettagli di l'unità per furnisce l'identificazione in un sguardu di a presenza di una cunfigurazione limitante di settore. A screenshot sottu mostra a schermu di i dettagli di l'unità per una unità cù una regione DCOprotected.

46

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.6. Viewing fonti è destinazioni

L'unità IDE cù un DCO necessitanu considerazioni speciali cù TD4. I cambiamenti di l'impostazione DCO necessitanu di ciclà l'energia di l'unità chì, per unità SATA cunnessi direttamente, hè fatta automaticamente da TD4. In ogni casu, postu chì a putenza di l'unità IDE pò esse furnita in parechje manere, TD4 ùn pò micca ciclu deterministicamente u putere di un drive IDE.
Per disattivà un DCO in una unità IDE, assicuratevi chì l'unità IDE (via TDA7-5) hè l'unica unità di fonte cunnessa è dopu compie i seguenti passi:
1. Tap Remove Sector Limitations da u screnu di i dettagli di l'unità surghjente è cunfirmà chì a rimozione DCO hè desiderata per inizià u compitu.
2. Tap Eject à u fondu-destra di u schermu di dittagli unità.
3. Eliminate u putere da u discu IDE.
4. Elimina TDA7-5 da TD4.
5. Re-connect TDA7-5 (cù IDE drive cunnessu) à TD4.
6. Re-connect power à u drive IDE.
Nota: In particulare per i drive IDE cunnessi via TDA7-5, u log forensic per un travagliu di rimozione DCO / AMA informarà a fine di l'operazione di rimozione DCO immediatamente dopu chì u cumandamentu hè statu emessu à l'unità. TD4

ISTD230400-UGD-EN-1

Guida d'usu

47

Capitulu 4 Utilizendu TD4

ùn hà micca manera di sapè se u cumandamentu hè veramente cumpletu à u livellu di u drive. U statu DCO deve esse verificatu manualmente dopu chì u reboot hè cumpletu è prima chì i travaglii successivi sò iniziati.
4.6.2.4 Wiping destinazione o unità accessori
L'utilità Media Wipe furnisce sei tipi di wipe per unità di destinazione è accessori. A tavula sottu furnisce infurmazioni detallate nantu à ogni tipu di wipe supportatu.
Nota: Se una cunfigurazione HPA / DCO / AMA hè presente nantu à una unità chì avete intenzione di pulizziari è vulete sguassate tutta l'unità (micca solu a parte esposta), selezziunate a funzione Rimuovere Limitazioni di Settore in a pantalla di cunfigurazione Reconfigure cù u Pulisce a funzione prima di inizià u travagliu di ricunfigurazione.
Prudenza
L'asciugatura di l'unità risulta in una scrittura sustinuta di i media, chì ponu creà cundizioni di operazione termica anormalmente elevata in l'unità. OpenText consiglia vivamente di usà un fan o un cooler di unità esterna quandu si sguassate i media nantu à TD4 per aiutà à prevene i danni termichi à i drive.

Opzione Overwrite

Descrizzione
Passu Singulu: TD4 scriverà un mudellu custanti (tutti i zeri) à u drive in un passaghju unicu. A verificazione hè facultativa.
Passu Multiple: TD4 esegue trè passaggi di scrittura cumpleti à a destinazione o l'unità accessoria. U primu passatu scrive zeri (0x0000) è u sicondu passatu scrive quelli (0xFFFF), è u terzu passatu scrive un valore constantemente sceltu aleatoriu trà 0x0001 è 0xFFFE. A verificazione hè facultativa. S'ellu hè attivatu, pò esse cunfiguratu per verificà dopu à ogni passu di pulizziari o dopu solu l'ultimu passatu.

48

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.6. Viewing fonti è destinazioni

Option Secure Erase (solu SSD)
Sanitize - Block Erase (solu SSD)
Sanitize Overwrite

Descrizzione
U cumandamentu ATA Secure Erase urdineghja à l'unità per resettate tutti i blocchi dispunibili à u statu di sguassà. Cumu u statu di sguassà hè implementatu nantu à l'unità ùn hè micca mandatu da a specificazione ATA, chì significa chì u statu di dati finali nantu à l'unità hè dipendente da u fabricatore (è micca necessariamente tutti i zeri). Per i drive chì ùn supportanu Secure Erase, TD4 indicà sta limitazione durante a selezzione di u tipu di pulitura.
A causa di a natura indeterminata di u statu di dati post-cancellazione, TD4 ùn offre micca verificazione per i panni Secure Erase.
A causa di prublemi cunnisciuti cù un supportu Secure Erase inconsistente è inaffidabile in unità rotanti (HDD), TD4 supporta solu sta funzione in SSD.
Nota chì Secure Erase sguasserà tuttu u spaziu di l'unità accessibile, ma ùn hà micca necessariamente sguassatu u spaziu sopraprovisionatu o un altru spaziu riservatu da u controller internu di l'unità.
TD4 forzarà a rimuzione di qualsiasi cunfigurazione HPA / DCO / AMA rilevata prima di inizià una cancellazione Secure Erase.
I cumandamenti ATA è SCSI Sanitize Block Erase indicanu à l'unità per sguassà tutti i blocchi di memoria flash. Questu hè tipicamenti fattu elettricamente, micca per scrive di dati à u drive. Mentre chì u statu di dati post-pulizia ùn hè micca mandatu da e specificazioni ATA / SCSI, Sanitize Block Erase tipicamente lascia una unità in un statu sbulicatu (tutti i zeri), chì permette a verificazione post-wipe. Per i drive chì ùn supportanu micca Sanitize Block Erase, TD4 indicà sta limitazione durante a selezzione di u tipu di pulisce.
Nota chì Sanitize Block Erase sguasserà tuttu u spaziu di l'unità accessibile da l'utilizatori, è ancu u spaziu sopra-provisionatu è qualsiasi altru spaziu riservatu da u controller internu di l'unità.
TD4 forzarà a rimuzione di qualsiasi cunfigurazione HPA / DCO / AMA rilevata prima di inizià una pulizia di cancellazione di blocchi Sanitize.
U cumandamentu ATA è SCSI Sanitize Overwrite urdineghja à l'unità per sovrascrive tutti i dati di l'unità in u almacenamentu è in a cache ondrive cù zeri. Questa funzione hè tipicamente implementata in HDD, ma hè dispunibule nantu à certi SSD. Per i drive chì ùn supportanu Sanitize Overwrite, TD4 indicà sta limitazione durante a selezzione di u tipu di pulitura.
Innota chì, per i SSD chì supportanu Sanitize Overwrite, in più di tuttu u spaziu di u drive accessibile da l'utilizatori, u spaziu over-provisioned è l'altru spaziu riservatu da u controller internu di l'unità seranu ancu sguassati.
TD4 forzarà a rimuzione di qualsiasi cunfigurazione HPA / DCO / AMA rilevata prima di inizià una pulizia di Sovrascrittura Sanitize.

ISTD230400-UGD-EN-1

Guida d'usu

49

Capitulu 4 Utilizendu TD4

Opzione NIST 800-88 R1 Clear
NIST 800-88 R1 Purge

Descrizzione
Una cancellazione NIST Clear farà una cancellazione di sovrascrittura cù verificazione post-cancellazione. Per l'unità USB, eseguirà trè passaghji, è per tutti l'altri unità farà un passu.
TD4 forzerà a rimuzione di qualsiasi cunfigurazione HPA / DCO / AMA rilevata prima di inizià una pulizia NIST 800-88 R1 Clear.
Per più dettagli in quantu à NIST 800-88 R1 Clear, riferite à SP 800-88 r1: Linee guida per a sanitizazione di media chì hè dispunibule nantu à NIST. web situ.
Una pulitura NIST Purge hè pussibule solu se l'unità supporta certi cumandamenti di pulizziari. Per i SSD chì supportanu Sanitize Block Erase, stu metudu serà utilizatu cù verificazione post-wipe. Altrimenti, se un drive supporta Sanitize Overwrite (HDD o SSD), allora stu metudu serà utilizatu cù verificazione post-wipe. Unità chì ùn supportanu alcunu di questi cumandamenti ùn ponu esse NIST 800-88 R1 Purged, è u TD4 indicà sta limitazione durante a selezzione di u tipu di pulitura.
TD4 forzerà a rimuzione di qualsiasi cunfigurazione HPA / DCO / AMA rilevata prima di inizià una pulizia NIST 800-88 R1 Purge.
Per più dettagli riguardanti NIST 800-88 R1 Purge, riferite à SP 800-88 r1: Guidelines for Media Sanitization chì hè dispunibule nantu à NIST. web situ.

Nota: Secure Erase and Sanitize wipes anu sfumature notevuli, cum'è seguente:
· E differenze esatti trà Secure Erase è Sanitize ponu esse sottili, secondu l'implementazione di u fabricatore di unità. Ma, in termini ginirali, Secure Erase hè adattatu per l'ambienti chì ùn sò micca preoccupati di sguassà ogni evidenza di dati previ in ​​i chips di memoria fisica. Secure Erase garantirà chì una lettura tipica di u sistema di l'ospite restituverà solu dati cancellati, ma qualchissia cù capacità avanzate per fà l'analisi di a struttura di memoria di chip-off puderia teoricamente discernisce stati di bit di dati precedenti. Sanitize hè destinatu à copre situazioni chì esigenu una rimozione di dati più sicura induve e tecniche avanzate di ricuperazione di dati sò di preoccupazione, cù l'inconveniente di piglià assai più tempu per compie.
· Secure Erase and Sanitize cumandamenti di cumanda ùn guarantisci micca u statu finali di i dati nantu à i dischi sguassati, chì ponu risultatu in fallimenti di u travagliu chì sò fora di u cuntrollu di TD4. Da a prova empirica OpenText nantu à un grande sampA dimensione di unità di diversi fabricatori, Secure Erase sguasserà in modu affidabile e unità in un periudu di tempu assai brevi, ma cù una probabilità più alta di un statu di dati non deterministicu quandu hè cumpletu, chì rende impossibile una verificazione affidabile. Sanitize hà dimustratu chì hè più affidabile in sguassate tutte e dati à zeri, chì permette a verificazione post-wipe. Se avete fallimenti di verificazione di a pulizia di Sanitize, cuntattate OpenText My Support à https://support.opentext.com per annunzià a marca è u mudellu specificu di l'unità, è a squadra di Tableau investigarà.

50

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.6. Viewing fonti è destinazioni
4.6.2.5 Cifrate di destinazione è unità accessori
TD4 pò criptà e unità di destinazione è accessori utilizendu a crittografia di discu interu XTS-AES basatu in password. Questa crittografia basata in Tableau hè compatibile cù u Duplicatore Forense di Tableau TD2u, l'Image Forense di Tableau TX1 è l'utilità VeraCrypt open source. A criptografia pò esse stallata solu nantu à e unità di destinazione è accessori, postu chì esige una mudificazione di scrittura à l'unità.
Prudenza
U prucessu di criptografia sovrascrive l'unità di destinazione / accessori, cusì ricordate di criptà l'unità di destinazione prima di usà in un travagliu di acquisizione TD4.
Per criptà una unità attaccata à una destinazione TD4 o un portu d'accessori, selezziunate Cifra da a lista di opzioni di ricunfigurazione. Inserite a password di criptografia desiderata è dopu tocca u buttone Start.
Nota: TD4 supporta l'auto-capitalizazione per i campi di ingressu di testu. Questu significa chì u primu caratteru in una entrata serà capitalizatu, è l'entrata di caratteri sussegwente seranu automaticamente cambiate in minuscule. L'eccezzioni sò i campi di ingressu di password. L'auto-capitalizazione hè disattivata per i campi di ingressu di password per evità cunfusione è prevene entrate di password incorrecte. Hè ricumandemu di verificà duie volte e voci di password da viewmetteli in testu chjaru (usendu l'icona di l'ochju à a fine di u campu di ingressu) prima di sottumissione.
Una destinazione criptata da Tableau o un'unità accessoria pò esse sbloccata cù a password per permette a navigazione o l'imaghjini / restaurazione à u cuntainer criptatu.
Una unità di fonte criptata da Tableau pò esse sbloccata cù a password per permette a navigazione o l'imaghjini / restaurazione di u cuntenutu micca criptatu di l'unità à un drive di destinazione.
OpenText ùn hè micca capaci di ricuperà e password perse per i media criptati TD4, cusì pigliate i passi appropritati per assicurà chì ùn perde mai a vostra password.
Per sguassà l'encryption da un drive, cunnette l'unità à una destinazione TD4 o portu d'accessori è dopu, senza sbloccare l'encryption, sguassate l'unità.
Nota: Se un discu di criptu di Tableau hè sbloccatu prima di pulizziari, a criptografia resta intacta è solu u cuntenutu di u cuntainer di crittografia sbloccatu serà sguassatu. Se sguassate u statu criptatu hè desideratu, a criptografia di l'unità deve esse chjusa prima di inizià una pulitura.

ISTD230400-UGD-EN-1

Guida d'usu

51

Capitulu 4 Utilizendu TD4

4.6.2.6 Formate di destinazione è unità accessori
Per fà una duplicazione di l'imaghjini o salvà logs in un discu, deve furmà a destinazione o l'unità accessori cù a filesistema chì hè ricunnisciutu da TD4. TD4 supporta u furmatu di destinazione è unità accessori in i seguenti fileformati di sistema: exFAT, NTSF, FAT, HFS+, o EXT4.
Nota: TD4 ùn pò micca formattà una unità cù un APFS nè scrive à una unità cù un APFS preesistente. Muntarà volumi furmati APFS in sola lettura in tutti i porti TD4 (fonte, destinazione è accessori). Tali filei sistemi ùn sò micca utilizzabili per qualsiasi attività chì necessitanu scrittura, ancu nantu à i porti di destinazione è accessori.
exFAT hè cunsigliatu per a megliu cumpatibilità quandu accede à unità cù tutti i sistemi operativi muderni. EXT4 hè cunsigliatu per l'usu cù l'arnesi forensici Linux. HFS+ hè cunsigliatu per l'usu cù l'arnesi forensici MacOS.
Nota: Quandu FAT hè sceltu cum'è u filetipu di sistema per un formatu di unità di destinazione, TD4 formaterà l'unità cum'è FAT32. Tuttavia, i logs di u travagliu (cumpresu u logu di furmatu) è tutti l'elementi di l'interfaccia d'utilizatore simpricimenti mostraranu questu cum'è FAT. Hè perchè TD4 supporta a lettura di tutti i formati FAT (12, 16 è 32) è simpricimenti identificà tutti cum'è FAT hè cunsideratu accettabile è precisu per filescopi di identificazione di u sistema.
Per furmà una unità di destinazione o accessoria, aghjunghje l'unità à u portu TD4 desideratu è dopu toccu nantu à a tessera di unità assuciata nantu à a pantalla di casa TD4. Tap the Reconfigure button in the Contents section of the drive details screen and then select the Format option. Sceglite u desideratu filetipu di sistema è poi tuccà u buttone Start.
Nota: OpenText ricumanda fermamente di ùn aduprà FAT cum'è destinazione o unità accessoria filesistema. In TD4, FAT filei sistemi sò limitati à una pruduzzioni massima file dimensione di 2GB è leghje da o scrive à elli hè cunnisciutu per esse più lento chè l'altri filetipi di sistema. Inoltre, FAT ùn sustene micca unità di più di 2TB.
4.6.3 Cifratura opale
A criptografia opale hè un metudu di criptografia basatu in hardware chì hè gestitu da u controller in u drive cù solu interazzione minima di u sistema host. Opal hè un standard di l'industria creatu da u cunsorziu Trusted Computing Group (TCG) chì definisce, frà altre cose, u protokollu di l'interfaccia per questi tipi di unità criptate hardware. Quessi sò cumunimenti chjamati unità auto-cifranti (SED) postu chì u sistema di l'ospiti ùn faci pocu più di furnisce una interfaccia di front-end per gestisce a criptografia. U sistema di cuntrollu di l'unità hè rispunsevule per criptà / decifrare tutte e dati almacenati in u discu è cuntrullà l'accessu à questu.
TD4 pò detectà i SED Opal chì anu avutu a so criptografia attivata è avvisarà di a presenza di criptografia Opal in parechji posti in l'interfaccia d'utilizatore è i logs forensici. Un drive Opal chjusu rilevatu averà una icona di serratura rossa (cù a serratura chjusa) attivata

52

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.6. Viewing fonti è destinazioni
u latu di u so tile di unità di u screnu in casa. Un tali unità includerà ancu un missaghju d'avvertimentu vicinu à a cima di a pantalla di dettagli di l'unità chì indica chì l'unità hè una unità Opal chjusa è chì ùn pò micca esse leghje, cum'è mostra in a screenshot sottu.

Nota chì e unità Opal chì ùn anu micca avutu a so criptografia attivata si cumportanu cum'è unità regulare, micca criptate.
Una considerazione supplementaria per i drive Opal hè una cunfigurazione unica chì espone un MBR ombra. Questa ombra MBR pò esse attivata da i sviluppatori di unità / sistema per espose una piccula parte di l'unità cum'è un containeru non criptatu, chì annulla l'infurmazioni principali di l'unità presentata à l'ospite. Un casu d'usu tipicu per sta cunfigurazione hè di permette à i pruduttori di l'informatica di dumandà credenziali da un utilizatore prima di revelà a parte principale di l'unità. Indipendentemente da u casu d'usu, hè impurtante per esse capace di identificà situazioni induve solu l'ombra MBR hè revelatu, per fà chjaru chì u cuntenutu sanu di u drive ùn hè micca vistu. TD4 detecterà quandu un Opal shadow MBR hè attivatu, è informa chjaramente di a so presenza. L'icona di serratura mostrarà in u tile di u drive affettatu nantu à a pantalla di casa, è a presenza di un Opal MBR serà esplicitamente chjamata in a pantalla di dettagli di l'unità. Attualmente, a gestione di a crittografia Opal ùn hè micca supportata da TD4 (cumprese u sbloccare di a crittografia Opal è a disattivazione di l'ombra Opal MBR). Per piacè cuntattate l'Assistenza Clienti OpenText per l'opzioni di acquisizione per tali unità.

ISTD230400-UGD-EN-1

Guida d'usu

53

Capitulu 4 Utilizendu TD4
Prudenza
I dispositi di docking station chì anu unità Opal in elli devenu supportà u pass-through di cumandamentu ATA per TD4 per detectà bè a presenza di criptografia Opal. Stazioni di docking chì ùn supportanu micca u pass-through di cumandamentu ATA ponu presentà i media Opal chjusi cum'è tutti i zeri senza indicazione di a criptografia Opal presente in l'interfaccia d'utilizatore TD4. Aduprate prudenza quandu acquistate qualsiasi media via una stazione di docking. Se suspettate chì una unità in una stazione di docking hè criptata Opal, ma ùn hè micca presentata cusì in l'interfaccia d'utilizatore TD4, sguassate l'unità da u recintu è cunnette direttamente à TD4 pò dà u risultatu desideratu.
4.6.4 APFS è criptografia BitLocker
TD4 pò detect a prisenza di filesistemi criptati cù APFS di Apple è BitLocker di Microsoft. Questi metudi di criptografia si applicanu solu à filesistemi, chì hè distintu da i metudi di criptografia di discu sanu (o sanu) chì sò applicati à u livellu di l'unità, indipendentemente da u furmatu. In u risultatu, l'indicazione di a prisenza di l'APFS è a criptografia BitLocker in TD4 hè fatta diversamente da l'altri tipi di criptografia di discu sanu detectable (Tableau è Opal).
TD4 mostrarà a presenza di APFS è criptografia BitLocker in u filetile di u sistema mostratu nantu à u screnu di i dettagli di l'unità, cum'è mostra in i screenshots sottu.
Nota: A cuntrariu di l'altri metudi di criptografia di discu sanu (Tableau è Opal), unità cù APFS è BitLocker criptati fileI sistemi ponu esse acquistati fisicamente (travagliu di duplicazione) in u so statu chjusu, è dopu sbloccati durante i passi successivi di u flussu di travagliu investigativu utilizendu strumenti cum'è OpenText EnCase Forensic.

54

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.6. Viewing fonti è destinazioni

ISTD230400-UGD-EN-1

Guida d'usu

55

Capitulu 4 Utilizendu TD4

Nota: A cuntrariu di l'altri metudi di criptografia di discu sanu (Tableau è Opal), unità cù APFS è BitLocker criptati fileI sistemi ponu esse acquistati fisicamente (travagliu di duplicazione) in u so statu chjusu è dopu sbloccati durante i passi successivi di u flussu di travagliu investigativu utilizendu strumenti cum'è EnCase Forensic di OpenText.
4.7 Navigazione
A funzione di ricerca furnisce un modu faciule view u cuntenutu di un muntatu filesistema. Per navigà a filesistema, toccu u tile di unità desiderata da u screnu in casa. A schermu di dettagli di l'unità per u drive sceltu serà visualizata. Per unità cù almenu una muntata filesistema, a sezione Cuntinutu di u screnu di i dettagli di l'unità mostrarà infurmazione generale nantu à a partizione (s) /filesistema (s), è a fileA carta di sistema serà visualizata chì mostra l'infurmazioni chjave per ognunu filesistema. Per navigà un datu filesistema, simpricimenti tocca u filecarta di sistema da a sezione Cuntinutu di a pantalla di dettagli di l'unità, chì mostrarà un modale di navigazione. A sampu modale di navigazione hè mostratu quì sottu.

56

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.7. Navigazione

A parte superiore di a finestra di navigazione vi mostra fileinfurmazione di sistema, seguita da u currenti file caminu. U locu di partenza hè sempre a radica di u filesistema, cum'è indicatu da a barra (/) ghjustu sopra à u filesezione di cuntenutu di u sistema. Questa infurmazione di u percorsu serà aghjurnata cum'è i cartulare sò navigati per indicà sempre a strada attuale.
In a parte di u navigatore di u screnu, pudete scroll up and down to view a lista di cartulari è files. Scrolling right/left hè ancu attivatu se filei nomi sò longu è andate fora di u screnu. A dimensione di ognunu file hè mostratu in parentesi à a fine di u filenomu.
Per apre i cartulari individuali, toccate duie volte u nome di u repertoriu o un toccu u repertoriu per selezziunà, è dopu toccu l'icona di u cartulare apertu. Toccate l'icona di u cartulare up
per esce da un annuariu.
Per unità di destinazione è accessori, ponu esse creati novi cartulari è cartulari / files pò esse sguassati. Per creà un novu repertoriu, simpricimenti toccu l'icona di creazione di u cartulare è inserite u novu nome di u cartulare. Per sguassà un annuariu o file, tocca unicu u cartulare o file per selezziunà, è dopu toccu l'icona di sguassà .

ISTD230400-UGD-EN-1

Guida d'usu

57

Capitulu 4 Utilizendu TD4
4.8 infurmazione di casu
L'infurmazione di casu hè una parte chjave di ogni investigazione digitale. Quandu hè inseritu in TD4, l'infurmazioni di u casu seranu affissate in i lochi chjave in tutta l'interfaccia d'utilizatore durante l'esekzione di u travagliu è catturate in logs forensici. Questu permette una correlazione faciule di artefatti di acquisizione chjave cù casi specifichi in tutta una investigazione.
Per inserisce l'infurmazioni di u casu, espansione u tile di funzione Case Info da a pantalla di casa. Toccate ognunu di i campi per inserisce u testu desideratu. Nota chì i campi di ingressu di testu in TD4 sò in diretta. Chistu significa chì ciò chì scrivite serà automaticamente salvatu quandu andate fora di u campu di ingressu di testu, senza bisognu di salvà esplicitamente a nova entrata.
L'infurmazione di casu seguente pò esse inserita in TD4: Nome di l'esaminatore, ID di casu, è Note di casu.
À u fondu di u tile di funzione Case Info hè una casella di selezzione chì guidà un promptatu per inserisce Note di travagliu à l'iniziu di ogni travagliu. Quandu sta casella hè marcata, una schermu di paràmetri avanzati appariscerà prima di l'iniziu di ogni travagliu chì permette di inserisce Note di travagliu. Questu permette infurmazione specifica nantu à un pezzu particulari di evidenza digitale per esse inserita è catturata in u log forensic per ogni travagliu.
4.9 Duplicazione
TD4 duplicà una unità di fonte à finu à cinque unità di destinazione. Una sola fonte pò esse cunnessa à un tempu è cusì solu un travagliu forensicu pò esse eseguitu à tempu. Per un travagliu determinatu, i destinazioni ponu esse una mistura di copie clonate è imagine.
Nota: Questa sezione hè focu annantu à l'operazione di duplicazione di u discu sanu, cunnisciuta ancu com'è imaging fisicu. Vede "Imagine logica" à a pagina 68 per i dettagli nantu à stu metudu di acquisizione alternativu.
Prima di inizià ogni travagliu forensicu, TD4 verifica automaticamente e precondizioni. Queste precondizioni sò ligati à paràmetri di cunfigurazione di u travagliu specifichi chì puderanu impactà a capacità di TD4 per eseguisce u travagliu desideratu. Alcune precondizioni producenu avvisi chì appariscenu in a tile di funzione ampliata nantu à a pantalla di casa. Certi di quelli avvirtimenti necessitanu cambiamenti prima di pudè inizià u travagliu, mentri àutri sò informativi è ùn impediscenu micca u travagliu di principià. Per qualsiasi cuntrolli di precondizione chì ponu esse bisognu di cambiamenti, una schermu di paràmetri avanzati appariscerà dopu à appughjà u buttone Start per permette à i paràmetri adatti per esse aghjustati prima di inizià u travagliu.

58

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.9. Duplicazione

4.9.1 Cloning
Un clone, cunnisciutu ancu com'è duplicazione di discu à discu, face una copia esatta di l'unità fonte à l'unità di destinazione.
TD4 selezziunà automaticamente u clone per qualsiasi destinazione chì ùn anu micca detectable filesistemi. Se tali destinazioni sò cunnessi, un missaghju informativu apparirà in u tile di funzione Duplicate espansu nantu à a pantalla di casa per indicà chì quelli unità seranu cloni.
Nota: L'icona indica micca detectable filesistemi è serà mostratu accantu à u missaghju informativu clone in u tile di funzione Duplicate espansu è à u latu manca di qualsiasi tile di unità di destinazione applicabile. Quelli tipi di unità di destinazione diventeranu sempre un clone di l'unità fonte.
Hè megliu praticà per sguassate i media di destinazione prima di duplicà à questu, perchè questu pò aiutà à identificà i media potenzialmente difetti è i settori cattivi, è pò riduce u risicu di cuntaminazione incruciata di una duplicazione di clone cù dati stale.
Innota chì, à l'iniziu di clone è restaurà i travaglii, TD4 prepara l'unità di destinazione sguassendu i settori 0, 1, è a fine di l'unità minus 1. Questu assicura chì ùn ci hè micca dati di tabella di partition stale nantu à u discu, chì riduce a pussibilità. di prublemi di rilevazione di unità à a fine di u travagliu.
Nota: Perchè l'infurmazioni di a tabella di partizioni sò relative à a dimensione di u settore di l'unità di fonte, a clonazione à una unità di destinazione cù una dimensione di settore sfarente ùn hè micca permessa. TD4 detecterà stu prublema di discrepanza di dimensione di settore è avviserà l'utilizatore. Sta cundizione deve esse rettificata prima chì u travagliu di clone pò esse iniziatu.
4.9.2 Imaging
Una maghjina, cunnisciuta ancu com'è discu-à-file duplicazione, copia l'unità fonte à una serie di files (qualchì volta chjamati segmenti) in u drive di destinazione. TD4 supporta EnCase file formati Ex01 è E01 è crudu file formati dd è dmg. Per i tipi di output Ex01 è E01, a compressione hè supportata è attivata per automaticamente.
Per l'imaghjini file outputs, a dimensione massima di u segmentu pò esse stabilitu in i paràmetri di u sistema à qualsiasi di e seguenti: 2 GB, 4 GB, 8 GB, o Unlimited. I segmenti più chjuchi creanu più segmentu files è Unlimited crea una grande file segmentu.
Nota: micca tutte l'imagine file opzioni di taglia sò dispunibuli in tutte e situazioni. À causa di filelimitazioni di indirizzamentu di u sistema, e destinazioni furmatu FAT32 anu un massimu file dimensione di 2 GB.
Se l'unità di destinazione hè più chjuca di a fonte, una maghjina dd o dmg ùn si mette micca in u drive di destinazione. In ogni casu, s'ellu si usa Ex01 o E01, l'unità di fonte pò esse adattatu in un discu più chjucu perchè questi formati ponu cumpressà e dati prima di scrive à u drive di destinazione. Ùn ci hè micca guarantisci chì e dati seranu abbastanza cumpressi per adattà à una unità di destinazione più chjuca, soprattuttu in i casi induve a dati hè soprattuttu incompressible cum'è dati criptati.

ISTD230400-UGD-EN-1

Guida d'usu

59

Capitulu 4 Utilizendu TD4
Nota: Attentu quandu pruvate d'imaghjini una unità di fonte à una stessa dimensione o unità di destinazione più chjuca, ancu s'è a compressione hè attivata. Image file U furmatu aghjusta l'overhead è, quandu accumpagnatu cù dati incompressible (cum'è dati criptati), un drive di destinazione più grande pò esse necessariu.
Se u dispunibule fileU spaziu di u sistema nantu à una unità di destinazione hè a stessa dimensione o più chjuca di l'unità di fonte per un travagliu d'imaghjini (formatu Ex01 o E01), è a compressione hè disattivata, TD4 impedirà u travagliu da esse iniziatu. Attivate a compressione è / o utilizate una destinazione cù più dispunibili fileu spaziu di u sistema per pudè inizià un tali travagliu.
4.9.3 Realizà una duplicazione
Per fà una duplicazione:
1. Segui i passi elencati in "Collegamentu di unità" à a pagina 27 per cunnette l'unità di origine è l'unità di destinazione.
2. Assicurà chì tutte e unità di destinazione sò furmati secondu u tipu di pruduzzioni di travagliu di duplicazione desiderate per ogni unità. Destinazioni chì anu filei sistemi riceveranu automaticamente una maghjina file tipu output secondu u "Duplicate" File Type setting system (Ex01, E01, DD, o DMG). Destinazioni chì ùn anu micca detectable filei sistemi riceveranu automaticamente un clone di l'unità fonte.
Nota: Quandu no fileI sistemi sò rilevati nantu à una unità di destinazione, quella unità riceverà automaticamente un clone di l'unità fonte. In questu casu, un missaghju appariscerà in u tile di funzione Duplicate prima di l'iniziu di u travagliu è una piccula icona appariscerà quì è nantu à u tile di unità di u screnu in casa per indicà chì l'unità serà un clone. Ddu icona serà ancu presente nantu à u tile di u drive di destinazione in u screnu di u statu di u travagliu.
3. Espandi u tile funzione Duplicate nant'à u screnu in casa. Un riassuntu di i paràmetri principali di u travagliu serà mostratu cù qualsiasi messagi d'avvertimentu pertinenti, cum'è pò esse vistu in a screenshot sottu. Verificate i paràmetri, risolve qualsiasi avvisi di bloccu, è dopu toccu u buttone Start. Se nimu di i paràmetri sò stallati per invià è ùn ci sò micca altri prublemi di cunfigurazione di u travagliu chì deve esse risolti, u travagliu principiarà, è a pantalla di u statu di u travagliu serà visualizata.

60

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.9. Duplicazione

Se qualcunu di i paràmetri di u travagliu hè stallatu à Prompt, a pantalla di paràmetri avanzati appariscerà chì permetterà a selezzione di e paràmetri specifichi desiderati per u travagliu imminente. L'opzione Prompt hè dispunibule per i seguenti paràmetri di u sistema: Hash, "Duplicate" File Type, Verification Readback, è Trim Clones.
Se ci sò prublemi cù a configurazione / cunfigurazione di u travagliu chì TD4 cunsidereghja esse bluccatu o di significatu forensicu, a pantalla di paràmetri avanzati apparirà è furnisce infurmazioni nantu à u prublema è a capacità di rectificà, se pussibule. Un exampLe di un prublema di cunfigurazione di bloccu hè se un hash SHA-256 hè sceltu cù E01 file tipu output. E01 ùn sustene micca SHA-256 hash.
A screenshot quì sottu hè un example di u screnu di paràmetri avanzati per un travagliu Duplicatu cù un paràmetru Prompt (Verifica di lettura) è un prublema di significatu forensicu (DCO presente nantu à a fonte).

ISTD230400-UGD-EN-1

Guida d'usu

61

Capitulu 4 Utilizendu TD4

Una volta chì tutti i paràmetri avanzati di u screnu sò stati risolti / verificati, toccu u buttone Start per inizià u travagliu di duplicazione.
4. Dopu à un travagliu Duplication hè cuminciatu, un schermu statutu di u travagliu cumpariscerà, cum'è mostra sottu.

62

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.9. Duplicazione

Pudete annullà un travagliu attivu toccu Cancella in l'angulu in fondu à destra di a pantalla di statutu di u travagliu. Pudete ancu esportà u logu di u travagliu da questa schermu (ancu per i travaglii in progressu, se vulete) toccu u buttone Esporta in u cantonu in fondu à manca è dopu selezziunate a destinazione desiderata o l'unità accessoria /.filesistema.
L'unità di fonte è di destinazione utilizati in un travagliu sò mostrati vicinu à u fondu di u screnu di u statu di u travagliu. Queste carte di unità furnisce l'infurmazioni basi di l'unità, cum'è u nome di u portu cunnessu, a dimensione generale di l'unità, è l'ID di prova (se inseritu) o a marca / mudellu / numeru di serie di l'unità.
Nota: E carte di unità in u screnu di u statu di u travagliu ponu esse tappate per vede infurmazione dettagliata di u drive. Tuttavia, quandu i dettagli di u drive sò viewed da sta zona, l 'infurmazione hè cunsideratu storicu cum'è di u principiu di u travagliu, cum'è indicatu da data è infurmazione tempu in u angulu cima-destra di u screnu di dittagli drive. Questu significa chì i cambiamenti à l'infurmazioni di guida durante u travagliu (cum'è u spaziu liberu ridottu nantu à l'unità di destinazione) ùn saranu micca riflessi è a navigazione di qualsiasi muntatu. filei sistemi sò disattivati. Per vede una versione live di i dettagli di u drive è per pudè navigà muntatu filesistemi (ancu durante un travagliu attivu), utilizate i tile di unità nantu à a pantalla di casa per accede à i schermi di dettagli di u drive.

ISTD230400-UGD-EN-1

Guida d'usu

63

Capitulu 4 Utilizendu TD4

L'icone appariscenu nantu à e carte di unità di u schermu di u statu di u travagliu per furnisce l'indicazione in un sguardu di cose cum'è micca detectable filesistema presente, HPA/DCO/AMA in u locu, o a prisenza di a crittografia Tableau (bloccata o sbloccata).
Nota: Un modu faciule per sapè quale unità di destinazione ricevenu quale tipu di output di travagliu di duplicazione (clone o imagine) hè di circà u "no". filel'icona di u sistema in l'area superiore destra di e carte di unità di destinazione nantu à a pantalla di statutu di u travagliu. Videndu chì l'icona significa chì l'unità serà fatta un clone di l'unità fonte.
4.9.4 Filehè creatu durante u discu àfile duplicazione
Quandu eseguisce un travagliu di duplicazione basatu in l'imaghjini, TD4 crea files (qualchì volta chjamati segmenti) nantu à u drive di destinazione chì cuntenenu i dati copiati da u drive.
I segmenti sò scritti à l'unità di destinazione secondu a cunvenzione seguente (Ex01 output mostratu cum'è example):
[nome_directory]/
[filenome].Ex01
[filenome].Ex02
.
.
.
[filenome].Ex99
[filenome].log.html
[filename].td4_packed_log
[nome_directory] hè definitu in l'Evidenza File Path Directory setting. U valore predeterminatu hè /td4_images/%d_%t/, induve %d hè a data attuale è %t hè l'ora attuale à l'iniziu di u travagliu di duplicazione.
[filenome] hè definitu in l'Evidenza File Strada Fileimpostazione di u nome. U valore predeterminatu hè l'imagine.
[filename].Ex01 (o .E01 o, per dd/dmg outputs, .001) hè u primu segmentu o parte di e dati copiati da l'unità fonte. Tutti l'altri segmenti anu nomi di segmenti standard sequenziali (per esample, [filenome].Ex02, [filenome].Ex03, è cetara). Nota chì, per i travaglii annullati o falluti, pò ancu esse un [filenome].Ex01.parziale file in u cartulare di output.
Nota: u Max File L'impostazione di u sistema di dimensione determinarà a dimensione di u segmentu di output files. L'opzioni sò 2GB, 4GB, 8GB, è Unlimited. L'infurmazione

64

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.9. Duplicazione
sopra à u segmentu file e cunvenzioni di nomi s'applicanu à tutti, ma l'impostazione Unlimited. Per Unlimited, TD4 catturarà tutti i dati di l'unità di fonte in un grande segmentu file nantu à ogni destinazione cù una estensione di .EX01, .E01, o, per dd/dmg, .001. Inoltre, per via di un FAT32 filelimitazione di u sistema, se una di e unità di destinazione hè furmatu cum'è FAT32, tutte e destinazioni utteneranu segmentu 2GB files.
TD4 genera un [filenome].log.html file per ogni travagliu imagine. Questu hè u logu forensicu per ogni travagliu. Crea ancu un [filenome].TD4_packed_log file, chì pò esse usatu per fà una verificazione standalone di l'imaghjini originali o per restaurà una maghjina file à u furmatu di unità originale.
4.9.5 Pausa è ripiglià un travagliu di duplicazione
In certe situazioni, quantità significativu di tempu d'imaghjini ponu esse salvate da pudè mette in pausa è più tardi ripiglià un travagliu di duplicazione. È pèrdite ore di tempu d'imaghjini per via di una perdita di energia inespettata pò esse frustrante è inefficiente. TD4 hà cupertu, furnisce i mezi per pause è ripiglià i travaglii di imaging cù a seguente output file formati: e01, ex01, dd è dmg.
Per mette in pausa un travagliu d'imaghjini di duplicazione in esecuzione, basta à appughjà u buttone Pausa vicinu à a cima di u screnu di u statu di u travagliu attivu è cunfirmà u vostru desideriu di mette in pausa u travagliu. U travagliu serà in pausa, cum'è mostra in a screenshot sottu.

ISTD230400-UGD-EN-1

Guida d'usu

65

Capitulu 4 Utilizendu TD4

Per ripiglià un travagliu in pausa, tocca u buttone Play vicinu à a cima di u screnu di u statu di u travagliu. Se a pantalla di u statutu di u travagliu di un travagliu in pausa ùn hè micca attualmente visualizata, pò esse redisplayed toccu u travagliu in pausa in a lista di Storia di u travagliu.
Nota: Se un travagliu d'imaghjini hè statu in pausa è un novu travagliu Duplicatu hè iniziatu, quellu novu travagliu principia da u principiu. Per ripiglià un travagliu in pausa prima, duvete localizà u travagliu in pausa in a lista di a Storia di u travagliu è toccu nantu à ellu per vede u so schermu di statutu di u travagliu prima di toccu u buttone Play.
Se u buttone Play hè grisatu nantu à a pantalla di u statu di u travagliu di un travagliu in pausa prima, probabilmente significa chì e cundizioni di u travagliu ùn sò micca listessi cum'è prima di a pausa. Questu pò include e cundizioni evidenti cum'è a fonte originale è l'unità di destinazione chì ùn sò micca presenti. Un altru mutivu pussibile per un buttone Play inattivu hè se u destinazione hè criptatu in u discu sanu è l'unità hè stata ciclata dopu a pausa iniziale, è a criptografia ùn hè micca stata sbloccata dopu l'accensione successiva. In generale, verificate per assicurà chì e cundizioni di u travagliu sò esattamente listessi prima di pruvà à ripiglià un travagliu in pausa prima.
TX1 sustene ancu a ripresa di un travagliu dopu una perdita di putenza. Per i tippi di travagliu supportati (e01, -ex01, ¬dd, ¬dmg), se l'energia hè persa inaspettatamente durante un travagliu di imaging (cumpresu l'arrestu manuale da u buttone d'alimentazione longa pressa), pò esse ripresa.

66

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.9. Duplicazione
dopu chì u putere hè restauratu. Per ripiglià un travagliu dopu un avvenimentu di perdita di putenza, assicuratevi chì l'unità originali sò cunnessi à TD4 prima di vultà. Allora cercate u travagliu in pausa in a pantalla di Storia di u travagliu. Nota chì i travaglii in pausa si mostraranu cù una barra di statutu blu parzialmente cumpleta. Tap nant'à u travagliu in pausa à view u so schermu di statutu di u travagliu, è dopu toccu u buttone Play per ripiglià u travagliu.
I logs forensici per i travaglii in pausa è ripresa furnisceranu alcune informazioni specifiche è uniche. L'infurmazioni sò ligeramente diffirenti secondu a fonte di l'avvenimentu di pausa (iniziatu manualmente o perdita di putenza). In u casu di un avvenimentu di pausa manuale, una linea serà aghjuntu à u logu per indicà a data è l'ora di l'avvenimentu. Ogni pausa successiva (se iniziata manualmente) è avvenimentu di ripresa hè registrata, furnisce una cattura precisa di quanti cicli di pausa / ripresa sò accaduti durante u travagliu. Quandu a perdita di putenza inespettata hè a causa di a pausa, ùn ci hè micca tempu per u sistema per logà u tempu di pausa prima di chjude, perchè l'infurmazioni ùn sò micca dispunibili è cusì micca incluse in u log. In questu casu, un missaghju hè aghjuntu à u logu dopu chì u travagliu hè ripresu per indicà chì l'infurmazioni di pausa mancanti sò prubabilmente per un avvenimentu di perdita di energia, è u tempu di u travagliu ùn hè micca calculatu, postu chì ùn pò esse determinatu accuratamente. I seguenti log sample mostra una perdita di putenza finita in pausa / ripresa di travagliu. Nota chì, s'ellu hè statu un travagliu manualmente in pausa / ripresa, a linea cù l'avvertimentu di perdita di putenza pussibili serà rimpiazzata da un campu in Pausa, cù a data è l'ora di l'avvenimentu di pausa.

ISTD230400-UGD-EN-1

Guida d'usu

67

Capitulu 4 Utilizendu TD4
4.10 L'imaghjini lògichi
TD4 furnisce l'abilità di logicamente l'imaghjini di u cartulare di l'unità di l'origine è files da detectable filesistemi. Quandu s'utilice in cunjunzione cù l'imaghjini di discu fisicu, l'imaghjini lògichi permette l'acquistu rapida di a fonte file dati, chì furnisce l'utilizatori di TD4 a capacità di equilibrà a minuzia cù u tempu d'acquistu è u sforzu per e richieste di un casu determinatu.
I travaglii di imaging logicu TD4 creanu evidenza logica Lx01 standard di l'industria files, chì sò cumpatibili cù EnCase Forensic è altri strumenti d'investigazione forensica digitale cumuni. Ogni travagliu di l'imaghjini lògichi ancu creà un log forensic file, cun a file estensione di .log.html. Per i dettagli nantu à tutte l'output di l'imaghjini lògichi files, vede "Files creati durante un travagliu di imaghjini logici" à pagina 73.
L'imaghjini TD4logical acquistenu tuttu files/folders nantu à a fonte filesistema senza l'uppurtunità di selezziunà o target specifichi files/folders cum'è pussibule nantu à TX1. L'imaghjini lògichi TD4 sò sempre cunsiderate una opzione preziosa per situazioni sensibili à u tempu induve l'acquistà una maghjina fisica completa di l'unità ùn hè micca pussibule o per piglià un saltu. file analisi / triage mentre una maghjina fisica secundaria hè acquistata.
A causa di u fattu chì a fonte file A cumpressione di dati ùn hè micca determinata prima di inizià un travagliu di imaging logicu, ùn hè micca pussibule di determinà cun certezza se i dati da una fonte. fileu sistema si mette in una destinazione filesistema. In u risultatu, TD4 avvirtenu solu l'utilizatori chì una destinazione pò esse troppu chjuca quandu u spaziu utilizatu di a fonte filesistema hè più grande chè u spaziu dispunibbili nant'à u destinazione, è u travagliu pò ancu esse cuminciatu. In ogni casu, se i dati di fonte sò assai incompressible (o se a compressione hè disattivata), hè pussibule per u destinazione. filesistema per diventà pienu, cusì chì u travagliu falla.
Nota: Aduprate prudenza quandu pruvate à l'imagine logicamente da una fonte filesistema à una destinazione più chjuca filesistema. Se i dati fonte ùn hè micca cumpressibile, u travagliu pò fallu per mancanza di spaziu nantu à u destinazione.
A cuntrariu di un travagliu di duplicazione fisica, l'opzione di scaccià una unità di fonte DCO / AMA (sguassate è poi riapplicà à a fine di u travagliu) ùn esiste micca in l'imaghjini lògichi. L'esistenza di un DCO o AMA serà evidenti (per avvirtimenti in parechje locu), ma u DCO / AMA duverà esse eliminatu permanentemente utilizendu l'utilità Elimina HPA / DCO / AMA prima di accede à tutte e parte di i media fonte.
FileL'errore di lettura di u sistema scontru durante i travaglii di l'imaghjini lògichi pò esse risultatu in un comportamentu di acquisizione imprevisible. Quandu si verificanu, tali errori sò indicati da un missaghju d'avvertimentu rossu à a cima di a sezione di prugressu di l'Image Lògica di a pantalla di u statu di u travagliu. TD4 salta qualunqui file chì si traduce in un errore di lettura è pruvarà à leghje u restu files. L'output CSV mostrarà un statu di errore per qualsiasi files chì ùn sò micca acquistati. Sè vo scontru fileerrore di lettura di u sistema durante un travagliu di imaghjini lògichi, ricumandemu chì clone o imagine fisicamente l'unità (e01, ex01, dd, dmg) invece di pruvà à fà una maghjina logica.

68

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.10. L'imaghjini lògichi
4.10.1 Realizà una maghjina logica
Per fà una imagina logica:
1. Segui i passi elencati in "Connecting drives" in a pagina 27 per cunnette l'unità di origine è di destinazione.
2. Assicurà chì tutte e unità di destinazione hannu almenu unu mountable filesistema. Destinazioni chì anu muntatu filei sistemi riceveranu una maghjina Lx01 file output. Destinazioni chì ùn anu micca detectable filei sistemi ùn riceveranu micca outputs da un travagliu di l'Image Lògica.
Nota: Ogni unità di destinazione utilizata in un travagliu d'Image Lògica deve avè a filesistema per almacenà l'output di acquisizione risultante files. Se qualchissia di l'unità di destinazione attaccati ùn anu micca un detectable filesistema, un missaghju avvirtimenti cumpariscerà sopra à u buttone Start chì indica chì destinazioni deve avè filesistemi. Se ci hè almenu una unità di destinazione cù a filesistema, u travagliu di l'Image Lògica pò ancu esse cuminciatu, ma solu i destinazioni chì anu muntatu filesistemi riceveranu l'evidenza di output files.
3. Expand the Logical Image function tile in u screnu in casa. Un riassuntu di i paràmetri principali di u travagliu serà mostratu cù qualsiasi messagi d'avvertimentu pertinenti cum'è pò esse vistu in a screenshot sottu. Verificate i paràmetri, risolve qualsiasi avvisi di bloccu, è dopu toccu u buttone Start. Se nimu di i paràmetri sò stallati per promptà è ùn ci sò micca altri prublemi di cunfigurazione di u travagliu chì devenu esse risolti, u travagliu cumminciarà, è a pantalla di u statu di u travagliu serà visualizata.

ISTD230400-UGD-EN-1

Guida d'usu

69

Capitulu 4 Utilizendu TD4

Se qualcunu di i paràmetri di u travagliu sò cunfigurati à Prompt, apparirà una schermu di paràmetri avanzati chì permetterà a selezzione di i paràmetri specifichi desiderati per u travagliu imminente. L'opzione Prompt hè dispunibule per e seguenti paràmetri di u sistema ligati à l'imaghjini logici: Hash è Verificazione di lettura.
Se ci sò prublemi cù a configurazione / cunfigurazione di u travagliu di l'Image Lògica chì TD4 cunsidereghja esse bluccatu o di significatu forensicu, apparirà una schermu di paràmetri avanzati è furnisce infurmazioni nantu à u prublema è a capacità di rectificà, se pussibule. Un exampLe di un prublema di cunfigurazione di bloccu hè se SHA-256 hè sceltu in i paràmetri di u sistema. LX01 ùn sustene micca l'hashing SHA-256.
A screenshot quì sottu hè un example di a pantalla di paràmetri avanzati per un travagliu di l'Image Lògica cù un paràmetru Prompt (Verifica di Lettura) è un prublema di significatu forensicu (SHA-256 sceltu). Nota chì l'articuli chì anu causatu direttamente a visualizazione di a schermu di paràmetri avanzati sò mostrati cum'è espansi, ma chì altri elementi di paràmetri potenzialmente ligati appariscenu ancu in quella schermu senza espansione.

70

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.10. L'imaghjini lògichi

Quandu tutti i paràmetri avanzati di u screnu sò stati risolti / verificati, tocca u buttone Start per inizià u travagliu di l'Image Lògica.
Nota: Cum'è indicatu da u messagiu informativu in a screenshot sopra ("Questu hè u vostru sistema predeterminatu"), ogni volta chì un paràmetru hè cambiatu in una pantalla di paràmetri avanzati cum'è parte di a stallazione per un travagliu specificu, chì hè equivalente à cambià quella paràmetra in u menu principale di Settings.
4. Dopu à un travagliu Image Logical hè cuminciatu, u so schermu statutu di u travagliu cumpariscerà, cum'è mostra sottu.

ISTD230400-UGD-EN-1

Guida d'usu

71

Capitulu 4 Utilizendu TD4

U numeru di files trovu nant'à a fonte filesistema inseme cù a dimensione tutale di quelli files hè mostratu ghjustu sottu à a sezione di l'intestazione di u screnu di u statu di u travagliu, sopra a barra di prugressu di l'Image Lògica. Nota chì l'imaghjini logici TD4 acquistenu tuttu files/ cartelle nantu à a fonte filesistema senza l'uppurtunità di selezziunà o target specifichi files/folders cum'è pussibule nantu à TX1.
Pudete annullà un travagliu di l'Image Lògica attivu toccu Annulla in l'angulu in fondu à destra di a pantalla di statutu di u travagliu. Pudete ancu esportà u logu di u travagliu da questa schermu (ancu per un travagliu in prugressu, se vulete) toccu u buttone Esporta in u cantonu in fondu à manca è dopu selezziunate a destinazione desiderata o l'unità accessoria /.filesistema.
L'unità di fonte è di destinazione utilizati in un travagliu di l'Image Lògica sò mostrati vicinu à u fondu di u screnu di u statu di u travagliu. Queste carte di unità furnisce l'infurmazioni basi di l'unità, cum'è u nome di u portu cunnessu, a dimensione generale di l'unità, è l'ID di prova (se inseritu) o a marca / mudellu / numeru di serie di l'unità. L'icone apparisceranu nantu à queste carte di unità per furnisce l'indicazione in un sguardu di e cose
cum'è micca detectable filesistema presente, HPA/DCO/AMA in locu, o u
presenza di crittografia Tableau (bloccata o sbloccata).
Nota: E carte di unità in u screnu di u statu di u travagliu ponu esse tappate per vede infurmazione dettagliata di u drive. Tuttavia, quandu i dettagli di u drive sò viewed da

72

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.10. L'imaghjini lògichi

sta zona, l 'infurmazione hè cunsideratu storicu cum'è di u principiu di u travagliu, cum'è indicatu da infurmazione data è ora in u angulu cima-destra di u screnu di dittagli drive. Questu significa chì i cambiamenti à l'infurmazioni di guida durante u travagliu (cum'è u spaziu liberu ridottu nantu à l'unità di destinazione) ùn saranu micca riflessi è a navigazione di qualsiasi muntatu. filei sistemi sò disattivati. Per vede una versione live di i dettagli di u drive è per pudè navigà muntatu filesistemi (ancu durante un travagliu attivu), utilizate i tile di unità nantu à a pantalla di casa per accede à i schermi di dettagli di u drive.
4.10.2 Files creatu durante un travagliu di l'imagine logica
Quandu eseguisce una maghjina logica nantu à TD4, parechje diverse files pò esse uscita à ogni destinazione secondu a cunfigurazione di u travagliu, cum'è seguente:
· {image_name}.Lx01, {image_name}.Lx02, etc. sò l'evidenza forensica files per l'operazione. Contenenu tutte e dati è metadata per ognunu file è u cartulare acquistatu.
· {image_name}.csv hè un valori separati da virgola file chì cuntene certi metadata per ogni file è u cartulare acquistatu. Stu tipu di file pò esse facilmente impurtatu in parechje applicazioni cumuni di trattamentu di dati cum'è Microsoft Excel. CSV file u cuntenutu di dati è l'infurmazioni di furmatu ponu esse truvati in "Source file metadati" à a pagina 73.
· {image_name}.log.html cuntene u logu forensicu di u travagliu di l'imaghjini lògichi.
· {image_name}.TD4_packed_log cuntene una copia leggibile TD4 di u logu forensicu chì pò esse usatu dopu per a verificazione standalone di u Lx01 file set.
4.10.3 Verificazione di l'imagine logica
Verificazione di Lx01 files differisce da a verificazione di l'operazioni di imaging fisicu perchè, in un Lx01 file, ùn ci hè micca un hash generale. Ognunu fileI dati guardati in u Lx01 anu un hash assuciatu chì hè statu calculatu durante l'acquistu originale. A funzione di verificazione di l'imaghjini logica leghje torna file dati da u Lx01 nantu à u destinazione, calculate un novu valore hash per ognunu file, è paragunà quellu valore di hash à u valore di hash d'acquisizione originalmente almacenatu. Un fallimentu di qualcunu file per currisponde à u valore di l'acquistu uriginale hà da risultatu in un fallimentu di verificazione.
4.10.4 Fonte file metadata
L'imaghjini lògichi cù TD4 includenu a fonte file metadati in l'output CSV file, cum'è mostra in a tabella sottu.

Percorsu di a Colonna
Tipu

Cuntinutu
Contene u pienu, filepercorso relativo à u sistema per questa entrata. Esample: / users/charles/pictures.
O cuntene "Directory", "Symlink", o "File," secondu u tipu d'entrata chì sta fila rapprisenta.

ISTD230400-UGD-EN-1

Guida d'usu

73

Capitulu 4 Utilizendu TD4

Colonna Filetaglia Crea Data Accessed Data Modified Data Scrittura Data MD5 Hash
SHA1 Hash
File Status

Cuntinutu
U file dimensione, in byte, di l'entrata. Stu campu hè viotu per i cartulari.
A stringa di data / ora IS0 8601 UTC per a data di creazione di sta entrata. Stu campu hè viotu se a data di creazione ùn hè micca dispunibile.
A stringa di data / ora IS0 8601 UTC per a data d'accessu di sta entrata. Stu campu hè viotu se a data di accessu ùn hè micca dispunibule.
A stringa di data / ora IS0 8601 UTC per a data mudificata di sta entrata. Stu campu hè viotu se a data mudificata ùn hè micca dispunibule.
A stringa di data / ora IS0 8601 UTC per a data scritta di sta entrata. Stu campu hè viotu se a data scritta ùn hè micca dispunibule.
U MD5 Hash di l'entrata. Stu campu hè viotu per i cartulari. Hè ancu viotu s'ellu ùn hè micca calculatu l'hash MD5, nè l'hash MD5 hè statu cunfiguratu, o l'entrata ùn currisponde à e regule per l'acquistu.
U SHA1 Hash di l'entrata. Stu campu hè viotu per i cartulari. Hè ancu viotu s'ellu ùn hà micca calculatu SHA1 hash, nè SHA1 hash hè statu cunfiguratu, o l'entrata ùn currisponde à e regule per l'acquistu.
OK s'ellu ùn ci era micca prublemi di lettura file dati / metadata.

ERRORI s'ellu ci era errore di lettura file dati è/o metadati.

Reguli currispondenti

Stu campu hè viotu per i cartulari.
"Y" se u file currisponde à e regule di l'acquistu per l'inclusione. Per TD4, questu sempre mostrarà un match cum'è file/ a selezzione / filtru in u cartulare ùn hè micca supportatu.

4.11 Hashing
I praticanti forensici ponu avè bisognu di calculà i valori di hash, o impronte digitali, per una unità di fonte senza fà una copia di l'unità. A funzione Hash pò generà valori di hash MD5, SHA-1 è SHA-256 per un drive di fonte, cum'è determinatu da l'impostazione di u sistema Hash.
1. Segui i passi elencati in "Connecting drives" in a pagina 27 per cunnette l'unità fonte desiderata.

Nota: Siccomu TD4 permette solu una unità di fonte per esse aduprata per qualsiasi travagliu, cunnette solu l'unità di fonte di hash desiderata è assicuratevi chì ùn ci hè micca attaccata altre unità di fonte. Se qualsiasi altre unità di fonte sò attaccate, un avvisu serà furnitu in u tile di a funzione Hash è u buttone Start serà inattivu (grigiu).
2. Expand u tile funzione Hash nant'à u screnu in casa. Un riassuntu di i paràmetri di u travagliu pertinenti serà mostratu cù qualsiasi messagiu d'avvertimentu applicabile. Verificate i paràmetri, risolve qualsiasi avvisi di bloccu, è dopu toccu u buttone Start. Se nimu di i paràmetri sò impostati à Prompt è ùn ci sò micca altri prublemi di cunfigurazione di u travagliu chì devenu esse risolti, u travagliu principiarà, è a pantalla di u statu di u travagliu serà visualizata.

74

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.11. Hashing
Se l'impostazione di u sistema Hash hè impostata à Prompt, una schermu di paràmetri avanzati appariscerà chì permetterà a selezzione di i tipi di hash per u travagliu. Selezziunate i tipi di hash desiderati è dopu toccu u buttone Start per inizià u travagliu Hash. 3. Dopu à u travagliu Hash hè cuminciatu, u screnu statutu di u travagliu cumpariscerà, cum'è mostra sottu.

Pudete annullà un travagliu Hash attivu toccu Cancella in l'angulu in fondu à destra di u screnu di u statu di u travagliu. Pudete ancu esportà u logu di u travagliu da questa schermu (ancu per un travagliu in prugressu, se vulete) toccu u buttone Esporta in u cantonu in fondu à manca è dopu selezziunate a destinazione desiderata o l'unità accessoria /.filesistema.
L'unità di fonte utilizata in u travagliu Hash serà mostratu vicinu à u fondu di u screnu di u statu di u travagliu. Questa carta di unità furnisce l'infurmazioni basi di l'unità, cum'è u nome di u portu cunnessu, a dimensione generale di l'unità, è l'ID di prova (se inseritu) o a marca / mudellu / numeru di serie di l'unità. L'icone apparisceranu nantu à queste carte di unità per furnisce l'indicazione in un sguardu di cose cum'è micca detectable
filesistema presente, HPA/DCO/AMA in piazza, o a presenza di Tableau
criptografia (bloccata o sbloccata).
Nota: E carte di unità in u screnu di u statu di u travagliu ponu esse tappate per vede infurmazione dettagliata di u drive. Tuttavia, quandu i dettagli di u drive sò viewEd da questa zona, l'infurmazione hè cunsiderata storica da u principiu di u travagliu,

ISTD230400-UGD-EN-1

Guida d'usu

75

Capitulu 4 Utilizendu TD4

cum'è indicatu da l'infurmazioni di data / ora in l'angulu superiore destra di a pantalla di dettagli di u drive. Per vede una versione live di i dettagli di u drive è per pudè navigà muntatu filesistemi, aduprate i tile di unità nantu à u screnu in casa per accede à u screnu di i dettagli di u drive.
4.12 Verificà
A funzione Verify standalone verifica l'integrità di una maghjina esistente file per leghje i dati da l'imaghjini file, calculendu un valore di hash di quelli dati, è poi paragunendu quellu valore di hash calculatu cù u valore di l'hash d'acquistu originale.
Nota chì, mentri a stessa funzione Verify pò esse aduprata per a verificazione standalone di l'imaghjini fisichi è lògichi, u mecanismu sottostante hè diversu. Questu hè chì l'imaghjini fisichi cuntenenu valori di hash d'acquisizione di discu sanu è l'imaghjini lògichi cuntenenu file-based acquisizzioni valori hash. Nisuna differenza serà nutata durante u travagliu di verificazione stessu, ma u tipu di l'imaghjini fonte farà una diferenza in quantu i risultati sò rappurtati. Per un travagliu di verificazione di l'imagine fisica, i valori di l'hash di lettura à livellu di u drive seranu rappurtati in u log forensic. Per un travagliu di verificazione di l'imaghjini lògichi, una semplice indicazione di passa / fallu serà riportata in u log forensic. Un passu indica chì tutti i file-based verification hashes currisponde à l 'acquistu uriginale file hashes. Sì qualchissia individuu file in una maghjina logica file fiasca di verificà, tuttu u travagliu di verificazione si mostrarà cum'è fallutu.
1. Segui i passi elencati in "Collegamentu di unità" in a pagina 27 per cunnette l'unità di destinazione desiderata.
Nota: I travaglii di verificazione utilizanu solu unità di destinazione o accessori cum'è fonte di input di verificazione.
2. Espandi u tile funzione Verify nant'à u screnu in casa, e poi tuccà u buttone Start.
3. In u screnu paràmetri avanzata, tu m'aimais Select a log file buttone per lancià un modale di navigazione. Sfoglia à a destinazione adatta / unità d'accessori è filesistema, situà u .td4_packed_log desideratu file, è selezziunate quellu file toccu una volta. Poi tocca u buttone Selezziunà.
Nota: Quandu navigate per u logu imballatu files, solu files cù una estensione di .td4_packed_log serà mostratu in a finestra di ricerca.
4. Riview u sceltu filesistema è file infurmazione strada, è, s'ellu hè precisa, toccu u buttone Start à principiatu u travagliu verification. A pantalla Verificate u statu di u travagliu appariscerà.
Pudete annullà un travagliu di Verificazione attivu toccu Cancella in l'angulu in fondu à destra di a pantalla di statutu di u travagliu. Pudete ancu esportà u logu di u travagliu da questa schermu (ancu per un travagliu in prugressu, se vulete) toccu u buttone Esporta in u cantonu in fondu à manca è dopu selezziunate a destinazione desiderata o l'unità accessoria /. filesistema.

76

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.13. Risturà

U drive utilizatu in u travagliu di Verificazione serà mostratu vicinu à u fondu di u screnu di u statu di u travagliu. Questa carta di unità furnisce l'infurmazioni basi di l'unità, cum'è u nome di u portu cunnessu, a dimensione generale di l'unità, è l'ID di prova (se inseritu) o a marca / mudellu / numeru di serie di l'unità. L'icone apparisceranu nantu à queste carte di unità per furnisce l'indicazione in un sguardu di cose cum'è micca detectable filesistema presente, HPA/DCO/AMA in u locu, o a prisenza di a crittografia Tableau (bloccata o sbloccata).
Nota: E carte di unità in u screnu di u statu di u travagliu ponu esse tappate per vede infurmazione dettagliata di u drive. Tuttavia, quandu i dettagli di u drive sò viewed da sta zona, l 'infurmazione hè cunsideratu storicu cum'è di u principiu di u travagliu, cum'è indicatu da l 'infurmazione data è ora in u angulu cima-destra di u screnu di dittagli drive. Per vede una versione live di i dettagli di u drive è per pudè navigà muntatu filesistemi, aduprate i tile di unità nantu à u screnu in casa per accede à u screnu di i dettagli di u drive.
4.13 Ripristina
A funzione Restore permette di ricreà u formatu di unità originale da una maghjina forensica TD4 creata prima file. L'usi di sta funzione sò variati, ma includenu l'abilità di utilizà un discu restauratu cum'è un discu di boot di sistema è di creà simpliciamente una copia d'archiviu di l'evidenza in u so formatu originale per riferimentu futuru di casu.
A funzione Restore travaglia cù tutte l'imaghjini di duplicazione fisica file tipi (E01, Ex01, dd, dmg). Ùn sustene micca a risturazione da una maghjina logica file set (Lx01).
Hè megliu praticà per sguassate i media di destinazione prima di ripristinà, perchè questu pò aiutà à identificà i media potenzialmente difetti è i settori cattivi, è pò riduce u risicu di cuntaminazione incruciata di una unità restaurata cù dati stale.
Nota chì, à l'iniziu di un travagliu di Restaurazione, TD4 prepara l'unità di destinazione sguassendu i settori 0, 1, è a fine di l'unità minus 1. Questu assicura chì ùn ci hè micca dati di tabella di partizione stale nantu à u discu chì riduce a pussibilità di l'unità. prublemi di rilevazione à a fine di u travagliu.
Nota: Perchè l'infurmazioni di a tabella di partizioni sò relative à a dimensione di u settore di l'unità di origine, ùn hè micca permessu di ripristinà un unità di destinazione cù una dimensione di settore sfarente. TD4 detecterà stu prublema di discrepanza di dimensione di settore è avviserà l'utilizatore. Sta cundizione deve esse rettificata prima chì u travagliu di Risturà pò esse iniziatu.
Per restaurà un drive da una maghjina file:
1. Segui i passi elencati in "Connecting drives" in a pagina 27 per cunnette l'unità di origine è di destinazione desiderate.
Nota: i travaglii di restaurazione utilizanu unità di fonte cum'è fonte di input files (registru imballatu file è u segmentu di l'imaghjini files). Inoltre, un travagliu di Ripristina sguasserà efficacemente qualsiasi unità di destinazione chì sò attaccati / rilevati à u mumentu chì u travagliu hè

ISTD230400-UGD-EN-1

Guida d'usu

77

Capitulu 4 Utilizendu TD4
principiatu. Assicuratevi chì nimu di e vostre destinazioni ùn anu criticu files nantu à elli prima di inizià un travagliu di Restaurazione.
2. Espandi u tile funzione Risturà nant'à u screnu in casa, e poi tuccà u buttone Start. A schermu Restore Setup apparirà.
3. In u screnu Restore Setup, tu m'aimais Select a log file buttone per lancià un modale di navigazione. Navigate à l'unità fonte adatta /filesistema, situà u .td4_packed_log desideratu file (quellu da quale vulete restaurà), è selezziunate quellu file toccu una volta. Poi tocca u buttone Selezziunà.
Nota: Quandu navigate per u logu imballatu files, solu files cù una estensione di .td4_packed_log serà mostratu in a finestra di ricerca.
4. Riview u sceltu filesistema è file infurmazione di u percorsu, verificate qualsiasi altri paràmetri in a pantalla di Ripristina Setup, è, se tuttu hè stallatu bè, toccu u buttone Start per inizià u travagliu di Restaurazione. A pantalla di risturà u statu di u travagliu apparirà.
Notes
· Durante u travagliu Risturà, i hashes sò calculati cum'è e dati sò estratti da l'evidenza fonte file stabilitu è ​​scrittu à a destinazione. Questi hashes sò cunsiderati cum'è hash surghjenti è sò cusì catturati in a sezione fonte di u log forensic di u travagliu di Restaurazione. Ancu s'è a verificazione di lettura ùn hè micca attivata per u travagliu di Restaurazione, questi hash di fonte sò paragunati à l'hash d'acquisizione di l'imaghjini fisiche originali è, se si rileva una mancata corrispondenza, u travagliu di risturà fallerà.
· Se a Verificazione di Readback hè attivata per un travagliu di Restaurazione, a parte di l'unità di destinazione chì hè stata scritta durante a Ripristina (chì currisponde à a dimensione di l'unità di origine originale) serà letta, è i valori di hash di lettura seranu calculati è paragunati à l'hash surghjenti. Se si rileva una mancata corrispondenza, a parte di verificazione di u travagliu di Restaurazione falla. Questi hash di lettura sò catturati in a sezione di destinazione di u log forensic di u travagliu di Restaurazione. Innota chì, se i valori di hash readback currispondenu à i valori di hash fonte, seranu cunsiderati pezzi di dati di priorità più bassa in i logs forensici HTML è cusì oculati per automaticamente. Questi hashes ponu esse viewed espansione a sezione (s) di u drive di destinazione di u log forensic.

78

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

4.14. Logs forensici

4.14 Logs forensici
TD4 genera un logu detallatu per tutti i travaglii forensi è a maiò parte di l'operazioni di utilità media. L'infurmazione catturata durante ogni travagliu hè aduprata per creà sia i schermi di u statutu di u travagliu vistu in l'interfaccia d'utilizatore (dispunibule da a lista di Storia di u travagliu) è i logs di travagliu forensicu chì ponu esse esportati in un discu esternu. Questa sezione hè specifica per i logs forensici esportati. Per infurmazione nantu à a lista di u Storia di u travagliu è i schermi di u statu di u travagliu, vede "Storia di u travagliu" à a pagina 37 è "Statu di u travagliu" à a pagina 36.
L'infurmazioni detallati catturati in i logs forensi dependeranu di u tipu di travagliu. Un riassuntu di l'infurmazioni catturati per un travagliu di duplicazione basatu in l'imaghjini hè mostratu quì sottu. Vede u sample logs à a fine di sta sezione per qualchì logu di travagliu specificu examples.
· Status: Statu di u travagliu generale (Incumpletu, Ok, Errore / Fiascatu, Annulatu), data / ora stamps, identificazione di TD4 cum'è u sistema di acquisizione, è a versione di firmware in usu à u mumentu di l'acquistu. I seguenti pezzi di infurmazione facultativa seranu ancu inclusi in questa sezione: Nome di l'esaminatore, ID di casu, Note di casu è Note di travagliu.
· Fonte: Detaglii di l'unità di origine, cumprese l'infurmazione generale di l'unità (ID di prova (se stabilitu), tipu d'interfaccia, portu TD4, marca / numeru di mudellu, versione di firmware, numeri di serie, dettagli specifichi di u protokollu (per esempiu, informazioni SCSI / USB) , informazioni relative à HPA / DCO / AMA, informazioni RAID è criptografia, infurmazione di dimensione / layout, è u tipu di tabella di partizioni), dettagli di partizione, è, se presente è supportatu da TD4, fileinfurmazione specifica di u sistema.
· Risultati di Acquisizione: Dettagli nantu à l'aspetti di l'acquistu di u travagliu, cumpresi i numeri di l'iniziu di u bloccu è u conte, i valori di l'acquistu di l'acquistu, è leghje l'infurmazioni d'errore.
· Configurazione: infurmazione di cunfigurazione di u travagliu, cum'è l'output file tipu di furmatu, segmentu file dimensione, è se a cumpressione hè stata attivata o micca.
· Destinazione di l'Image: Dettagli di l'unità di destinazione, cumpresi i valori di verificazione di lettura (se attivata per u travagliu), infurmazione generale di l'unità (tipu di interfaccia, portu TD4, numeru di marca / mudellu, versione di firmware, numeri di serie, dettagli specifichi di protokollu (p.e. , informazioni SCSI / USB), informazioni relative à HPA / DCO / AMA, informazioni RAID è criptografia, informazioni di dimensione / layout, è u tipu di tabella di partizioni), dettagli di partizioni, è fileinfurmazione specifica di u sistema.
· Riassuntu di fallimentu: Se un fallimentu hè accadutu durante u travagliu, sta sezione serà mostrata è includerà un mutivu di fallimentu è u codice. Nota chì u codice di fallimentu ùn hè micca pensatu à esse significativu per l'utilizatore finale. In i casi induve u sustegnu di u cliente hè necessariu per risolve una situazione di fallimentu di u travagliu, u codice di fallimentu deve esse nutatu è inclusu in u rapportu di incidente. Sta infurmazione aiutarà à determinà a causa di u fallimentu.
Per accede à i logs di u travagliu almacenati in u vostru TD4, espansione u tile di funzione Storia di u travagliu nantu à a pantalla di casa è dopu toccu in a parte più bassa di u tile di funzione. Una lista di tutti i travaglii guardati nantu à l'unità serà visualizatu. Toccu nantu à un travagliu mostrarà a so pantalla di statutu di u travagliu. Nota chì ùn pudete micca apre è view logs forensici files direttamente nantu à TD4. travagliu

ISTD230400-UGD-EN-1

Guida d'usu

79

Capitulu 4 Utilizendu TD4
I schermi di statutu mostranu l'infurmazioni chjave nantu à u travagliu, ma u logu di u travagliu deve esse esportatu à una destinazione o unità accessoria per esse capace di view u logu forensicu file nant'à un urdinatore separatu.
4.14.1 Sample logs
Dui sample logs sò mostrati quì sottu - unu da una duplicazione successu è unu da una verificazione standalone falluta. Comu mostra in u logu HTML samples, ci sò frecce su / giù à u latu drittu di ogni intestazione di sezione. Una freccia giù indica chì a sezione hè colapsata; Una freccia up indica chì hè stata allargata. U sampi logs HTML sottu sò mostrati cù tutti i campi colapsati per simplicità. Ogni pezzu di infurmazione di logu hè statu categurizatu cum'è criticu o supplementu, è solu l'infurmazione critica hè mostrata quandu una sezione hè colapsata. Quandu un logu esportatu hè viewEd in un urdinatore separatu, ogni sezione pò esse allargata per vede l'infurmazioni detallati è supplementari. In quellu espansione view, l'infurmazione critica hè evidenziata cù descrizzioni di campu in grassu, mentre chì l'infurmazioni supplementarii sò mostrati in grisgiu chjaru. Nota chì pezzi specifichi di l'infurmazioni di logu ponu esse cunsideratu supplementari in una situazione, ma critichi in un altru. Per esample, l'infurmazioni di criptografia per una determinata unità di fonte serà cunsiderata supplementaria se l'unità ùn hà micca criptografia, ma diventerà critica se a criptografia hè rilevata.
U statu iniziale per ogni logu HTML serà di vede tutti i campi colapsati cù solu l'infurmazioni critichi affissate. Mentre chì e rùbbriche individuali ponu esse alternate trà mostrà tutte l'infurmazioni o solu un riassuntu, ci hè un buttone in u latu superiore drittu di a pantalla di log HTML chì permetterà tutte e rùbbriche per esse allargate o colapsate.
A messageria d'errore in i logs HTML hà ancu qualchì funziunalità unica. Ogni cundizione d'errore mostrarà in testu rossu cum'è infurmazione critica in u riassuntu view. L'espansione di a rùbbrica cù una cundizione d'errore mostrarà infurmazioni più detallate nantu à u statu di errore, cumpresa a causa di l'errore.

80

OpenTextTM TableauTM Forensic TD4 Duplicator

ISTD230400-UGD-EN-1

Sample Log 1 Duplicazione EX01 successu

4.14. Logs forensici

Nota: Tutte e sezioni di log sò colapsate eccettu per i Risultati di Acquisizione.

ISTD230400-UGD-EN-1

Guida d'usu

81

Capitulu 4 Utilizendu TD4 Sample Log 2 Verificazione Standalone Fallata (fonte illeggibile)

Nota: Tutte e rùbbriche di log sò colapsate eccettu u Driver

Documenti / Risorse

Opentext TD4 Duplicator Forensic [pdfGuida di l'utente
Duplicatore Forensic TD4, TD4, Duplicatore Forensic, Duplicatore

Referenze

Lascia un cumentu

U vostru indirizzu email ùn serà micca publicatu. I campi obbligatori sò marcati *