forenzní duplikátor opentext TD4
Specifikace
- Produkt: Forenzní duplikátor OpenText Tableau TD4
- Model: ISTD230400-UGD-CS-1
- Výrobce: Open Text Corporation
- Adresa: 275 Frank Tompa Drive, Waterloo, Ontario, Kanada, N2L 0A1
- Kontakt: Tel: +1-519-888-7111, bezplatná Kanada/USA: 1-800-499-6544, Mezinárodní: +800-4996-5440, Fax: +1-519-888-0677
Informace o produktu
OpenText Tableau Forensic TD4 Duplicator je výkonný a intuitivní forenzní duplikátor určený pro digitální forenzní odborníky. Nabízí vysoce výkonné zobrazovací schopnosti v malém přenosném balení. Uživatelské rozhraní dotykové obrazovky poskytuje známý zážitek podobný moderním tabletům a chytrým telefonům.
Vlastnosti:
- Na zakázku postavený pro forenzní
- Standardní a pokročilé zobrazovací funkce
- Přenosný a kompaktní design
- Uživatelsky přívětivé rozhraní dotykové obrazovky
Návod k použití
Kapitola 1: Předmluva
Tato kapitola poskytuje technické informace a postupy pro
pomocí OpenText Tableau Forensic TD4 Duplicator.
Konvence pro měření kapacity pohonu a přenosové rychlosti:
Produkty Tableau hlásí kapacity pohonů a přenosové rychlosti
podle standardních pravomocí deseti konvence. Pro
example, 4GB pevný disk ukládá až 4,000,000,000 XNUMX XNUMX XNUMX bajtů.
Kapitola 2: Konecview
Tableau TD4 je výkonný forenzní duplikátor s a
uživatelsky přívětivé rozhraní dotykové obrazovky. Nabízí vysoký výkon
možnosti zobrazování v přenosném balíčku.
Vlastnosti:
- Intuitivní uživatelské rozhraní
- Standardní a pokročilé možnosti zobrazování
- Kompaktní design pro přenositelnost
Nejčastější dotazy
- Otázka: Lze použít duplikátor Tableau TD4 pro zobrazení více jednotek současně?
- Odpověď: Ano, duplikátor Tableau TD4 podporuje zobrazování více jednotek současně pro efektivní forenzní operace.
- Otázka: Existuje záruka na kopírku Tableau TD4?
- Odpověď: Společnost Open Text Corporation neposkytuje záruky na přesnost funkcí uvedených v publikaci. Další informace naleznete v části zřeknutí se odpovědnosti v uživatelské příručce.
“`
Forenzní duplikátor TD4 OpenTextTM TableauTM
Uživatelská příručka
Tato příručka představuje širokou škálu technických informací a postupů pro použití OpenText Tableau Forensic TD4 Duplicator.
ISTD230400-UGD-CS-1
OpenTextTM TableauTM Uživatelská příručka forenzního duplikátoru TD4 ISTD230400-UGD-CS-1 Rev.: 2023-Oct-19
Tato dokumentace byla vytvořena pro OpenTextTM TableauTM Forensic TD4 Duplicator 23.4. Platí také pro následující verze softwaru, pokud OpenText nezpřístupnil k produktu novější dokumentaci na OpenText webwebu nebo jakýmkoli jiným způsobem.
Open Text Corporation
275 Frank Tompa Drive, Waterloo, Ontario, Kanada, N2L 0A1
Tel: +1-519-888-7111 Bezplatná Kanada/USA: 1-800-499-6544 Mezinárodní: +800-4996-5440 Fax: +1-519-888-0677 Podpora: https://support.opentext.com Další informace naleznete na adrese https://www.opentext.com
Copyright © 2023 Open Text.
Tento produkt(y) může pokrývat jeden nebo více patentů. Pro více informací prosím navštivte https://www.opentext.com/patents.
Zřeknutí se odpovědnosti
Žádné záruky a omezení odpovědnosti
Bylo vynaloženo veškeré úsilí k zajištění přesnosti funkcí a technik uvedených v této publikaci. Společnost Open Text Corporation a její přidružené společnosti však nepřijímají žádnou odpovědnost a nenabízejí žádnou záruku, ať už vyjádřenou nebo předpokládanou, za přesnost této publikace.
Kapitola 1
Předmluva
Tato příručka představuje širokou škálu technických informací a postupů pro použití OpenText Tableau Forensic TD4 Duplicator, produktu OpenText. Je rozdělena do následujících kapitol:
· Přesview: Poskytuje obecné informace o TD4 a také o rozbalení, spouštění a procházení menu TD4 a čtení LED.
· Konfigurace TD4: Poskytuje přepínání systémuview informace o TD4 a také postupy pro jeho konfiguraci a připojení.
· Použití TD4: Poskytuje podrobné informace a postupy pro provoz TD4.
· Adaptéry: Popisuje adaptéry, které rozšiřují možnosti získávání disku a možnosti cílového disku TD4.
· Specifikace a odstraňování problémů: Poskytuje specifikace TD4 a stručný seznam potenciálních problémů a řešení. Úplnější a aktuální informace o odstraňování problémů a odpovědi na často kladené otázky (FAQ) naleznete na stránce OpenText My Support (https://support.opentext.com).
1.1 Konvence měření kapacity disku a přenosové rychlosti
Počítačový průmysl obecně dodržuje dvě různé konvence pro definice pojmů megabajt (MB) a gigabajt (GB). Pro počítačovou RAM je 1 MB definován jako 220 = 1,048,576 1 230 bajtů a 1,073,741,824 GB je definován jako 1 = 106 1,000,000 1 109 bajtů. Pro úložiště na jednotce je 1,000,000,000 MB definován jako XNUMX = XNUMX XNUMX XNUMX bajtů a XNUMX GB je definován jako XNUMX = XNUMX XNUMX XNUMX XNUMX bajtů. Tyto dvě konvence jsou známé jako mocniny dvou a mocniny deseti. Microsoft se odchyluje od konvence měření kapacity pevných disků a pro své operační systémy využívá pravomoci dvou konvencí.
Produkty Tableau uvádějí kapacity pohonů a přenosové rychlosti podle standardních výkonů deseti konvence. Na obrazovkách, zprávách a dokumentaci TD4 je na 4GB pevný disk uloženo až 4,000,000,000 150 150,000,000 XNUMX bajtů; pevný disk s přenosovou rychlostí XNUMX MB/s přenese XNUMX XNUMX XNUMX bajtů za sekundu.
ISTD230400-UGD-CS-1
Uživatelská příručka
5
Kapitola 2
Nadview
Tableau TD4 je výkonný a intuitivní forenzní duplikátor, který nabízí cenné, vysoce výkonné zobrazovací schopnosti v malém přenosném balení. Uživatelské rozhraní dotykové obrazovky se snadno používá a poskytuje známé uživatelské prostředí podobné moderním tabletům a chytrým telefonům. TD4 je vytvořen na zakázku pro forenzní a poskytuje mnoho standardních a pokročilých funkcí, které slouží specializovaným potřebám digitálních forenzních odborníků, včetně:
· Pořízení jednotek PCIe, USB, SATA, SAS, FireWire a IDE.
Poznámka: K vytvoření obrazu těchto typů disků jsou vyžadovány adaptéry PCIe, IDE a FireWire (prodávají se samostatně).
· Výstup na disky PCIe, USB a SATA.
· Schopnost cílení filedůkazy založené na logických funkcích zobrazování a průmyslovém standardu file výstupy (lx01 a metadata csv files).
· Možnost duplikovat zdrojový disk až na pět cílových disků.
· Schopnost zabránit poškození diskových jednotek jejich otočením dolů, když jsou vysunuty z TD4 před fyzickým odstraněním.
· Možnost vypnout TD4 po dokončení poslední aktivní úlohy.
· Možnost pozastavit a obnovit úlohy duplikace, včetně situací náhlého výpadku napájení.
· Možnost uzamknout konkrétní funkce a nastavení pomocí kódu PIN správce pro vynucení standardních nastavení a postupů pro vaše úlohy forenzní akvizice.
· Vynikající rychlosti přenosu dat, a to i při provádění výpočtů hašovacích hodnot MD5, SHA-1 a SHA-256.
· Schopnost view rozsáhlé detaily disku, včetně oddílů a filesystémové informace.
· Prohlížecí disk filesystémy.
· Rozsáhlé filepodpora systému – APFS, ExFAT, NTFS, EXT4, FAT(12/16/32) a HFS+.
· Celý disk, otevřený standard, šifrování cílové jednotky pomocí XTS-AES.
· Schopnost detekovat a informovat o přítomnosti povoleného šifrování Opal, BitLocker a šifrování APFS.
· Možnost připojit digitální média do zařízení Apple, která podporují režim cílového disku.
· Komplexní možnosti stírání místa určení a pohonu příslušenství, včetně utěrek vyhovujících NIST 800-88.
ISTD230400-UGD-CS-1
Uživatelská příručka
7
Kapitola 2 Konecview
· Podpora HPA, DCO a AMA pro detekci a manipulaci se skrytými/chráněnými datovými oblastmi na zdrojových jednotkách. To zahrnuje deaktivaci samostatného HPA/DCO/AMA, „policové regály“ DCO/AMA a podporu úpravy pro vytvoření cílového DCO nebo AMA.
· Lokalizované uživatelské rozhraní a podpora virtuální klávesnice pro následující jazyky: němčina, angličtina, španělština (mezinárodní), francouzština, korejština, portugalština (brazilská), turečtina a čínština (zjednodušená)
· Podrobné forenzní protokoly ve formátu HTML pro dokumentaci případu. · Možnost filtrovat seznam forenzních protokolů tak, aby zobrazoval pouze protokoly, které vás zajímají
konkrétní případ a/nebo informace o pohonu. Filtrované protokoly lze také exportovat nebo smazat. · Vždy bezplatná podpora aktualizace firmwaru. · Jasně označené a barevně označené zdrojové (blokovaný zápis) a cílové (čtení/zápis) porty.
8
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
Levá strana zdroje (blokovaný zápis) TD4.
2.1. Obsah sady TD4
Pravá cílová strana (čtení/zápis) TD4.
2.1 Obsah sady TD4
TD4 se dodává v krabicové sadě s vlastní pěnou, která obsahuje následující položky:
Položka
Model # TD4
Popis
Forenzní duplikátor OpenText Tableau TD4
ISTD230400-UGD-CS-1
TP6
Poskytuje napájení TD4. Použití
univerzální 3-kolíkový styl AC
linkový kabel a je kompatibilní
s vedením 100-240V AC
svtages celosvětově.
TC4-8-R4
TC-PCIE-8 TCA-USB3-AC TPKG-VCT-5
Jednotný signál SATA/SAS a napájení do 8in. SATA/SAS signál a 8in. napájecí kabel (3 ks)
8 palců PCIe adaptérový kabel. Musí být použit s adaptérem Tableau PCIe (1 ks)
Kabel adaptéru USB typu A samice na samec typu C (2 ks)
5dílná sada kabelových spojek na suchý zip
Uživatelská příručka
9
Kapitola 2 Konecview Položka
Model # TPKG-CLOTH
Popis Čisticí hadřík na obrazovky z mikrovlákna
Stručná referenční příručka
Pěnový obal TD4 nevyhazujte, protože je navržen tak, aby se do něj vešlo několik průmyslových standardních pevných pouzder (např.ample, Pelikán 1500). Pokud jste obdrželi sadu TD4 v kartonové krabici od OpenText, můžete stohovací pěnové vložky znovu použít ve svém vlastním pevném obalu.
2.2 Navigace TD4
K procházení dostupných funkcí TD4 použijte dotykový displej TD4. Po zobrazení výzvy zadejte alfanumerický text pomocí virtuální klávesnice na obrazovce nebo klávesnice USB. Viz „Podpora USB klávesnice a myši“ na stránce 17.
2.2.1 Domovská obrazovka
Domovská obrazovka TD4 zobrazuje dlaždice funkcí pro zahájení následujících forenzních úloh:
· Duplikovat · Logický obrázek · Hash · Ověřit · Obnovit
Obsahuje také dlaždice pro vstup/viewzákladní informace, a to takto:
· Informace o případu · Historie úloh
10
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
2.2. Navigace TD4
Každou dlaždici funkcí lze otevřít a zobrazit další informace, zadat data a případně spustit související úlohu. V závislosti na různých podmínkách se úloha buď spustí okamžitě po stisknutí tlačítka Start, nebo se zobrazí obrazovka pokročilých nastavení, která umožní konfiguraci konkrétních nastavení před zahájením úlohy. Další podrobnosti o každé funkci domovské obrazovky naleznete dále v této uživatelské příručce.
Na horním navigačním panelu jsou tlačítka pro rychlý přístup k systémové navigační nabídce a domovské obrazovce view aktuální čas. Klepnutím na název modelu TD4 v horní navigační liště se dostanete na domovskou obrazovku.
Poznámka: V případě abnormálních podmínek chlazení se v horní navigační liště vpravo od ikony System Navigation Menu zobrazí ikona varování před tepelnou událostí. Takové varování se za normálních provozních podmínek nikdy nezobrazí. Další informace naleznete v části „Problémy s teplotou“ na stránce 94.
ISTD230400-UGD-CS-1
Uživatelská příručka
11
Kapitola 2 Konecview
2.2.2 Podrobnosti o disku
Na levé a pravé straně domovské obrazovky najdete dlaždice jednotek, které odpovídají portům připojení fyzické jednotky. Tyto dlaždice budou neaktivní (zašedlé) pro všechny porty, které nemají připojenou jednotku. Když je disk připojen k danému portu, tato dlaždice se stane aktivní a lze na ni klepnout, abyste získali podrobné informace o tomto disku a provedli akce specifické pro disk.
Poznámka: Dlaždice jednotky pro zadní port příslušenství USB se zobrazí pouze tehdy, když je k tomuto portu připojena jednotka. Zobrazí se pod ikonou systémové navigační nabídky v levém horním rohu domovské obrazovky.
Další informace o podrobnostech disku naleznete v části „Použití TD4“ na stránce 33.
2.2.3 Navigační nabídka systému
Klepnutím na ikonu nabídky System Navigation Menu v levém horním rohu horní navigační lišty zobrazíte nabídku System Navigation Menu TD4, jak je znázorněno níže. Další informace o položkách v této nabídce naleznete v části „Konfigurace TD4“ na stránce 19.
12
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
2.2. Navigace TD4
2.2.4 Stav práce
Po spuštění úlohy se automaticky zobrazí obrazovka jejího stavu. Tato stavová obrazovka zobrazuje podrobnosti o dané úloze, včetně záhlaví zobrazující typ úlohy, její stav, čas zahájení a ukončení, celkovou rychlost přenosu dat, zbývající čas a procento dokončení. Spodní část obrazovky stavu úlohy zobrazuje další podrobnosti o úloze, včetně hodnot hash (pokud jsou k dispozici) postupu dílčích kroků (např.ample, Duplikace oddělená od ověření v úloze duplikace/ověřování), souhrn nastavení a jednotky zahrnuté v úloze. Klepnutím na dlaždici jednotky se otevře obrazovka s podrobnostmi o jednotce, která poskytuje rychlý přehled view všech dostupných informací o disku. Pevná spodní oblast obrazovky stavu úlohy obsahuje tlačítka pro export forenzního protokolu a zrušení úlohy. Bývalýample aktivní obrazovky stavu úlohy Duplikace je zobrazena níže.
Poznámka: Pokud je obrazovka s podrobnými informacemi o stavu úlohy zavřená, stručné shrnutí stavu úlohy je stále k dispozici v rozbalené dlaždici funkcí na domovské obrazovce. Klepnutím na spodní část této funkční dlaždice se znovu otevře obrazovka s podrobným stavem úlohy. Když je úloha spuštěna, zobrazí se v horní navigační liště vpravo od názvu modelu TD4 kruhový odstředivkový kotouč. Klepnutím na číselník se znovu otevře obrazovka s podrobným stavem úlohy.
ISTD230400-UGD-CS-1
Uživatelská příručka
13
Kapitola 2 Konecview
Po dokončení úlohy se zobrazí obrazovka stavu úlohy a zobrazí se konečný stav dané úlohy. BývalýampObrazovka stavu dokončené úlohy Duplikace je zobrazena níže.
2.2.5 Historie práce
Obrazovky stavu historické úlohy mohou být viewed ze seznamu Historie úloh. Chcete-li získat přístup k seznamu Historie úloh, rozbalte dlaždici funkce Historie úloh na domovské obrazovce. Na rozbalené dlaždici funkcí se zobrazí souhrn celkových úloh a případů (na základě nastavení ID případu). Klepnutím na spodní část rozbalené funkční dlaždice Historie úloh otevřete seznam Historie úloh. Úlohy v tomto seznamu přetrvávají během cyklů napájení. Všechny aktivní úlohy se zobrazí v seznamu s aktivním modrým ukazatelem průběhu. Úspěšně dokončené úlohy se zobrazí s plným zeleným ukazatelem průběhu. U zrušených úloh se zobrazí částečně vyplněný žlutý ukazatel průběhu. A neúspěšné úlohy zobrazí částečně vyplněný červený ukazatel průběhu. Klepnutím na konkrétní dlaždici úlohy ze seznamu se otevře obrazovka s podrobným stavem úlohy pro tuto úlohu. Bývalýample seznamu Historie úloh je uveden níže.
14
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
2.2. Navigace TD4
Jak je vidět v horní části obrazovky Historie úloh výše, aktuální případ (jak je identifikován nastavením systému Case ID) je zobrazen spolu s počtem různých případů zahrnutých v seznamu Historie úloh.
V některých situacích to může být výhodné view a spravovat (exportovat nebo mazat) pouze podmnožinu úloh ze seznamu. Chcete-li filtrovat seznam úloh, klepněte na ikonu filtru v pravé horní části obrazovky Historie úloh. Lze přidat kritéria filtru, aby se zobrazily pouze požadované úlohy. Seznam úloh lze filtrovat na základě následujících kritérií:
· Jméno zkoušejícího
· ID případu
· Pracovní poznámky
· Prodejce pohonů
· Model pohonu
· Sériové číslo disku
Jednoduše klepněte na požadovaná pole filtru a zadejte hodnoty filtru. Počet úloh odpovídajících kritériím filtru se zobrazí v horní části obrazovky vedle ikony filtru. Všimněte si, že když je použito více kritérií, musí se všechna pro úlohu shodovat
ISTD230400-UGD-CS-1
Uživatelská příručka
15
Kapitola 2 Konecview
zobrazit ve filtrovaném seznamu. Sekci kritérií filtru na obrazovce lze rozbalit a sbalit klepnutím na ikonu filtru.
Poznámka: Existuje snadný způsob, jak filtrovat seznam Historie úloh tak, aby zobrazoval pouze úlohy spojené s konkrétní jednotkou. Chcete-li tak učinit, klepněte na požadovanou dlaždici jednotky na domovské obrazovce. Přejděte na část Souhrn úloh ve spodní části obrazovky s podrobnostmi o disku a potom klepněte na View knoflík. Zobrazí se seznam pouze úloh spojených s tímto diskem.
Chcete-li exportovat protokoly spojené s úlohami v seznamu Historie úloh, klepněte na tlačítko Exportovat v levé dolní části obrazovky Historie úloh. Vyberte požadované filesystému a poté klepněte na tlačítko Exportovat v pravém dolním rohu okna procházení.
Chcete-li odstranit úlohy (a jejich přidružené protokoly), které jsou zobrazeny v seznamu Historie úloh, klepněte na tlačítko Odstranit v pravé dolní části obrazovky Historie úloh a postupujte podle pokynů.
Poznámka: Při exportu i mazání úloh/protokolů budou provedeny všechny úlohy zobrazené v seznamu Historie úloh. Pokud nejsou nastaveny žádné filtry, všechny úlohy/protokoly budou exportovány nebo odstraněny. Pokud je filtr použit k zobrazení pouze podmnožiny celkového seznamu úloh, budou exportovány nebo odstraněny pouze tyto filtrované úlohy/protokoly.
Na TD100 lze uložit až 4 úloh. Po dosažení tohoto limitu bude zahájení všech následujících úloh vyžadovat potvrzení, že nejstarší úloha bude automaticky odstraněna. Abyste se vyhnuli tomuto neefektivnímu kroku spouštění úlohy, doporučuje se na konci každého případu exportovat protokoly úloh a úlohy smazat.
2.3 Čtení stavových LED
LED indikátor zapnutí/vypnutí: Osvětlený vypínač se nachází v levém horním rohu TD4 a zobrazuje bílou LED, když je jednotka zapnutá.
DC In LED: Napájecí kabel TP6 má na konci válcového konektoru modrý kroužek LED, který indikuje, že napájecí zdroj TD4 přijímá adekvátní DC vstupní napájení.
LED dioda aktivity: Vícebarevná dioda LED aktivity se nachází v pravém dolním rohu TD4. Svítí bíle, když se jednotka spouští, bíle bliká, když je zjištěn problém s napájením, nesvítí, když je jednotka zapnutá, ale nečinná, modře, když probíhá operace, bliká zeleně, když je operace úspěšně dokončena, a červeně, když je operace selže.
16
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
2.4. Interpretace zvukové zpětné vazby
2.4 Interpretace zvukové zpětné vazby
TD4 přehraje jeden ze dvou zvuků, které indikují stav na konci úlohy. Pro úspěšnou práci hraje příjemný zvuk zvonění se zvyšující se výškou tónů. U neúspěšné práce má zvuk klesající tóny. Na obrazovce Nastavení můžete změnit hlasitost zvuků nebo je zakázat.
2.5 Varování na obrazovce
Pokud je to vhodné, TD4 bude poskytovat varování na obrazovce v rámci různých obrazovek nastavení a operací. Žlutá varování upozorňují uživatele na potenciální riziko, ale nebrání provozu. Červená varování znamenají, že nelze vyhovět zvolenému nastavení, operace selhala nebo existuje možnost promarnění forenzních důkazů, například když je detekován a neodstraněn DCO nebo AMA. Uživatelům se doporučuje, aby věnovali pozornost a přečetli si všechna zobrazená varování, když se objeví, a podle toho postupovali.
2.6 Podpora USB klávesnice a myši
Do libovolného USB portu TD4 můžete zapojit standardní anglickou USB klávesnici a/nebo myš. (Zatímco port pro příslušenství na zadní straně TD4 je určen pro tento účel, bude fungovat jakýkoli port USB.) Pro navigaci v uživatelském rozhraní a zadávání dat může být pohodlnější použít externí klávesnici a/nebo myš místo použití dotykové obrazovky. a virtuální klávesnice. Podporovány jsou také bezdrátové adaptéry klávesnice/myši, včetně unifikovaných adaptérů.
Poznámky
· TD4 podporuje bezdrátové klávesnice a myši. Chcete-li použít bezdrátovou klávesnici nebo myš, jednoduše zapojte bezdrátový adaptér USB do zadního portu pro příslušenství USB na TD4 a zařízení by se mělo automaticky spárovat s klávesnicí a začít pracovat. Existuje mnoho prodejců bezdrátových klávesnic a myší a někteří nemusí být kompatibilní s TD4. Pokud dáváte přednost použití bezdrátové klávesnice nebo myši a ta vaše nefunguje s TD4, kontaktujte zákaznickou podporu OpenText pro doporučení klávesnice.
· Používáte-li bezdrátový adaptér sjednocené klávesnice/myši pouze s myší, virtuální klávesnice se nemusí objevit na obrazovce TD4 při zadávání dat. TD4 uvidí bezdrátový adaptér jako klávesnici, díky čemuž bude chtít skrýt virtuální klávesnici v situacích zadávání dat. Pro tento případ použití bylo přidáno systémové nastavení virtuální klávesnice, které umožňuje, aby se při zadávání dat vždy zobrazovala virtuální klávesnice. Toto nastavení bude ve výchozím nastavení vypnuto, což znamená, že virtuální klávesnice se nezobrazí, pokud je detekována klávesnice USB.
ISTD230400-UGD-CS-1
Uživatelská příručka
17
Kapitola 3
Konfigurace TD4
Tato kapitola popisuje kroky pro konfiguraci TD4 před jeho pravidelným používáním.
3.1 Spouštěcí sekvence
Když je TD4 zapnutý, během spouštěcí sekvence zobrazí inicializační obrazovku. Počáteční spouštěcí cyklus (po obnovení továrního nastavení) zobrazí průvodce nastavením, který zobrazí klíčová systémová nastavení, aby bylo snadné nakonfigurovat váš TD4 pro použití. Interakce s touto obrazovkou průvodce nastavením (její zavřením nebo klepnutím na tlačítko Úplná nastavení) zabrání jejímu zobrazení v budoucích cyklech spouštění. Po spuštění přes obrazovku průvodce nastavením zobrazí TD4 domovskou obrazovku a poté se postupně zapne a detekuje připojené disky a připojí všechny podporované filesystémy.
3.2 Konfigurace TD4
Výchozí nastavení TD4 jsou definována pomocí rozumných hodnot osvědčených postupů. Existuje mnoho možností a nastavení, které můžete nakonfigurovat a přizpůsobit svým konkrétním potřebám. Klepnutím na ikonu nabídky System Navigation Menu v levém horním rohu uživatelského rozhraní otevřete nabídku System Navigation Menu, která obsahuje následující položky:
· Domů: Návrat na domovskou obrazovku. · Nastavení: Přístup na obrazovku Nastavení systému. · Správa: Přístup k obrazovce nastavení správy. · Uzamknout systém: Uzamkněte obrazovku pomocí kódu PIN, abyste zabránili přístupu bez dozoru. · O aplikaci: Přístup na obrazovku O aplikaci view další informace, jako je jednotka
sériové číslo, verze firmwaru/hash, autorská práva a informace o licencích. Z této obrazovky se také spouští aktualizace firmwaru a obnovení továrního nastavení.
NIKDY Nastavení
Klepnutím na Nastavení zobrazíte obrazovku Nastavení.
ISTD230400-UGD-CS-1
Uživatelská příručka
19
Kapitola 3 Konfigurace TD4
Snímek obrazovky výše ukazuje obrazovku Nastavení TD4. Každé nastavení a jeho možnosti a výchozí hodnoty jsou popsány níže.
· Hash: Umožňuje výběr požadovaných výpočtů hash pro úlohy Duplicate, Logical Imaging a Hash. Možnosti jsou MD5, SHA-1, SHA-256 a Prompt. Výběr Výzva umožní výběr hashů při spuštění úlohy. Výchozí hodnoty hash jsou MD5 a SHA-1.
· 'Duplikovat' File Typ: Umožňuje výběr výstupu file typ pro úlohy Duplicate (fyzický obrázek). Možnosti jsou: Ex01, E01, DD, DMG a Prompt. Výběrem možnosti Výzva povolíte file typ, který se má vybrat při spuštění úlohy. Výchozí nastavení je Ex01.
· Max File Velikost: Umožňuje výběr požadovaného maximálního výkonu file velikost segmentu. Možnosti jsou: 2 GB, 4 GB, 8 GB a Neomezené. Výchozí nastavení je Neomezeno.
· Error Recovery: Umožňuje výběr režimu obnovy a počtu opakování, pokud dojde k chybám čtení zdrojového disku během úloh duplikace a hašování.
Režim obnovení: Určuje velikost čtení, která se použijí k nalezení čitelných dat v oblastech s chybami. Možnosti jsou: Standardní a Vyčerpávající. Standardní režim znamená, že se přečtou pokusy o obnovení chyb
20
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
3.2. Konfigurace TD4
bloky dat, které mají vždy 32,768 XNUMX bajtů. Ve vyčerpávajícím režimu dojde ke čtení obnovy chyb až na nejpodrobnější možnou úroveň, což jsou jednotlivé sektory. Vyčerpávající režim zajistí maximální množství obnovitelných dat, ale také přidá čas na práci. Výchozí nastavení je Standardní.
Počet opakování: Toto říká TD4, kolikrát se má pokusit znovu přečíst daný blok dat, když dojde k chybě. Možnosti jsou: 0, 1, 10 a 100. Výchozí nastavení je 1.
Pozor
Nastavení počtu opakování 100 se nedoporučuje. Pokud čtení neustále chybuje po 10 pokusech, je pravděpodobné, že nikdy nebude úspěšné a další pokusy o mnoho neúspěšných čtení by mohly potenciálně poškodit již selhávající disk a ztratit drahocenný čas vyšetřování.
· Komprese: Umožňuje výběr komprese dat pro výstupy E01, Ex01 a LX01. Zaškrtnutím políčka zajistíte, že komprese dat bude použita vždy, když je to možné. Výchozí nastavení je komprimovat, pokud je to možné.
· Důkazy File Cesta: Umožňuje definovat konkrétní filenázev a adresář pro výstup files. Všimněte si, že zástupné znaky lze použít k automatickému zadávání klíčových informací do filejména a/nebo výstupní adresář, a to takto:
Zástupný znak %d %t %e %s %m %c
Adresář/filedata názvu Datum (aktuální systémové datum v době pořízení) Čas (aktuální systémový čas v době pořízení) Evidenční ID pro používaný zdrojový disk Sériové číslo používaného zdrojového disku Číslo modelu používaného zdrojového disku ID případu v čase akvizice
Výchozí filejméno je obrázek. Výchozí název adresáře je td4 images/%d_%t/.
· Readback Verification: Umožňuje výběr ověření zpětného čtení, které se má provést na konci duplikace/logické obrazové části úloh, aby se zajistilo, že uložená data odpovídají tomu, co bylo získáno. Zaškrtnutím políčka Ověřit povolíte ověření zpětného přečtení pro všechny úlohy. Výběrem možnosti Výzva povolíte ověření zpětného čtení při spuštění úlohy. Výchozí nastavení je Ověřit.
· Trim Clones: Umožňuje výběr požadované cílové konfigurace „oříznutí“ pro všechny úlohy. Oříznutí cílového disku znamená, že na cílový disk bude aplikováno DCO nebo AMA (pokud je podporuje), takže velikost cílového disku bude vypadat, že odpovídá velikosti původního zdrojového klonu. Možnosti jsou: Nikdy, Když je to možné a Dotázat se. Výběr Výzva umožní vybrat nastavení Trim Clones při spuštění úlohy. Výchozí nastavení je Nikdy.
ISTD230400-UGD-CS-1
Uživatelská příručka
21
Kapitola 3 Konfigurace TD4
Poznámka: Aby klonování fungovalo, musí zvolený cílový disk podporovat DCO nebo AMA.
· Zvuk: Umožňuje výběr úrovně hlasitosti systému, která se použije pro všechna zvuková upozornění. Výběr pole Nečinné cvrlikání způsobí, že zvuk dokončení úlohy se bude opakovaně přehrávat každou minutu, dokud se nezavře obrazovka stavu úlohy. Pamatujte, že i když je cvrlikání při nečinnosti zakázáno, zvuk dokončení úlohy se na konci úlohy jednou přehraje a indikátor LED bude blikat stav dokončení, dokud se obrazovka stavu úlohy nezavře. Ve výchozím nastavení je povoleno cvrlikání při nečinnosti.
· Zobrazení času: Umožňuje vybrat zobrazené časové pásmo systému a režim zobrazení času (12hodinový nebo 24hodinový). Změny nastavení zobrazení času musí být výslovně uloženy, aby se projevily. Mějte na paměti, že změna nastavení souvisejících s časem není povolena, když je úloha spuštěna. Výchozí nastavení režimu zobrazení je 12hodinový režim.
· Systémový čas: Umožňuje zadání systémového času. Změny nastavení systémového času musí být výslovně uloženy, aby se projevily. Mějte na paměti, že změna nastavení souvisejících s časem není povolena, když je úloha spuštěna.
· System Date: Umožňuje zadání systémového data. Změny nastavení systémového data musí být výslovně uloženy, aby se projevily. Mějte na paměti, že změna nastavení souvisejících s časem není povolena, když je úloha spuštěna.
· Jas: Umožňuje výběr jasu obrazovky LCD.
· Virtuální klávesnice: Poskytuje možnost vždy zobrazit virtuální klávesnici na obrazovce, i když je detekována externí klávesnice. To je užitečné pro konkrétní scénář, kdy je do TD4 zapojena jednotná (dvouúčelová) bezdrátová klávesnice/myš, ale používá se pouze část myši. Vyberte možnost „Vždy zobrazit“, abyste zajistili, že se virtuální klávesnice v této situaci zobrazí. Ve výchozím nastavení je virtuální klávesnice skrytá, když je detekována klávesnice USB.
· Jazyk: Umožňuje výběr jazyka systému. Možnosti jsou: němčina, angličtina, španělština, francouzština, korejština, portugalština, turečtina a čínština. Výchozí jazyk je angličtina.
Poznámka: Když se změní jazyk systému, virtuální klávesnice se automaticky přepne na tento jazyk. V případě potřeby lze virtuální klávesnici ručně změnit na jazyk, který se liší od nastavení jazyka systému. Chcete-li ručně vybrat jazyk virtuální klávesnice, klepněte na vstupní pole a poté klepnutím na tlačítko lokalizace na klávesnici vyberte požadovaný jazyk.
22
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
3.2. Konfigurace TD4
3.2.2 Administrace
V některých forenzních pracovních prostředích může být žádoucí zakázat neoprávněným uživatelům přístup k jednotce nebo změnu určitých nastavení. TD4 umožňuje uživateli na administrativní úrovni uzamknout určité oblasti uživatelského rozhraní, aby takové ovládání umožnilo. Klepnutím na tlačítko Správa v nabídce Navigace systému spusťte toto nastavení. Úvodní obrazovka nastavení správy je zobrazena níže.
Začněte klepnutím na Povolit správu. Prvním krokem je nastavení šestimístného PIN pro správu. Pro zajištění přesnosti je nutné zadat PIN dvakrát.
Jakmile je správa povolena, lze pro blokování přístupu komukoli bez kódu PIN vybrat následující oblasti:
· Zámek spouštění systému: Je-li vybráno, jednotka se zavede přímo na klávesnici s kódem PIN a pro použití jednotky bude nutné zadat PIN správce.
· Konfigurace duplikace: Je-li povoleno, budou následující nastavení duplikace vyžadovat k provedení jakýchkoli změn PIN správce:
Hashe
ISTD230400-UGD-CS-1
Uživatelská příručka
23
Kapitola 3 Konfigurace TD4
'Duplikovat' File Typ Max File Evidence komprese zotavení po chybě velikosti File Ořezové klony ověření zpětného čtení cesty
Snímek obrazovky níže ukazuje nabídku Nastavení poté, co byla pro konfiguraci duplikace povolena správa správy. Všimněte si štítu s ikonou zaškrtnutí vedle položek nastavení uvedených výše. Označuje, která nastavení budou ke změnám vyžadovat PIN správce. Všichni uživatelé budou moci view aktuální nastavení, ale při každém pokusu o změnu kteréhokoli ze zamčených nastavení bude uživatel vyzván k zadání PIN správce.
Chcete-li deaktivovat správu TD4, poklepejte na Správa z navigační nabídky systému a poté na Vypnout správu. Pro dokončení deaktivace bude nutné zadat administrátorský PIN.
24
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
3.2. Konfigurace TD4
Poznámka: Pokud byla povolena správa, i když nebyla vybrána žádná z jednotlivých možností ovládání, bude k aktualizaci firmwaru na jednotce vyžadován PIN správce. Tím se zabrání obcházení nastavení správy downgradem firmwaru.
3.2.3 Uzamčení systému
Může být žádoucí uzamknout váš systém TD4 bez dozoru, abyste zajistili, že se nezmění žádná nastavení nebo že se vaše aktivní úlohy žádným způsobem nezmění. Chcete-li zamknout systém, jednoduše klepněte na položku Uzamknout systém v nabídce Navigace systému. Objeví se obrazovka, která umožňuje zadání šestimístného osobního identifikačního čísla (PIN), jak je uvedeno níže.
K ověření PIN budete muset zadat šestimístný kód podruhé. Po ověření kódu PIN se jednotka uzamkne a na obrazovce se zobrazí pouze pole PIN.
Pro odemknutí systému stačí zadat PIN.
Poznámka: Tlačítko v levé dolní části klávesnice umožňuje náhodné rozložení číslic na klávesnici. To lze použít k zajištění toho, že běžně používané kódy PIN nevytvářejí na obrazovce zřetelný vzor.
ISTD230400-UGD-CS-1
Uživatelská příručka
25
Kapitola 3 Konfigurace TD4
Tento mechanismus zamykání PIN je dočasný v tom smyslu, že každá událost odemknutí udrží jednotku odemknutou, dokud nebude znovu uzamčena. Pamatujte, že vypnutím a zapnutím TD4 se vymaže zámek PIN obrazovky.
3.2.4 Aktualizace firmwaru TD4
Firmware TD4 je uložen na trvalém, nevyměnitelném paměťovém zařízení uvnitř jednotky. Když bude na OpenText k dispozici aktualizace firmwaru TD4 web(Tableau Download Center), můžete si stáhnout balíček firmwaru file a použijte jej k aktualizaci jednotky.
Poznámka: Aktualizaci firmwaru nelze spustit, když je úloha spuštěna.
Chcete-li aktualizovat firmware TD4, přejděte do centra stahování Tableau na adrese https://www.opentext.com/products/tableau-download-center a postupujte takto:
1. Najděte část TD4 na stránce Tableau Download Center a klepněte na nejnovější firmware file odkaz pro zahájení stahování do vašeho počítače.
Poznámka: Balíček firmwaru TD4 files mají soubor .td4_pkg file rozšíření.
2. Zkopírujte stažený balíček firmwaru file na USB flash disk a poté tuto jednotku vysuňte a vyjměte z počítače.
3. Vložte USB klíč do libovolného USB portu TD4. 4. Přejděte do nabídky System Navigation Menu klepnutím na ikonu na levé straně
horní navigační lišta. Poté klepněte na položku nabídky O aplikaci. 5. Na obrazovce O aplikaci klepněte na tlačítko Aktualizovat firmware. 6. Vyberte příslušný disk/filesystému klepnutím na filesystémová dlaždice. 7. Přejděte do umístění požadovaného souboru .td4_pkg file a klepněte na to file. 8. Jakmile jste si jisti, že chcete zahájit aktualizaci s vybraným file, klepněte na
Tlačítko Vybrat v pravé dolní části obrazovky.
TD4 zahájí proces aktualizace firmwaru pomocí vybraného firmwaru file.
Pozor
Jakmile začne proces aktualizace firmwaru, neodstraňujte ani nepřidávejte žádné jednotky, nevypínejte jednotku ani neodpojujte napájení jednotky. Mohlo by dojít k problémům s procesem aktualizace firmwaru, které by mohly vést k nefunkčnosti TD4. Pokud by během procesu aktualizace firmwaru došlo k něčemu, co by mělo za následek selhání aktualizace, je možné, že bude vyžadována procedura obnovení firmwaru. Informace o procesu obnovy firmwaru naleznete v části „Odstraňování běžných problémů“ na stránce 92.
TD4 se po dokončení procesu aktualizace automaticky restartuje do nového firmwaru.
26
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
3.3. Připojení pohonů
Všimněte si, že hodnota hash SHA-256 aktuálně načteného balíku firmwaru se vypočítá a zobrazí v horní části obrazovky O aplikaci spolu s plnou verzí firmwaru. To umožňuje ověřit, že je spuštěna správná verze firmwaru a že nebyla změněna. Pro účely ověření hash je hodnota hash pro danou verzi firmwaru k dispozici v dokumentu s poznámkami k vydání pro každou aktualizaci TD4, který je k dispozici v centru stahování Tableau na adrese https://www.opentext.com/products/tableau-download- centrum.
3.3 Připojení pohonů
Následující části poskytují informace, které umožní bezpečné a spolehlivé připojení disků k TD4.
Poznámka: U jednotek, které pro připojení k TD4 vyžadují kabely adaptéru, OpenText důrazně doporučuje ponechat kabely adaptéru zapojené do TD4 a připojit/odpojit jednotky z druhého konce kabelů. Zatímco konektory disku na TD4 jsou robustní a navržené pro mnoho cyklů spojování, připojení/odpojení disků z druhého konce kabelů pomůže maximalizovat životnost vašeho TD4.
3.3.1 Verze USB a typy konektorů
Specifikace USB se v průběhu času měnily a spolu s nimi se změnila i konvence pojmenování různých portů/rychlostí rozhraní USB. NapřampKdyž se poprvé objevilo USB 3.0 (SuperSpeed USB), rychlost rozhraní vyskočila na 5 Gbps oproti předchozí rychlosti USB 2.0 480 Mbps. S příchodem USB 3.1 byl představen koncept generací pokrývajících různé rychlosti rozhraní. NapřampUSB 3.0 SuperSpeed je ekvivalentní USB 3.1 Gen 1 při 5 Gb/s a USB 3.1 Gen 2 zdvojnásobuje tuto rychlost na 10 Gb/s. Nedávno byl vydán standard USB 3.2. Generační reference pro rychlosti však zůstává stejná jako u USB 3.1, přičemž USB 3.2 Gen 1 je 5 Gb/s a USB 3.2 Gen 2 je 10 Gb/s. Při použití nejnovějšího jazyka specifikace USB je zdrojovým USB portem TD4 USB 3.2 Gen 1 s rychlostí 5 Gb/s. Jeho cílovými porty USB jsou USB 3.2 Gen 2 s rychlostí 10 Gb/s. Pro zjednodušení jsou tyto porty na samotném TD4 označeny jako „USB“ a v této uživatelské příručce budou běžně označovány jako porty USB.
Všechny porty USB TD4 používají konektory USB typu C. Pohony typu C a kabely pohonu lze vložit do TD4 bez ohledu na orientaci. Chcete-li připojit jednotku USB typu A k TD4, je nutný adaptérový kabel Tableau TCA-USB3-AC typu A na typ C (nebo ekvivalentní komerčně dostupný adaptér).
ISTD230400-UGD-CS-1
Uživatelská příručka
27
Kapitola 3 Konfigurace TD4
3.3.2 Adaptéry pohonu
U některých portů TD4 jsou pro připojení určitých typů jednotek vyžadovány externí adaptéry. Kapitola 5 této uživatelské příručky obsahuje úplný seznam dostupných adaptérů disku Tableau. Zde je souhrn běžně používaných adaptérů:
Typ disku Přídavná karta PCIe SSD m.2 PCIe SSD Apple PCIe SSD 2013+ u.2 SSD (PCIe) IDE Apple PCIe SSD 2016+ FireWire mSATA/m.2 SATA SSD
Adaptér Tableau Číslo dílu TDA7-1 TDA7-2 TDA7-3 TDA7-4 TDA7-5 TDA7-7 TDA7-9 TDA3-3
3.3.3 Pohon dlaždic
Na levé a pravé straně domovské obrazovky najdete dlaždice jednotek, které odpovídají portům připojení fyzické jednotky. Tyto dlaždice budou zašedlé pro všechny porty, které nemají připojenou jednotku. Když je disk připojen k danému portu, tato dlaždice se stane aktivní a lze na ni klepnout, abyste získali podrobné informace o tomto disku a provedli akce specifické pro disk.
Poznámka: Dlaždice jednotky pro zadní port příslušenství USB se zobrazí pouze tehdy, když je k tomuto portu připojena jednotka. Zobrazí se pod ikonou System Navigation Menu v levém horním rohu domovské obrazovky.
3.3.4 Zdrojové jednotky
TD4 spouští vždy jednu forenzní úlohu a v důsledku toho byl navržen tak, aby umožňoval připojení pouze jedné zdrojové jednotky najednou. K TD4 lze fyzicky připojit více zdrojových jednotek a nezpůsobí to žádné poškození zařízení. Pokud je však připojeno více než jeden zdrojový disk, dlaždice zdrojového disku se zbarví červeně a všechny operace, které vyžadují zdrojový disk (Duplikace, logický obraz, hash a obnovení), budou zakázány. Verify je jediná operace, kterou lze stále provádět s více připojenými zdrojovými jednotkami, protože používá pouze cílové jednotky.
Připojte jednotku (nebo adaptér jednotky s jednotkou na svém místě) k jednomu z rozhraní zdroje TD4 (vlevo): SATA/SAS, PCIe, USB. Přidružená dlaždice jednotky uživatelského rozhraní se stane aktivní a lze na ni klepnout view podrobné informace o jednotce a provádění akcí specifických pro jednotku. U zdrojových disků jsou dostupné akce disku následující:
· Procházet filesystémy
28
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
3.3. Připojení pohonů
· Blank check · Odebrat HPA/DCO/AMA · Odemknutí šifrování Tableau
Může být také shrnutí úlohy specifické pro daný disk viewed na obrazovce podrobností disku s odkazem na view filtrovaný seznam historie úloh pro daný disk. Tlačítko Eject pro každý disk se nachází v pravé dolní části obrazovky s podrobnostmi o disku.
3.3.5 Cílové jednotky
Připojte jeden nebo více disků k cílové (pravé) straně TD4: SATA (x2), PCIe a/nebo USB (x2). Přidružené dlaždice jednotky uživatelského rozhraní se stanou aktivními a lze na ně klepnout view podrobné informace o jednotce a provádění akcí specifických pro jednotku. U cílových jednotek jsou dostupné akce jednotky následující:
· Procházet filesystémy · Kontrola smazání · Překonfigurovat (podrobné informace naleznete v části „Překonfigurovat“ na stránce 42
o cílové jednotce Funkce překonfigurování) · Odemknutí šifrování Tableau
Může být také shrnutí úlohy specifické pro jednotku viewed na této obrazovce s odkazem na view filtrovaný seznam Historie úloh pro daný disk. Tlačítko Eject pro každý disk se nachází v pravé dolní části obrazovky s podrobnostmi o disku.
Podrobnosti o spouštění úloh duplikace a logického obrazu viz „Duplikování“ na stránce 58 a „Provádění logického obrazu“ na stránce 69.
3.3.6 Přídavné pohony
Na zadní straně TD4 je k dispozici port USB pro příslušenství. Tento port lze použít k připojení jednotky USB, aby bylo možné exportovat protokoly úloh nebo aktualizovat firmware TD4. Lze jej také použít k připojení klávesnice a/nebo myši (kabelové nebo bezdrátové).
Pozor
Port USB příslušenství na zadní straně TD4 není chráněn proti zápisu! K tomuto portu by nikdy neměla být připojena důkazní média.
Když je k TD4 připojena a detekována jednotka USB s příslušenstvím, objeví se malá dlaždice jednotky přímo pod ikonou nabídky System Navigation Menu v levém horním rohu uživatelského rozhraní.
ISTD230400-UGD-CS-1
Uživatelská příručka
29
Kapitola 3 Konfigurace TD4
3.3.7 Detekce pohonu
Po spuštění začne TD4 postupně detekovat připojené disky. Dlaždice neaktivních jednotek zobrazené na levé a pravé straně obrazovky budou plně viditelné a aktivní, když je jednotka rozpoznána. Klepněte na kteroukoli dlaždici jednotky view podrobné informace o připojeném disku a provádění akcí specifických pro daný disk. Další informace o dostupných akcích naleznete v části „Zdrojové jednotky“ na stránce 28 a „Cílové jednotky“ na stránce 29 dříve v této kapitole.
Obrázek níže ukazuje domovskou obrazovku TD4 s následujícími připojenými jednotkami: zdroj USB, příslušenství USB, cíl SATA, cíl PCIe.
30
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
3.4. Vypnutí TD4
3.4 Vypnutí TD4
Chcete-li TD4 vypnout, jednoduše stiskněte tlačítko napájení v levém horním rohu jednotky. Potvrďte požadavek klepnutím na tlačítko Vypnout nebo klepnutím na tlačítko Storno ponechte jednotku zapnutou.
V některých případech může být žádoucí vypnout napájení TD4 po dokončení aktuální úlohy. V případě provádění úlohy přes noc nebo přes víkend s jednotkou bez dozoru to může pomoci snížit spotřebu energie a zbytečnou dobu běhu na připojených jednotkách. Chcete-li TD4 po dokončení aktuální úlohy vypnout, jednoduše stiskněte tlačítko napájení v levém horním rohu jednotky jako obvykle a poté klepněte na tlačítko Vypnout. Aktuální úloha bude dokončena a poté se jednotka sama vypne. To bude fungovat pro jakýkoli typ práce.
Poznámka: Pokud se použije výše popsaná metoda vypnutí tlačítkem napájení, není třeba před vypnutím TD4 vysouvat žádné připojené jednotky. Použití této správné metody vypnutí umožňuje softwaru čas uvést do klidu všechny aktivní úlohy a vysunout jednotky před vypnutím jednotky. Vynucování vypnutí TD4 vytažením napájecího kabelu nebo podržením tlačítka napájení se nedoporučuje, protože by mohlo dojít k poškození jakéhokoli existujícího oddílu/filesystémové informace.
ISTD230400-UGD-CS-1
Uživatelská příručka
31
Kapitola 4
Pomocí TD4
Tato kapitola obsahuje podrobné postupy a informace pro používání TD4.
4.1 Domovská obrazovka
Domovská obrazovka TD4 zobrazuje dlaždice funkcí pro zahájení následujících forenzních úloh: · Duplikovat · Logický obrázek · Hash · Ověřit · Obnovit Obsahuje také dlaždice pro zadávání/viewzákladní informace, a to následovně: · Informace o případu · Historie úloh
ISTD230400-UGD-CS-1
Uživatelská příručka
33
Kapitola 4 Používání TD4
Každou dlaždici funkcí lze otevřít a zobrazit další informace, zadat data a případně spustit související úlohu. V závislosti na různých podmínkách se úloha buď spustí okamžitě po stisknutí tlačítka Start, nebo se zobrazí obrazovka pokročilých nastavení, která umožní konfiguraci konkrétních nastavení před zahájením úlohy. Další podrobnosti o každé funkci domovské obrazovky naleznete dále v této kapitole.
Na horním navigačním panelu jsou tlačítka pro rychlý přístup k systémové navigační nabídce a domovské obrazovce view aktuální čas. Klepnutím na název modelu TD4 v horní navigační liště se dostanete na domovskou obrazovku.
Poznámka: V případě abnormálních podmínek chlazení se v horní navigační liště vpravo od ikony System Navigation Menu zobrazí ikona tepelného varování. Takové varování se za normálních provozních podmínek nikdy nezobrazí. Další informace naleznete v části „Problémy s teplotou“ na stránce 94.
34
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.2. Podrobnosti o disku
4.2 Podrobnosti o disku
Na levé a pravé straně domovské obrazovky najdete dlaždice jednotek, které odpovídají portům připojení fyzické jednotky. Tyto dlaždice budou neaktivní pro všechny porty, které nemají připojenou jednotku. Když je disk připojen k danému portu, tato dlaždice se stane aktivní a lze na ni klepnout, abyste získali podrobné informace o disku a provedli akce specifické pro disk.
Poznámka: Dlaždice jednotky pro zadní port příslušenství USB se zobrazí pouze tehdy, když je k tomuto portu připojena jednotka. Zobrazí se pod ikonou System Navigation Menu v levém horním rohu domovské obrazovky.
Viz "Viewzdroje a cíle“ na stránce 39, kde najdete další informace o obrazovce podrobností o disku a souvisejících funkcích.
4.3 Navigační nabídka systému
Klepnutím na ikonu nabídky System Navigation Menu v levém horním rohu horní navigační lišty zobrazíte nabídku System Navigation Menu TD4, jak je znázorněno níže. Další informace o položkách v této nabídce naleznete v části „Konfigurace TD4“ na stránce 19.
ISTD230400-UGD-CS-1
Uživatelská příručka
35
Kapitola 4 Používání TD4
4.4 Stav práce
Po spuštění úlohy se automaticky zobrazí obrazovka jejího stavu. Tato stavová obrazovka zobrazuje podrobnosti o dané úloze, včetně záhlaví zobrazující typ úlohy, její stav, čas zahájení a ukončení, celkovou datovou rychlost, zbývající čas a procento dokončení. Spodní část obrazovky stavu úlohy zobrazuje další podrobnosti o úloze, včetně hodnot hash (pokud jsou k dispozici) postupu dílčích kroků (např.ample, Duplikace oddělená od ověření v úloze duplikace/ověřování), souhrn nastavení a seznam jednotek zapojených do úlohy. Klepnutím na dlaždici jednotky se otevře obrazovka s podrobnostmi o jednotce, která poskytuje a view všech dostupných informací o disku. Pevná spodní oblast obrazovky stavu úlohy obsahuje tlačítka pro export forenzního protokolu pro danou úlohu a pro zrušení úlohy. Bývalýample aktivní obrazovky stavu úlohy Duplikace je zobrazena níže.
Poznámka: Pokud je obrazovka stavu úlohy zavřená, stručné shrnutí stavu úlohy je stále k dispozici v rozbalené dlaždici funkcí na domovské obrazovce. Klepnutím na spodní část této funkční dlaždice se znovu otevře obrazovka stavu úlohy. Když je úloha spuštěna, v horní navigační liště vpravo od názvu modelu TD4 se zobrazí kruhový číselník. Klepnutím na číselník se znovu otevře obrazovka stavu úlohy.
36
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.5. Historie zaměstnání
Po dokončení úlohy se zobrazí obrazovka stavu úlohy a zobrazí se konečný stav dané úlohy.
Pokud po dokončení úlohy zůstane obrazovka stavu úlohy otevřená, indikátory stavu dokončení budou pokračovat, dokud se obrazovka stavu úlohy nezavře. Mezi tyto indikátory stavu dokončení patří blikající stavová LED dioda a, pokud je v nastavení systému povoleno Idle Chirp, zvukové upozornění (jednou za minutu). Pokud je pípnutí při nečinnosti zakázáno, zvukové upozornění na dokončení úlohy bude poskytnuto pouze jednou.
4.5 Historie práce
Obrazovky stavu úlohy mohou být viewed ze seznamu úloh, který je přístupný z dlaždice Historie úloh na domovské obrazovce. Klepnutím na spodní část rozbalené dlaždice Historie úloh se otevře seznam úloh pro danou jednotku. Úlohy v tomto seznamu jsou uloženy v jednotce a přetrvávají po celou dobu zapnutí. Všechny aktivní úlohy se zobrazí v seznamu s aktivním modrým ukazatelem průběhu. Úspěšně dokončené úlohy se zobrazí s plným zeleným ukazatelem průběhu. U zrušených úloh se zobrazí částečně vyplněný žlutý ukazatel průběhu. A neúspěšné úlohy se zobrazí s částečně vyplněným červeným ukazatelem průběhu. Klepnutím na konkrétní dlaždici úlohy ze seznamu se otevře obrazovka stavu úlohy pro tuto úlohu. Bývalýample seznamu Historie úloh je uveden níže.
ISTD230400-UGD-CS-1
Uživatelská příručka
37
Kapitola 4 Používání TD4
Jak je vidět v horní části obrazovky Historie úloh výše, aktuální případ (jak je identifikován nastavením ID případu) je zobrazen spolu s počtem různých případů zahrnutých v seznamu Historie úloh.
V některých situacích to může být výhodné view a spravovat (exportovat nebo mazat) pouze podmnožinu úloh ze seznamu. Chcete-li filtrovat seznam úloh, klepněte na ikonu filtru v pravé horní části obrazovky Historie úloh. Lze přidat kritéria filtru, aby se zobrazily pouze požadované úlohy. Pamatujte, že když je použito více kritérií, musí se všechna shodovat, aby se úloha zobrazila ve filtrovaném seznamu. Seznam úloh lze filtrovat na základě následujících kritérií:
· Jméno zkoušejícího
· ID případu
· Pracovní poznámky
· Prodejce pohonů
· Model pohonu
· Sériové číslo disku
Poznámka: Existuje snadný způsob, jak filtrovat seznam Historie úloh tak, aby zobrazoval pouze úlohy spojené s konkrétní jednotkou. Chcete-li tak učinit, klepněte na požadovanou dlaždici jednotky z
38
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.6. Viewzdrojů a destinací
Domovská obrazovka. Přejděte na část Souhrn úloh ve spodní části obrazovky s podrobnostmi o disku a klepněte na View knoflík. Zobrazí se seznam pouze úloh spojených s tímto diskem. V tom můžete filtr rozšířit view zobrazíte konkrétní kritéria, která byla použita k filtrování seznamu.
Chcete-li exportovat protokoly spojené s úlohami v seznamu Historie úloh, klepněte na tlačítko Exportovat v levé dolní části obrazovky Historie úloh. Vyberte požadované filesystému a složky a poté klepněte na tlačítko Exportovat v pravém dolním rohu okna procházení.
Chcete-li odstranit úlohy zobrazené v seznamu Historie úloh, klepněte na tlačítko Odstranit v pravé dolní části obrazovky Historie úloh a postupujte podle pokynů.
Poznámka: Při exportu protokolu i při odstraňování úlohy budou provedeny všechny úlohy zobrazené v seznamu Historie úloh. Pokud nejsou nastaveny žádné filtry, všechny protokoly/úlohy budou exportovány nebo smazány. Pokud je filtr použit k zobrazení pouze podmnožiny celkového seznamu úloh, budou exportovány nebo odstraněny pouze tyto protokoly/úlohy.
Na TD100 lze uložit až 4 úloh. Po dosažení tohoto limitu bude zahájení všech následujících úloh vyžadovat potvrzení, že nejstarší úloha bude automaticky odstraněna. Abyste se vyhnuli tomuto neefektivnímu kroku spouštění úlohy, doporučuje se na konci každého případu exportovat protokoly a poté úlohy smazat.
Další informace týkající se forenzních protokolů TD79 naleznete v části „Forenzní protokoly“ na stránce 4.
4.6 Viewzdrojů a destinací
Chcete-li otevřít obrazovku s podrobnostmi o disku pro zdroj nebo cíl, klepněte na požadovanou dlaždici jednotky na domovské obrazovce TD4. Panely jednotek jsou zobrazeny na levé (zdroj) a pravé (cílové) straně uživatelského rozhraní TD4. Obrazovka s podrobnostmi o jednotce pro zdrojovou jednotku SATA je zobrazena níže.
ISTD230400-UGD-CS-1
Uživatelská příručka
39
Kapitola 4 Používání TD4
Pole Evidence ID v horní části obrazovky podrobností disku umožňuje zadat stručný popis disku. Tato hodnota Evidence ID je neformální způsob, jak identifikovat disky, což umožňuje jejich snadnější rozpoznání v uživatelském rozhraní TD4. Toto ID Evidence se objeví na obrazovkách s podrobnostmi o jednotce a na kartách jednotek, které jsou vidět na různých místech, například v částech Zdroj a Cíl(e) obrazovky stavu úlohy. Evidenční ID se také objeví ve forenzních protokolech. Pokud pro daný disk není zadáno žádné Evidenční ID, bude disk identifikován jménem dodavatele, modelem a sériovým číslem.
Po poli Evidence ID se v horní části obrazovky podrobností disku zobrazí klíčové informace o vybraném disku, jako je velikost, dodavatel, model, revize firmwaru, sériová čísla, velikost sektoru a dostupné (nahlášené) sektory. Na jednotkách USB se zobrazí další informace, včetně specifického sériového čísla USB.
Sekce Obsah na obrazovce s podrobnostmi o disku poskytuje informace o tom, co je na disku, a umožňuje také akce specifické pro disk, jako je kontrola smazání, překonfigurování (pouze cíle), Odebrání HPA/DCO/AMA (pouze zdroje) a šifrování Tableau. Odemknout. Pro disky s detekovatelným filesystémů, horní část sekce Obsah označuje typ tabulky oddílů, počet oddílů a počet filesystémy. Každý detekovatelný filesystém bude mít a filesystémová karta, která zobrazuje více informací o fileSystém. Chcete-li procházet a filesystému, klepněte na filesystémová karta. Pokud má disk nějaká omezení sektoru (HPA/DCO/AMA), a
40
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.6. Viewzdrojů a destinací
v horní části sekce Obsah se zobrazí varovná zpráva. Takový
sektorová omezení jsou také označena ikonou připojenou k dlaždicím jednotky na domovské obrazovce.
Část Úlohy na obrazovce Podrobnosti o disku poskytuje informace o úlohách, které byly s tímto diskem provedeny. Počet úloh udává počet všech forenzních úloh provedených pomocí tohoto disku a zahrnuje následující operace: Duplikace, Logické obrazy, Hash, Ověřování, Překonfigurování, Prázdné kontroly, Obnovení a Odstranění omezení sektorů. Počet dokončených akvizic udává počet plně dokončených úloh typu úspěšné akvizice, jmenovitě duplikací a logických obrazů. Pokud mají všechny úlohy pro daný disk stejné ID případu, toto ID případu se zobrazí také v této části. Pokud je k danému disku přiřazeno více ID případu, v poli ID případu se zobrazí „Více“. The View tlačítko v pravém dolním rohu sekce Úlohy zobrazí filtrovaný seznam Historie úloh zobrazující pouze úlohy spojené s daným konkrétním diskem.
V pravé dolní části jakékoli obrazovky Podrobnosti o disku je tlačítko Eject. Jednoduše klepněte na tlačítko Vysunout a odpovězte na výzvu k vysunutí disku ze systému. Vysunutí jednotky jej bezpečným způsobem odebere ze systémového softwaru a doporučuje se před odpojením jakéhokoli připojeného média z napájeného TD4 a před vypnutím TD4 s připojenými jednotkami. Zejména u cílových a přídavných jednotek (protože jsou určeny ke čtení/zápisu) může selhání při vysunutí jednotky před odebráním ze systému poškodit jednotku filesystému, což by mohlo vést ke ztrátě dříve zachycených důkazů/dat. Pamatujte, že vysunutí média používaného v úloze nebude povoleno, dokud nebude úloha dokončena.
Kromě uvedení disku do klidového stavu za účelem odebrání systému, stisknutí tlačítka Eject vydá příkaz ATA spin down pro disky, které jej mohou podporovat. Rotující jednotky pevného disku se doporučuje roztočit, aby se minimalizovala možnost poškození plotny při fyzickém vyjmutí jednotky ze systému. Všimněte si, že ne všechny disky podporují tento příkaz a některým může trvat déle, než se vysunou ze systému kvůli nedostatku podpory příkazů spin down. To je však považováno za menší nepříjemnost ve srovnání s výhodou minimalizace možnosti poškození disku.
Pozor
Důrazně se doporučuje vysunout všechny disky ze systému, než je fyzicky odeberete z TD4. Disky se tak uvedou do klidového stavu, což zajistí stabilitu systému a integritu dat na discích.
U médií připojených k portům TD4 PCIe je před vyjmutím vyžadováno vysunutí. Vyměnitelné jednotky PCIe za chodu bez jejich vysunutí může způsobit nestabilitu systému a nepředvídatelné chování/výkon TD4.
Nucené odpojení napájení (vytažením napájecího kabelu nebo podržením tlačítka napájení) může způsobit problémy s připojenými jednotkami, včetně poškození informací o formátování. Pokud je to možné, důrazně se doporučuje vypnout napájení prostřednictvím uživatelského rozhraní (rychlým stisknutím tlačítka napájení), které před vypnutím jednotky automaticky vysune všechny připojené jednotky.
ISTD230400-UGD-CS-1
Uživatelská příručka
41
Kapitola 4 Používání TD4
4.6.1 Blank check
Nástroj Blank Check zkontroluje disk na přítomnost smysluplných dat. Chcete-li se dostat na obrazovku Nastavení kontroly smazání, klepněte v části Obsah na libovolné obrazovce s podrobnostmi o disku na položku Kontrola smazání.
V následující tabulce jsou uvedeny podrobnosti o možnosti Prázdná kontrola:
Možnost Rychlý
Náhodný
Lineární
Popis
Rychle zkontroluje, zda se disk zdá být prázdný, načtením a kontrolou sektorů v hlavním spouštěcím záznamu, primárním GPT a sekundárním GPT.
Provede rychlou kontrolu a poté náhodně načte až 75 % dostupných sektorů, aby zjistil, zda jsou prázdné. Kontrola blanku se zastaví, jakmile je detekován neprázdný datový vzor.
Lineárně čte až 100 % dostupných sektorů a zkontroluje, zda je disk prázdný. Kontrola blanku se zastaví, jakmile je detekován neprázdný datový vzor.
Sektor je považován za prázdný, pokud obsahuje pouze stejný opakovaný 2bajtový vzor. Jakýkoli neopakující se vzor je považován za neprázdný. Každý jednotlivý sektor však může obsahovat různé opakující se vzory. Pokud se zjistí, že některý sektor není prázdný, disk se nepovažuje za prázdný a kontrola prázdného místa se zastaví.
Poznámka: Možnosti Rychlá a Náhodná kontrola prázdného místa neprovádějí vyčerpávající kontroly celého disku. Podle rychlé nebo náhodné kontroly se může disk zdát prázdný, zatímco stále uchovává forenzně relevantní informace.
4.6.2 Překonfigurovat
Nástroj Reconfigure umožňuje provádět akce specifické pro jednotku, většinou související s přípravou cílové jednotky pro použití pro budoucí úlohy duplikace a logického zobrazování. Vzhledem k povaze akcí, které jsou k dispozici v tomto nástroji, měnící disk, je Reconfigure k dispozici pouze pro cílové disky. Chcete-li otevřít obrazovku nastavení nástroje Reconfigure (zobrazeno níže), klepněte na Reconfigure v části Contents na obrazovce podrobností o disku.
42
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.6. Viewzdrojů a destinací
Překonfigurovat umožňuje sekvenční dokončení požadovaných úloh bez nutnosti zásahu uživatele. To usnadňuje provádění běžných kroků přípravy cílového média automatizovaným způsobem, aniž byste museli provádět každý z nich jako samostatný krok. NapřampCílovou jednotku lze vymazat a poté naformátovat v jedné úloze výběrem možnosti Vymazat a formátovat, nastavením možností pro každý dílčí krok a klepnutím na tlačítko Start. Všimněte si, že uvedené pořadí volitelných dílčích funkcí Reconfigure je záměrné a odpovídá pořadí, ve kterém budou použity na měnič. Podrobnosti o každé dílčí funkci Reconfigure jsou uvedeny v podsekcích níže.
4.6.2.1 Odstraňte sektorová omezení
V minulosti bylo nejběžnější metodou záměrného omezení uváděné kapacity disku použití sad funkcí ATA HPA (chráněná oblast hostitele) a/nebo DCO (překrytí konfigurace zařízení). Počínaje aktualizací specifikace ACS-3 (ATA/ATAPI Command Set 3) byl představen koncept Addressable Maximum Address (AMA). Novější disky mohou podporovat tuto metodu omezení hlášené kapacity disku. TD4 podporuje všechny tyto metody s automatickou detekcí, identifikací a upozorněním, díky čemuž bude jejich řešení bezproblémové a snadné. Z forenzního hlediska view, je cenné vědět, zda se používají HPA, DCO nebo AMA. S těmito znalostmi může forenzní odborník učinit informované rozhodnutí o tom, zda získá data ve skrytých oblastech disku.
ISTD230400-UGD-CS-1
Uživatelská příručka
43
Kapitola 4 Používání TD4
Všimněte si, že tyto metody (HPA/DCO a AMA) se vzájemně vylučují. Jednotka, která podporuje HPA/DCO, nebude podporovat AMA a jednotka, která podporuje AMA, nebude podporovat HPA/DCO. Také, zatímco HPA a DCO jsou související funkce pro daný disk, HPA má jedinečný atribut (volatilní nebo dočasné odstranění), který jej odlišuje od DCO a AMA. Z tohoto důvodu se tato část bude zabývat odstraněním těkavých HPA jako samostatným tématem, než se bude zabývat energeticky nezávislým (trvalým) odstraněním HPA/DCO nebo AMA.
TD4 také poskytuje možnost „odložit“ DCO nebo AMA, což znamená deaktivovat DCO nebo AMA zdrojového disku pro účely duplikace důkazů a poté vrátit stejné DCO/AMA zpět po dokončení úlohy. Viz „Duplikování“ na stránce 58, kde najdete další podrobnosti o odkládání DCO.
4.6.2.2 Odstraňování těkavých HPA
HPA lze deaktivovat bez provedení trvalé úpravy disku. Toto je známé jako nestálé nebo dočasné odstranění konfigurace HPA. Když je disk, u kterého bylo tímto způsobem odstraněn HPA, vyjmut z TD4 (nebo je jinak vypnutý) a poté znovu připojen, vždy se vrátí do původního stavu (s původním HPA nakonfigurovaným a povoleným). Protože se jedná pouze o dočasnou změnu konfigurace disku (nikoli o změnu dat uložených na disku), TD4 automaticky deaktivuje HPA na jakémkoli disku připojeném k jednomu z jeho zdrojových portů. Protože nastavení DCO a AMA lze deaktivovat pouze trvale, TD4 je automaticky nedeaktivuje na připojených zdrojových jednotkách.
V případě automatického, nestálého odstranění HPA z připojeného zdrojového disku uživatelské rozhraní TD4 jasně ukazuje, co se stalo, a uvádí, kolik sektorů HPA bylo vystaveno, jak ukazuje následující snímek obrazovky.
44
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.6. Viewzdrojů a destinací
S odkazem na výše uvedený snímek obrazovky s podrobnostmi o jednotce se skutečnost, že HPA byla odstraněna, projevuje dvěma způsoby. Za prvé, pole Velikost disku odráží plnou kapacitu disku (s odstraněným HPA). A za druhé, část Obsah ukazuje, kolik sektorů HPA bylo vystaveno červeným textem. Všimněte si, že tyto informace související s HPA jsou také zachyceny ve forenzních protokolech.
TD4 nikdy neprovádí automatické změny konfigurací omezujících kapacitu disku na cílových discích. TD4 byl navržen tak, aby soudnímu lékaři poskytl úplnou kontrolu nad cílovou jízdou. Pokud se rozhodnete omezit kapacitu cílového disku pomocí HPA, DCO nebo AMA, TD4 toto rozhodnutí nepřepíše.
ISTD230400-UGD-CS-1
Uživatelská příručka
45
Kapitola 4 Používání TD4
4.6.2.3 Odstranění netěkavých HPA/DCO/AMA
Nástroj Remove Sector Limitations trvale deaktivuje konfigurace HPA, DCO nebo AMA na vybrané jednotce. Tyto změny jsou trvalé, nelze je vrátit zpět a přetrvají po dobu cyklů napájení disku.
U cílových disků je nástroj Remove Sector Limitations součástí funkce Reconfigure, která je k dispozici v části Contents na obrazovce podrobností o disku. Klepněte na dlaždici požadovaného cílového disku na domovské obrazovce a potom klepněte na tlačítko Překonfigurovat na obrazovce s podrobnostmi o disku. Na obrazovce Reconfigure Setup vyberte Remove Sector Limitations a stiskněte tlačítko Start. Všechna identifikovaná omezení sektoru (HPA/DCO nebo AMA) budou z cílového disku odstraněna.
U zdrojových disků je nástroj Remove Sector Limitations dostupný přímo v sekci Contents na obrazovce podrobností disku. Důvodem je, že pro zdrojové disky neexistuje žádný nástroj Reconfigure, protože většina možností Reconfigure je specificky určena pro cílové disky.
Všimněte si, že pro HPA/DCO nemůžete odebrat oblast chráněnou DCO na disku, aniž byste zároveň neodstranili jakoukoli oblast chráněnou HPA, jak je definováno ve specifikaci ATA.
Pokud má disk nakonfigurován HPA/DCO nebo AMA, zobrazí se v části Obsah na obrazovce podrobností disku červená varovná zpráva udávající počet sektorů, které HPA/DCO/AMA skrývá. Ikona se také zobrazuje na okraji dlaždice jednotky na domovské obrazovce a v horní části obrazovky s podrobnostmi o jednotce, aby bylo možné na první pohled identifikovat přítomnost konfigurace omezující sektor. Snímek obrazovky níže ukazuje obrazovku s podrobnostmi o disku s oblastí chráněnou DCO.
46
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.6. Viewzdrojů a destinací
Disky IDE s DCO vyžadují u TD4 zvláštní ohledy. Změny nastavení DCO vyžadují zapínání a vypínání disku, které u přímo připojených SATA disků provádí automaticky TD4. Protože však napájení jednotky IDE lze zajistit několika způsoby, nemůže TD4 deterministicky cyklicky zapínat napájení jednotky IDE.
Chcete-li zakázat DCO na jednotce IDE, ujistěte se, že jednotka IDE (přes TDA7-5) je jedinou připojenou zdrojovou jednotkou, a poté proveďte následující kroky:
1. Klepněte na Remove Sector Limitations na obrazovce s podrobnostmi o zdrojovém disku a potvrďte, že je pro spuštění úlohy požadováno odstranění DCO.
2. Klepněte na Vysunout v pravé dolní části obrazovky s podrobnostmi o disku.
3. Odpojte napájení jednotky IDE.
4. Odstraňte TDA7-5 z TD4.
5. Znovu připojte TDA7-5 (s připojeným IDE diskem) k TD4.
6. Znovu připojte napájení k jednotce IDE.
Poznámka: Speciálně pro disky IDE připojené přes TDA7-5 bude forenzní protokol pro úlohu odstranění DCO/AMA hlásit úspěšné dokončení operace odstranění DCO ihned poté, co byl disku vydán příkaz. TD4
ISTD230400-UGD-CS-1
Uživatelská příručka
47
Kapitola 4 Používání TD4
nemá žádný způsob, jak zjistit, zda byl příkaz skutečně dokončen na úrovni jednotky. Stav DCO by měl být ručně ověřen po dokončení restartu a před spuštěním následujících úloh.
4.6.2.4 Mazání místa určení nebo pohonů příslušenství
Nástroj Wipe media poskytuje šest typů mazání pro cílové jednotky a jednotky příslušenství. Níže uvedená tabulka poskytuje podrobné informace o každém typu podporovaného vymazání.
Poznámka: Pokud je na disku, který hodláte vymazat, přítomna konfigurace HPA/DCO/AMA a chcete vymazat celý disk (nejen odkrytou část), vyberte funkci Odebrat omezení sektorů na obrazovce Překonfigurovat nastavení spolu s Funkce vymazání před spuštěním úlohy Překonfigurovat.
Pozor
Mazání jednotek vede k trvalému zápisu na médium, což může způsobit abnormálně vysoké tepelné provozní podmínky uvnitř jednotky. OpenText důrazně doporučuje používat ventilátor nebo externí chladič disku při stírání média na TD4, aby se předešlo tepelnému poškození jednotek.
Možnost Přepsat
Popis
Single Pass: TD4 zapíše konstantní vzor (všechny nuly) do měniče v jediném průchodu. Ověření je volitelné.
Vícenásobný průchod: TD4 provede tři úplné zápisy na cílovou jednotku nebo jednotku příslušenství. První průchod zapíše nuly (0x0000) a druhý průchod jedničky (0xFFFF) a třetí průchod zapíše náhodně vybranou konstantní hodnotu mezi 0x0001 a 0xFFFE. Ověření je volitelné. Pokud je povoleno, lze jej nakonfigurovat tak, aby se ověřovalo po každém vymazání nebo pouze po posledním průchodu.
48
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.6. Viewzdrojů a destinací
Možnost Secure Erase (pouze SSD)
Sanitize – Block Erase (pouze SSD)
Sanitizovat přepsat
Popis
Příkaz ATA Secure Erase dává disku pokyn, aby resetoval všechny dostupné bloky do stavu vymazání. Způsob implementace stavu vymazání na jednotce není předepsán specifikací ATA, což znamená, že konečný stav dat na jednotkách závisí na výrobci (a ne nutně všechny nuly). U jednotek, které nepodporují Secure Erase, TD4 toto omezení uvede při výběru typu vymazání.
Vzhledem k neurčité povaze stavu dat po vymazání nenabízí TD4 ověření pro vymazání Secure Erase.
Kvůli známým problémům s nekonzistentní a nespolehlivou podporou Secure Erase na rotujících discích (HDD) podporuje TD4 tuto funkci pouze na SSD.
Pamatujte, že Secure Erase vymaže veškerý dostupný prostor na disku, ale nemusí nutně vymazat přebytečné místo nebo jiné místo vyhrazené interním řadičem disku.
TD4 vynutí odstranění všech zjištěných konfigurací HPA/DCO/AMA před zahájením vymazání Secure Erase.
Příkazy ATA a SCSI Sanitize Block Erase dávají disku pokyn, aby vymazal všechny bloky paměti flash. To se obvykle provádí elektricky, nikoli zápisem dat na jednotku. Zatímco stav dat po vymazání není předepsán specifikacemi ATA/SCSI, Sanitize Block Erase obvykle ponechává disk ve stavu vymazaný (všechny nuly), což umožňuje ověření po vymazání. U disků, které nepodporují Sanitize Block Erase, bude TD4 indikovat toto omezení při výběru typu mazání.
Pamatujte, že Sanitize Block Erase vymaže veškerý uživatelsky přístupný prostor na disku, stejně jako přebytečný prostor a jakýkoli další prostor vyhrazený interním řadičem disku.
TD4 vynutí odstranění všech zjištěných konfigurací HPA/DCO/AMA před zahájením stírání Sanitize Block Erase.
Příkaz ATA a SCSI Sanitize Overwrite dává jednotce pokyn, aby přepsala všechna data jednotky v mezipaměti úložiště i disku nulami. Tato funkce je obvykle implementována na HDD, ale je k dispozici na některých SSD. U disků, které nepodporují Sanitize Overwrite, bude TD4 indikovat toto omezení při výběru typu mazání.
Všimněte si, že u SSD, které podporují Sanitize Overwrite, bude kromě veškerého uživatelsky přístupného místa na disku vymazán také přebytečný prostor a další prostor vyhrazený interním řadičem disku.
TD4 vynutí odstranění všech zjištěných konfigurací HPA/DCO/AMA před spuštěním vymazání Sanitize Overwrite.
ISTD230400-UGD-CS-1
Uživatelská příručka
49
Kapitola 4 Používání TD4
Doplněk NIST 800-88 R1 Čirý
NIST 800-88 R1 Purge
Popis
Vymazání NIST Clear provede vymazání přepsání s ověřením po vymazání. U jednotek USB provede tři průchody a u všech ostatních jednotek provede jeden průchod.
TD4 vynutí odstranění všech zjištěných konfigurací HPA/DCO/AMA před zahájením čištění NIST 800-88 R1 Clear.
Další podrobnosti týkající se NIST 800-88 R1 Clear naleznete v SP 800-88 r1: Pokyny pro dezinfekci médií, která je k dispozici na stránkách NIST. web místo.
Vymazání NIST Purge je možné pouze v případě, že jednotka podporuje určité příkazy vymazání. U SSD, které podporují Sanitize Block Erase, bude tato metoda použita s ověřením po vymazání. V opačném případě, pokud jednotka podporuje Sanitize Overwrite (HDD nebo SSD), bude tato metoda použita s ověřením po vymazání. Disky, které nepodporují žádný z těchto příkazů, nemohou být NIST 800-88 R1 Purged a TD4 bude toto omezení indikovat během výběru typu mazání.
TD4 vynutí odstranění všech zjištěných konfigurací HPA/DCO/AMA před zahájením čištění NIST 800-88 R1 Purge.
Další podrobnosti o čištění NIST 800-88 R1 naleznete v SP 800-88 r1: Pokyny pro dezinfekci médií, která je k dispozici na webu NIST. web místo.
Poznámka: Utěrky Secure Erase a Sanitize mají pozoruhodné nuance, a to následovně:
· Přesné rozdíly mezi Secure Erase a Sanitize mohou být nepatrné v závislosti na implementaci výrobce disku. Obecně však platí, že Secure Erase je adekvátní pro prostředí, která se nezabývají odstraňováním jakýchkoliv důkazů o předchozích datech ve fyzických paměťových čipech. Secure Erase zaručí, že typické čtení hostitelského systému vrátí pouze vymazaná data, ale někdo s pokročilými schopnostmi provádět analýzu struktury paměti čipů by teoreticky mohl rozeznat předchozí stavy datových bitů. Sanitize je určena k pokrytí situací, které vyžadují bezpečnější odstraňování dat, kde jsou důležité pokročilé techniky načítání dat, přičemž jejich odvrácená stránka trvá mnohem déle.
· Požadavky příkazů Secure Erase a Sanitize nezaručují konečný stav dat na vymazaných discích, což může mít za následek selhání úlohy vymazání, které je mimo kontrolu TD4. Z empirického testování OpenText přes velké sampVzhledem k velikosti disků od různých výrobců Secure Erase spolehlivě vymaže disky ve velmi krátké době, ale s vyšší pravděpodobností nedeterministického stavu dat po dokončení, což znemožňuje spolehlivé ověření. Sanitize se ukázalo jako spolehlivější při vymazání všech dat na nuly, což umožňuje ověření po vymazání. Pokud zaznamenáte selhání ověření vymazání Sanitize, kontaktujte OpenText My Support na https://support.opentext.com a nahlaste konkrétní značku a model disku a tým Tableau to prošetří.
50
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.6. Viewzdrojů a destinací
4.6.2.5 Šifrování cílových a přídavných disků
TD4 dokáže zašifrovat cílové a přídavné jednotky pomocí šifrování celého disku XTS-AES na základě hesla. Toto šifrování založené na Tableau je kompatibilní s Tableau TD2u Forensic Duplicator, TX1 Tableau Forensic Imager a open source obslužným programem VeraCrypt. Šifrování lze nastavit pouze na cílových jednotkách a jednotkách příslušenství, protože vyžaduje úpravu zápisu na jednotku.
Pozor
Proces šifrování přepíše cílový/přídavný disk, proto nezapomeňte cílový disk před použitím v úloze akvizice TD4 zašifrovat.
Chcete-li zašifrovat disk připojený k cílovému portu TD4 nebo portu příslušenství, vyberte možnost Šifrovat ze seznamu možností Překonfigurovat. Zadejte požadované heslo pro šifrování a klepněte na tlačítko Start.
Poznámka: TD4 podporuje automatické psaní velkých písmen v polích pro zadávání textu. To znamená, že první znak v záznamu bude velký a další znaky budou automaticky přepnuty na malá písmena. Výjimkou jsou pole pro zadání hesla. Automatická velká písmena je pro pole pro zadání hesla zakázána, aby se předešlo nejasnostem a zabránilo se nesprávným zadáním hesla. Doporučuje se znovu zkontrolovat zadání hesla pomocí viewpřed odesláním je zadejte jako prostý text (pomocí ikony oka na konci vstupního pole).
Cíl nebo jednotku příslušenství zašifrovanou pomocí Tableau lze odemknout heslem, aby bylo možné procházet nebo zobrazovat/obnovovat šifrovaný kontejner.
Zdrojový disk se šifrováním Tableau lze odemknout heslem, aby bylo možné procházet nebo zobrazovat/obnovovat nešifrovaný obsah disku na cílový disk.
OpenText není schopen obnovit ztracená hesla pro šifrovaná média TD4, takže podnikněte příslušné kroky, abyste své heslo nikdy neztratili.
Chcete-li z disku odstranit šifrování, připojte disk k cílovému portu TD4 nebo k portu příslušenství a poté, aniž byste odemkli šifrování, disk vymažte.
Poznámka: Pokud před vymazáním odemknete šifrovaný disk Tableau, šifrování zůstane nedotčeno a bude vymazán pouze obsah odemknutého kontejneru šifrování. Pokud je požadováno vymazání zašifrovaného stavu, musí před zahájením vymazání zůstat šifrování disku uzamčeno.
ISTD230400-UGD-CS-1
Uživatelská příručka
51
Kapitola 4 Používání TD4
4.6.2.6 Formátování cílových jednotek a jednotek příslušenství
Chcete-li provést duplikaci obrazu na jednotku nebo uložit protokoly na jednotku, musíte cílovou jednotku nebo jednotku příslušenství naformátovat pomocí a filesystém, který je rozpoznatelný podle TD4. TD4 podporuje formátování cílových a přídavných jednotek v následujícím filesystémové formáty: exFAT, NTSF, FAT, HFS+ nebo EXT4.
Poznámka: TD4 nemůže formátovat jednotku pomocí APFS ani zapisovat na jednotku s již existujícím APFS. Připojí svazky ve formátu APFS jako pouze pro čtení na všechny porty TD4 (zdroj, cíl a příslušenství). Takový filesystémy nejsou použitelné pro žádné činnosti, které vyžadují zápis, a to ani na cílových a doplňkových portech.
exFAT se doporučuje pro nejlepší kompatibilitu při přístupu k diskům se všemi moderními operačními systémy. EXT4 se doporučuje pro použití s forenzními nástroji Linuxu. HFS+ se doporučuje pro použití s forenzními nástroji MacOS.
Poznámka: Když je vybrán FAT jako filetyp systému pro formát cílového disku, TD4 naformátuje disk jako FAT32. Protokoly úloh (včetně protokolu formátu) a všechny prvky uživatelského rozhraní to jednoduše zobrazí jako FAT. Je to proto, že TD4 podporuje čtení ze všech formátů FAT (12, 16 a 32) a jejich jednoduchá identifikace jako FAT je považována za přijatelnou a přesnou pro fileúčely identifikace systému.
Chcete-li naformátovat cílovou jednotku nebo jednotku příslušenství, připojte jednotku k požadovanému portu TD4 a poté klepněte na příslušnou dlaždici jednotky na domovské obrazovce TD4. Klepněte na tlačítko Překonfigurovat v části Obsah na obrazovce s podrobnostmi o disku a poté vyberte možnost Formát. Vyberte požadované filetyp systému a potom klepněte na tlačítko Start.
Poznámka: OpenText důrazně doporučuje nepoužívat FAT jako cíl nebo jednotku příslušenství fileSystém. Na TD4, FAT filesystémy jsou omezeny na maximální výkon file o velikosti 2 GB a je známo, že čtení z nich nebo zápis do nich je pomalejší než ostatní filetypy systémů. FAT také nepodporuje disky větší než 2 TB.
4.6.3 Opálové šifrování
Opálové šifrování je hardwarová šifrovací metoda, kterou spravuje řadič na disku s pouze minimální interakcí hostitelského systému. Opal je průmyslový standard vytvořený konsorciem Trusted Computing Group (TCG), který mimo jiné definuje protokol rozhraní pro tyto typy hardwarově šifrovaných disků. Ty se běžně označují jako samošifrovací jednotky (SED), protože hostitelský systém dělá jen o málo více, než že poskytuje rozhraní front-end pro správu šifrování. Řídicí systém na disku je zodpovědný za šifrování/dešifrování všech uložených dat na disku a řízení přístupu k nim.
TD4 dokáže detekovat Opal SED, které mají zapnuté šifrování, a upozorní na přítomnost Opal šifrování na různých místech uživatelského rozhraní a forenzních protokolů. Detekovaný uzamčený disk Opal bude mít červenou ikonu zámku (se zavřeným zámkem).
52
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.6. Viewzdrojů a destinací
okraj dlaždice jednotky domovské obrazovky. Takový disk bude také obsahovat varovná zpráva v horní části obrazovky s podrobnostmi o disku, která indikuje, že disk je uzamčený disk Opal a že jej nelze přečíst, jak je znázorněno na obrázku níže.
Všimněte si, že disky Opal, které nemají povoleno šifrování, se budou chovat jako běžné, nešifrované disky.
Dalším aspektem pro disky Opal je jedinečná konfigurace, která odhaluje stínový MBR. Tento stínový MBR mohou vývojáři disku/systému povolit, aby odhalili malou část disku jako nešifrovaný kontejner, který přepíše hlavní informace o disku prezentované hostiteli. Typickým případem použití této konfigurace je umožnit výrobcům počítačů vyžádat si od uživatele přihlašovací údaje před odhalením hlavní části disku. Bez ohledu na případ použití je důležité být schopen identifikovat situace, kdy je odhalen pouze stínový MBR, aby bylo jasné, že není vidět celý obsah disku. TD4 detekuje, kdy je povolen Opal shadow MBR, a jasně informuje o jeho přítomnosti. Ikona zámku se zobrazí v dlaždici dotčeného disku na domovské obrazovce a přítomnost Opal MBR bude výslovně uvedena na obrazovce podrobností o disku. V současné době není správa šifrování Opal podporována TD4 (včetně odemknutí šifrování Opal a deaktivace MBR stínu Opal). Obraťte se na zákaznickou podporu OpenText pro možnosti získání takových jednotek.
ISTD230400-UGD-CS-1
Uživatelská příručka
53
Kapitola 4 Používání TD4
Pozor
Zařízení typu dokovací stanice, která mají v sobě jednotky Opal, musí podporovat předávání příkazů ATA, aby TD4 správně detekoval přítomnost šifrování Opal. Dokovací stanice, které nepodporují předávání příkazů ATA, mohou prezentovat uzamčená média Opal jako samé nuly bez náznaku přítomnosti šifrování Opal v uživatelském rozhraní TD4. Při získávání médií prostřednictvím dokovací stanice buďte opatrní. Pokud máte podezření, že disk v dokovací stanici je zašifrován Opal, ale není takto prezentován v uživatelském rozhraní TD4, vyjmutí disku z krytu a jeho přímé připojení k TD4 může přinést požadovaný výsledek.
4.6.4 Šifrování APFS a BitLocker
TD4 dokáže detekovat přítomnost filesystémy šifrované pomocí Apple APFS a Microsoft BitLocker šifrování. Tyto metody šifrování platí pouze pro filesystémů, což se liší od metod šifrování celého (nebo celého) disku, které se používají na úrovni jednotky bez ohledu na formátování. V důsledku toho se indikace přítomnosti šifrování APFS a BitLocker na TD4 provádí jinak než u ostatních detekovatelných typů šifrování celého disku (Tableau a Opal).
TD4 ukáže přítomnost šifrování APFS a BitLocker v filesystémové dlaždice zobrazené na obrazovce s podrobnostmi o jednotce, jak je znázorněno na snímcích níže.
Poznámka: Na rozdíl od jiných metod úplného šifrování disku (Tableau a Opal) jsou jednotky se šifrováním APFS a BitLocker filesystémy lze fyzicky získat (úloha duplikace) v jejich uzamčeném stavu a poté odemknout během následujících kroků investigativního pracovního postupu pomocí nástrojů, jako je OpenText EnCase Forensic.
54
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.6. Viewzdrojů a destinací
ISTD230400-UGD-CS-1
Uživatelská příručka
55
Kapitola 4 Používání TD4
Poznámka: Na rozdíl od jiných metod úplného šifrování disku (Tableau a Opal) jsou jednotky se šifrováním APFS a BitLocker filesystémy lze fyzicky získat (úloha duplikace) v jejich uzamčeném stavu a poté odemknout během následujících kroků investigativního pracovního postupu pomocí nástrojů, jako je EnCase Forensic od OpenText.
4.7 Procházení
Funkce procházení poskytuje snadný způsob view obsah namontovaného fileSystém. Chcete-li procházet a filesystému, klepněte na požadovanou dlaždici jednotky na domovské obrazovce. Zobrazí se obrazovka s podrobnostmi o zvoleném disku. Pro pohony s alespoň jedním namontovaným filesystému, sekce Obsah na obrazovce podrobností disku zobrazí obecné informace o oddílech/filesystém(y) a a filezobrazí se systémová karta s klíčovými informacemi pro každou z nich fileSystém. Chcete-li procházet dané filesystému, jednoduše klepněte na filesystémové karty z části Obsah obrazovky s podrobnostmi o disku, kde se zobrazí modální procházení. Tak jakoample browse modal je zobrazen níže.
56
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.7. Procházení
V horní části okna procházení se zobrazí filesystémové informace následované aktuální file cesta. Počáteční umístění cesty je vždy kořenem filesystém, jak je označeno lomítkem (/) těsně nad filečást obsahu systému. Tyto informace o cestě budou aktualizovány při navigaci ve složkách, aby vždy označovaly aktuální cestu.
V části obrazovky prohlížeče se můžete posouvat nahoru a dolů view seznam adresářů a files. Posouvání doprava/doleva je také povoleno, pokud filejména jsou dlouhá a zmizí z obrazovky. Velikost každého file je uvedeno v závorkách na konci filejméno.
Chcete-li otevřít jednotlivé adresáře, poklepejte na název adresáře nebo jedním klepnutím vyberte adresář a poté klepněte na ikonu otevřít adresář . Klepněte na ikonu adresáře nahoru
vycouvat z adresáře.
Pro cílové a přídavné jednotky lze vytvořit nové adresáře a adresáře/ files lze smazat. Chcete-li vytvořit nový adresář, jednoduše klepněte na ikonu vytvoření adresáře a zadejte název nového adresáře. Chcete-li odstranit adresář nebo file, jedním klepnutím na adresář nebo file vyberte a potom klepněte na ikonu odstranění .
ISTD230400-UGD-CS-1
Uživatelská příručka
57
Kapitola 4 Používání TD4
4.8 Informace o případu
Informace o případu jsou klíčovou součástí každého digitálního vyšetřování. Po zadání na TD4 se informace o případu zobrazí na klíčových místech v uživatelském rozhraní během provádění úlohy a zaznamenají se do forenzních protokolů. To umožňuje snadnou korelaci klíčových artefaktů akvizice s konkrétními případy v průběhu vyšetřování.
Chcete-li zadat informace o případu, rozbalte na domovské obrazovce dlaždici funkce Informace o případu. Klepnutím na jednotlivá pole zadejte požadovaný text. Všimněte si, že textová pole na TD4 jsou aktivní. To znamená, že to, co napíšete, se automaticky uloží, když opustíte pole pro zadávání textu, aniž byste museli explicitně ukládat nový záznam.
Na TD4 lze zadat následující informace o případu: Jméno vyšetřujícího, ID případu a Poznámky k případu.
Ve spodní části dlaždice funkce Informace o případu je výběrové pole, které vyvolá výzvu k zadání poznámek k úloze na začátku každé úlohy. Když je toto políčko zaškrtnuté, před začátkem každé úlohy se zobrazí obrazovka pokročilých nastavení, která umožňuje zadat Poznámky k úloze. To umožňuje zadat a zachytit konkrétní informace o konkrétním digitálním důkazu do forenzního protokolu pro každou zakázku.
4.9 Duplikování
TD4 bude duplikovat jeden zdrojový disk až na pět cílových disků. V jednu chvíli může být připojen pouze jeden zdroj, a proto může být současně spuštěna pouze jedna forenzní úloha. Pro danou úlohu mohou být cíle kombinací klonovaných a obrazových kopií.
Poznámka: Tato část je zaměřena na operace duplikace celého disku, známé také jako fyzické zobrazování. Podrobnosti o této alternativní metodě získávání viz „Logické zobrazování“ na stránce 68.
Před zahájením jakékoli forenzní práce TD4 automaticky zkontroluje předpoklady. Tyto předpoklady souvisí se specifickými parametry nastavení úlohy, které by mohly ovlivnit schopnost TD4 provést požadovanou úlohu. Některé předběžné podmínky vytvářejí varování, která se zobrazují v rozbalené dlaždici funkcí na domovské obrazovce. Některá z těchto varování vyžadují před spuštěním úlohy změny, jiná jsou informativní a nebrání spuštění úlohy. Pro všechny předběžné kontroly, které mohou vyžadovat změny, se po stisknutí tlačítka Start zobrazí obrazovka pokročilých nastavení, která umožní upravit příslušná nastavení před zahájením úlohy.
58
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.9. Duplikování
4.9.1 Klonování
Klon, také známý jako duplikace disku na disk, vytváří přesnou kopii zdrojového disku na cílové disky.
TD4 automaticky vybere klon pro všechny cíle, které nemají detekovatelné filesystémy. Pokud jsou nějaké takové cíle připojeny, objeví se v rozbalené dlaždici funkce Duplikovat na domovské obrazovce informační zpráva, která označuje, že tyto jednotky budou klony.
Poznámka: Ikona znamená, že nelze detekovat filesystémů a zobrazí se vedle informační zprávy o klonu v rozbalené dlaždici funkce Duplikovat a na levé straně všech příslušných dlaždic cílové jednotky. Tyto typy cílových disků se vždy stanou klonem zdrojového disku.
Nejlepším postupem je vymazat cílové médium před duplikací, protože to může pomoci identifikovat potenciálně vadná média a vadné sektory a může to snížit riziko křížové kontaminace duplikace klonu zastaralými daty.
Všimněte si, že na začátku úloh klonování a obnovy TD4 připraví cílový disk vymazáním sektorů 0, 1 a konce disku mínus 1. To zajistí, že na disku nebudou žádná zastaralá data tabulky oddílů, což snižuje možnost problémů s detekcí disku na konci úlohy.
Poznámka: Protože informace v tabulce oddílů jsou relativní k velikosti sektoru zdrojového disku, není povoleno klonování na cílový disk s jinou velikostí sektoru. TD4 detekuje tento problém s nesouladem velikosti sektoru a varuje uživatele. Před spuštěním úlohy klonování bude nutné tento stav napravit.
4.9.2 Zobrazování
Obrázek, známý také jako disk-to-file duplikace, zkopíruje zdrojovou jednotku do řady files (někdy nazývané segmenty) na cílové jednotce. TD4 podporuje EnCase file formáty Ex01 a E01 a raw file ve formátech dd a dmg. Pro výstupní typy Ex01 a E01 je komprese podporována a povolena ve výchozím nastavení.
Pro image file výstupů, lze maximální velikost segmentu nastavit v nastavení systému na kteroukoli z následujících možností: 2 GB, 4 GB, 8 GB nebo Neomezeno. Menší segmenty vytvářejí více segmentů files a Unlimited vytvoří jeden velký file segment.
Poznámka: Ne všechny obrázky file možnosti velikosti jsou k dispozici ve všech situacích. Kvůli fileomezení adresování systému, cíle ve formátu FAT32 mají maximum file velikost 2 GB.
Pokud je cílová jednotka menší než zdrojová, obraz dd nebo dmg se na cílovou jednotku nevejde. Pokud však používáte Ex01 nebo E01, může se zdrojová jednotka vejít na menší jednotku, protože tyto formáty mohou komprimovat data před zápisem na cílovou jednotku. Neexistuje žádná záruka, že data budou dostatečně komprimována, aby se vešla na menší cílový disk, zejména v případech, kdy jsou data většinou nekomprimovatelná, jako jsou šifrovaná data.
ISTD230400-UGD-CS-1
Uživatelská příručka
59
Kapitola 4 Používání TD4
Poznámka: Buďte opatrní, když se pokoušíte vytvořit bitovou kopii zdrojové jednotky na stejnou velikost nebo menší cílovou jednotku, i když je povolena komprese. obraz file formátování zvyšuje režii a ve spojení s nekomprimovatelnými daty (jako jsou šifrovaná data) může být zapotřebí větší cílový disk.
Pokud je k dispozici filesystémový prostor na cílovém disku je stejný nebo menší než zdrojový disk pro zobrazovací úlohu (formát Ex01 nebo E01) a komprese je zakázána, TD4 zabrání spuštění úlohy. Povolit kompresi a/nebo použít cíl s více dostupnými filesystémový prostor, aby bylo možné takovou práci spustit.
4.9.3 Provádění duplikace
Chcete-li provést duplikaci:
1. Podle kroků uvedených v části „Připojování jednotek“ na stránce 27 připojte zdrojovou a cílovou jednotku(y).
2. Ujistěte se, že všechny cílové jednotky jsou naformátovány podle typu výstupu úlohy duplikace požadovaného pro každou jednotku. Destinace, které mají filesystémy automaticky obdrží obrázek file zadejte výstup podle 'Duplikovat' File Zadejte systémové nastavení (Ex01, E01, DD nebo DMG). Destinace, které nemají žádné zjistitelné filesystémy automaticky obdrží klon zdrojového disku.
Poznámka: Když ne filePokud jsou systémy detekovány na cílovém disku, tento disk automaticky obdrží klon zdrojového disku. V tomto případě se na dlaždici funkce Duplikovat před zahájením úlohy objeví zpráva a na dlaždici jednotky na domovské obrazovce se objeví malá ikona, která označuje, že se jedná o klon. Tato ikona bude také přítomna na dlaždici cílové jednotky na obrazovce stavu úlohy.
3. Na domovské obrazovce rozbalte dlaždici Duplikovat funkci. Zobrazí se souhrn nastavení hlavní úlohy spolu s případnými varovnými zprávami, jak je vidět na snímku obrazovky níže. Ověřte nastavení, vyřešte všechna varování o blokování a potom klepněte na tlačítko Start. Pokud není žádné z nastavení nastaveno na výzvu a neexistují žádné další problémy s konfigurací úlohy, které je třeba vyřešit, úloha se spustí a zobrazí se obrazovka stavu úlohy.
60
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.9. Duplikování
Pokud je některé z nastavení úlohy nastaveno na Výzva, zobrazí se obrazovka pokročilých nastavení, která umožní výběr konkrétních nastavení požadovaných pro nadcházející úlohu. Možnost Dotázat se je k dispozici pro následující nastavení systému: Hash, `Duplikovat' File Type, Readback Verification a Trim Clones.
Pokud se vyskytnou nějaké problémy s nastavením/konfigurací úlohy, které TD4 považuje za blokující nebo mají forenzní význam, zobrazí se obrazovka pokročilých nastavení a poskytne informace o problému a možnosti jej napravit, pokud je to možné. BývalýampProblémem s konfigurací blokování je, pokud je s E256 vybrán hash SHA-01 file typový výstup. E01 nepodporuje hash SHA-256.
Níže uvedený snímek obrazovky je example obrazovky pokročilých nastavení pro duplicitní úlohu s nastavením Výzva (Ověření zpětného čtení) a problémem forenzního významu (DCO přítomen na zdroji).
ISTD230400-UGD-CS-1
Uživatelská příručka
61
Kapitola 4 Používání TD4
Jakmile budou všechna nastavení obrazovky pokročilého nastavení vyřešena/ověřena, klepnutím na tlačítko Start spusťte úlohu Duplikace.
4. Po spuštění úlohy Duplikace se zobrazí obrazovka stavu úlohy, jak je znázorněno níže.
62
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.9. Duplikování
Aktivní úlohu můžete zrušit klepnutím na Zrušit v pravém dolním rohu obrazovky stavu úlohy. Z této obrazovky můžete také exportovat protokol úloh (i pro probíhající úlohy, pokud si to přejete) klepnutím na tlačítko Exportovat v levém dolním rohu a poté výběrem požadovaného cíle nebo jednotky příslušenství/filesystém.
Zdrojové a cílové jednotky použité v úloze jsou zobrazeny v dolní části obrazovky stavu úlohy. Tyto karty disků poskytují základní informace o disku, jako je název připojeného portu, celková velikost disku a buď Evidenční ID (pokud je zadáno), nebo značka/model/sériové číslo disku.
Poznámka: Na karty jednotek na obrazovce stavu úlohy lze klepnout a zobrazit podrobné informace o jednotce. Nicméně, když jsou detaily jednotky viewZ této oblasti jsou informace považovány za historické od začátku úlohy, jak je indikováno informacemi o datu a čase v pravém horním rohu obrazovky s podrobnostmi o disku. To znamená, že změny informací o jednotce během úlohy (například zmenšení volného místa na cílovém disku) se neprojeví a procházení všech připojených filesystémy jsou deaktivovány. Chcete-li vidět živou verzi podrobností o disku a procházet připojené filesystémů (i během aktivní úlohy), použijte dlaždice jednotky na domovské obrazovce pro přístup k obrazovkám s podrobnostmi o jednotce.
ISTD230400-UGD-CS-1
Uživatelská příručka
63
Kapitola 4 Používání TD4
Ikony se objeví na obrazovce stavu úlohy na kartách jednotek, které poskytují okamžitou indikaci věcí, jako je nedetekovatelné filepřítomen systém, HPA/DCO/AMA na místě nebo přítomnost šifrování Tableau (zamčené nebo odemčené).
Poznámka: Snadný způsob, jak zjistit, které cílové jednotky dostávají jaký typ výstupu úlohy duplikace (klon nebo obrázek), je vyhledat `ne fileikona systému' v pravé horní oblasti karet cílové jednotky na obrazovce stavu úlohy. Zobrazení této ikony znamená, že disk bude vytvořen jako klon zdrojového disku.
4.9.4 Filevytvořené během přenosu z disku nafile zdvojení
Při provádění úlohy duplikace založené na obrázcích vytvoří TD4 files (někdy nazývané segmenty) na cílovém disku, které obsahují data zkopírovaná z disku.
Segmenty se zapisují do cílové jednotky podle následující konvence (výstup Ex01 zobrazený jako example):
[název_adresáře]/
[filejméno].Ex01
[filejméno].Ex02
.
.
.
[filejméno].Ex99
[filejméno].log.html
[filejméno].td4_packed_log
[název_adresáře] je definován v Evidenci File Cesta Nastavení adresáře. Výchozí hodnota je /td4_images/%d_%t/, kde %d je aktuální datum a %t je aktuální čas na začátku úlohy duplikace.
[filejméno] je definováno v Evidenci File Cesta Filenastavení jména. Výchozí hodnota je obrázek.
[filenázev].Ex01 (nebo .E01 nebo pro výstupy dd/dmg .001) je první segment nebo část dat zkopírovaných ze zdrojového disku. Všechny ostatní segmenty mají sekvenční standardní názvy segmentů (napřample, [filejméno].Ex02, [filejméno].Ex03 a tak dále). Pamatujte, že u zrušených nebo neúspěšných úloh může existovat také [filejméno].Ex01.částečný file ve výstupním adresáři.
Poznámka: Max File Nastavení systému velikosti určí velikost výstupního segmentu files. Možnosti jsou 2 GB, 4 GB, 8 GB a neomezeně. Informace
64
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.9. Duplikování
výše ohledně segmentu file konvence pojmenování platí pro všechny kromě nastavení Neomezený. Pro Unlimited bude TD4 zachycovat všechna zdrojová data disku v jednom velkém segmentu file na každé místo určení s příponou .EX01, .E01 nebo pro dd/dmg .001. Také kvůli FAT32 filesystémové omezení, pokud je některý z cílových disků naformátován jako FAT32, všechny cíle získají 2GB segment files.
TD4 generuje [filejméno].log.html file pro každou obrazovou úlohu. Toto je forenzní protokol pro každou úlohu. Vytváří také [filejméno].TD4_packed_log file, kterou lze použít k samostatnému ověření původního obrazu nebo k obnovení obrazu file na původní formát disku.
4.9.5 Pozastavení a obnovení úlohy duplikace
V určitých situacích lze ušetřit značné množství času při vytváření obrazu tím, že lze pozastavit a později obnovit úlohu duplikace. A ztráta hodin zobrazovacího času kvůli neočekávané ztrátě napájení může být frustrující a neefektivní. TD4 vás pokryl a poskytuje prostředky pro pozastavení a obnovení úloh zobrazování s následujícím výstupem file formáty: e01, ex01, dd a dmg.
Chcete-li pozastavit probíhající úlohu kopírování, jednoduše klepněte na tlačítko Pozastavit v horní části obrazovky stavu aktivní úlohy a potvrďte, že si přejete úlohu pozastavit. Úloha bude pozastavena, jak je znázorněno na snímku obrazovky níže.
ISTD230400-UGD-CS-1
Uživatelská příručka
65
Kapitola 4 Používání TD4
Chcete-li obnovit pozastavenou úlohu, klepněte na tlačítko Přehrát v horní části obrazovky stavu úlohy. Pokud se obrazovka stavu pozastavené úlohy aktuálně nezobrazuje, lze ji znovu zobrazit klepnutím na pozastavenou úlohu v seznamu Historie úloh.
Poznámka: Pokud byla obrazová úloha pozastavena a byla spuštěna nová duplicitní úloha, tato nová úloha se spustí od začátku. Chcete-li obnovit dříve pozastavenou úlohu, musíte ji najít v seznamu Historie úloh a klepnutím na ni zobrazte obrazovku se stavem úlohy, než klepnete na tlačítko Přehrát.
Pokud je tlačítko Přehrát na obrazovce stavu úlohy dříve pozastavené úlohy zašedlé, pravděpodobně to znamená, že podmínky úlohy nejsou stejné jako před pozastavením. To může zahrnovat zřejmé podmínky, jako je nepřítomnost původního zdrojového a cílového disku. Dalším možným důvodem neaktivního tlačítka Přehrát je, pokud je cíl zašifrován na celý disk a jednotka byla po počáteční pauze vypnuta a šifrování nebylo odemčeno po následném zapnutí. Obecně se před pokusem o obnovení dříve pozastavené úlohy ujistěte, že jsou podmínky úlohy přesně stejné.
TX1 také podporuje obnovení úlohy po výpadku napájení. U podporovaných typů úloh (e01, -ex01, ¬dd, ¬dmg), pokud dojde během zobrazovací úlohy k neočekávanému výpadku napájení (včetně ručního vypnutí dlouhým stisknutím tlačítka napájení), lze ji obnovit.
66
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.9. Duplikování
po obnovení napájení. Chcete-li pokračovat v úloze po výpadku napájení, ujistěte se, že původní disky jsou připojeny k TD4, než jej znovu zapnete. Poté vyhledejte pozastavenou úlohu na obrazovce Historie úloh. Pamatujte, že pozastavené úlohy se zobrazí s částečně dokončeným modrým stavovým pruhem. Klepněte na pozastavenou úlohu view jeho obrazovku stavu úlohy a potom klepněte na tlačítko Přehrát pro pokračování v úloze.
Forenzní protokoly pro pozastavené a obnovené úlohy poskytnou některé specifické a jedinečné informace. Informace se mírně liší v závislosti na zdroji události pauzy (ručně spuštěné nebo výpadek napájení). V případě události ruční pauzy bude do protokolu přidán řádek s uvedením data a času události. Každá následná událost pozastavení (pokud byla spuštěna ručně) a obnovení se zaznamenává, což poskytuje přesné zachycení toho, kolik cyklů pozastavení/obnovení nastalo během úlohy. Pokud je příčinou pauzy neočekávaný výpadek napájení, není čas, aby systém zaprotokoloval dobu pauzy před vypnutím, takže informace jsou nedostupné, a proto nejsou zahrnuty do protokolu. V takovém případě se po obnovení úlohy do protokolu přidá zpráva, která označuje, že chybějící informace o pauze jsou pravděpodobně způsobeny událostí výpadku napájení a uplynulý čas úlohy se nepočítá, protože ji nelze přesně určit. Následující log sample ukazuje dokončenou úlohu pozastavení/obnovení výpadku napájení. Všimněte si, že pokud by se jednalo o ručně pozastavenou/obnovenou úlohu, řádek s varováním o možném výpadku napájení by byl nahrazen polem Pozastaveno s datem a časem události pozastavení.
ISTD230400-UGD-CS-1
Uživatelská příručka
67
Kapitola 4 Používání TD4
4.10 Logické zobrazování
TD4 poskytuje možnost logicky vytvářet obrazové složky zdrojové jednotky a files od zjistitelných filesystémy. Při použití ve spojení se zobrazením fyzického disku umožňuje logické zobrazení rychlé získání zdroje file data, což uživatelům TD4 poskytuje možnost vyvážit důkladnost s časem pořízení a úsilím pro požadavky daného případu.
Úlohy logického zobrazování TD4 vytvoří logický důkaz průmyslového standardu Lx01 files, které jsou kompatibilní s EnCase Forensic a dalšími běžnými nástroji digitálního forenzního vyšetřování. Každá úloha logického zobrazování také vytvoří forenzní protokol file, s a file rozšíření .log.html. Podrobnosti o veškerém logickém obrazovém výstupu files, viz "Filevytvořené během úlohy logického obrazu” na stránce 73.
TD4logical imaging získává vše files/složky na zdroji filesystém bez možnosti snížit výběr nebo konkrétní cíl files/složky, jak je to možné na TX1. Logické zobrazování TD4 je stále považováno za cennou možnost pro situace citlivé na čas, kdy není možné získat úplný fyzický obraz disku nebo získat skok na file analýza/třídění při získávání sekundárního fyzického obrazu.
Vzhledem k tomu, že zdroj file komprimovatelnost dat není určena před zahájením úlohy logického zobrazování, není možné s jistotou určit, zda data ze zdroje filesystém se vejde do cíle fileSystém. V důsledku toho TD4 pouze varuje uživatele, že cíl může být příliš malý, když je využitý prostor zdroje filesystém je větší než dostupný prostor v cíli a úlohu lze přesto spustit. Pokud jsou však zdrojová data vysoce nekomprimovatelná (nebo pokud je komprese zakázána), je to možné pro cíl filesystém se zaplní, což způsobí selhání úlohy.
Poznámka: Při pokusu o logický obraz ze zdroje buďte opatrní filesystému na menší místo určení fileSystém. Pokud zdrojová data nejsou komprimovatelná, může úloha selhat kvůli nedostatku místa v cíli.
Na rozdíl od úlohy fyzické duplikace možnost odložení zdrojového disku DCO/AMA (jeho odstranění a opětovného použití na konci úlohy) v logickém zobrazování neexistuje. Existence DCO nebo AMA bude zřejmá (podle varování na více místech), ale DCO/AMA bude nutné trvale odstranit pomocí nástroje Remove HPA/DCO/AMA, než získáte přístup ke všem částem zdrojového média.
Filechyby čtení systému zjištěné během úloh logického zobrazování mohou vést k nepředvídatelnému chování při akvizici. Když k nim dojde, jsou takové chyby indikovány červenou varovnou zprávou v horní části části Logical Image progress na obrazovce stavu úlohy. TD4 přeskočí všechny file což má za následek chybu čtení a pokusí se přečíst zbývající files. Výstup CSV bude u každého zobrazovat chybový stav files, které nebyly získány. Pokud se setkáte filechyby čtení systému během úlohy logického zobrazování, doporučujeme klonovat nebo fyzicky vytvořit bitovou kopii jednotky (e01, ex01, dd, dmg) namísto pokusu o vytvoření logické bitové kopie.
68
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.10. Logické zobrazování
4.10.1 Provádění logického obrazu
Chcete-li provést logický obrázek:
1. Podle kroků uvedených v části „Připojení jednotek“ na stránce 27 připojte zdrojové a cílové jednotky.
2. Ujistěte se, že všechny cílové jednotky mají alespoň jeden připojitelný fileSystém. Destinace, které se připojily filesystémy obdrží obraz Lx01 file výstup. Destinace, které nemají žádné zjistitelné filesystémy nebudou přijímat žádné výstupy z úlohy logického obrazu.
Poznámka: Každá cílová jednotka použitá v úloze logického obrazu musí mít a filesystém ukládat výsledný výstup akvizice files. Pokud některý z připojených cílových disků nemá detekovatelný filenad tlačítkem Start se zobrazí varovná zpráva, která uvádí, že cíle musí mít filesystémy. Pokud existuje alespoň jedna cílová jednotka s a filesystému, úloha logického obrazu může být stále spuštěna, ale pouze cíle, které jsou připojeny filesystémy obdrží výstupní důkazy files.
3. Na domovské obrazovce rozbalte dlaždici funkce Logický obrázek. Zobrazí se souhrn nastavení hlavní úlohy spolu s případnými varovnými zprávami, jak je vidět na snímku obrazovky níže. Ověřte nastavení, vyřešte všechna varování o blokování a potom klepněte na tlačítko Start. Pokud není žádné z nastavení nastaveno na výzvu a neexistují žádné další problémy s konfigurací úlohy, které je třeba vyřešit, úloha se spustí a zobrazí se obrazovka stavu úlohy.
ISTD230400-UGD-CS-1
Uživatelská příručka
69
Kapitola 4 Používání TD4
Pokud je některé z nastavení úlohy nastaveno na Výzva, zobrazí se obrazovka pokročilých nastavení, která umožní výběr konkrétních nastavení požadovaných pro nadcházející úlohu. Možnost Dotázat se je dostupná pro následující systémová nastavení související s Logical Imaging: Hashe a Readback Verification.
Pokud se vyskytnou nějaké problémy s nastavením/konfigurací úlohy logického obrazu, které TD4 považuje za blokující nebo mají forenzní význam, zobrazí se obrazovka pokročilých nastavení a poskytne informace o problému a možnosti jej napravit, pokud je to možné. BývalýampProblémem s konfigurací blokování je, pokud je v nastavení systému vybrána možnost SHA-256. LX01 nepodporuje hash SHA-256.
Níže uvedený snímek obrazovky je example obrazovky pokročilých nastavení pro úlohu logického obrazu s nastavením Výzva (Ověření zpětného čtení) a problémem s forenzním významem (vybráno SHA-256). Všimněte si, že položky, které přímo způsobily zobrazení obrazovky pokročilých nastavení, jsou zobrazeny jako rozbalené, ale další, potenciálně související položky nastavení se také objeví na této obrazovce nerozbalené.
70
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.10. Logické zobrazování
Jakmile budou všechna nastavení obrazovky pokročilých nastavení vyřešena/ověřena, klepnutím na tlačítko Start spusťte úlohu logického obrazu.
Poznámka: Jak je uvedeno v informativní zprávě na snímku obrazovky výše („Toto je výchozí nastavení vašeho systému“), kdykoli se změní nastavení na obrazovce pokročilých nastavení v rámci nastavení pro konkrétní úlohu, je to ekvivalentní změně nastavení v hlavní nabídku Nastavení.
4. Po spuštění úlohy logického obrazu se zobrazí její stavová obrazovka, jak je znázorněno níže.
ISTD230400-UGD-CS-1
Uživatelská příručka
71
Kapitola 4 Používání TD4
Počet filenajdete u zdroje filesystému spolu s jejich celkovou velikostí files je zobrazeno hned pod záhlavím obrazovky stavu úlohy nad pruhem průběhu logického obrazu. Všimněte si, že logické zobrazování TD4 získává vše files/ složky na zdroji filesystém bez možnosti snížit výběr nebo konkrétní cíl files/složky, jak je to možné na TX1.
Aktivní úlohu logického obrazu můžete zrušit klepnutím na Zrušit v pravém dolním rohu obrazovky stavu úlohy. Z této obrazovky můžete také exportovat protokol úlohy (i pro probíhající úlohu, pokud si to přejete) klepnutím na tlačítko Exportovat v levém dolním rohu a poté výběrem požadovaného cíle nebo jednotky příslušenství/filesystém.
Zdrojové a cílové jednotky použité v úloze logického obrazu jsou zobrazeny v dolní části obrazovky stavu úlohy. Tyto karty disků poskytují základní informace o disku, jako je název připojeného portu, celková velikost disku a buď Evidenční ID (pokud je zadáno), nebo značka/model/sériové číslo disku. Na těchto kartách disku se objeví ikony, které poskytují okamžitou indikaci věcí
jako žádný zjistitelný filepřítomen systém, HPA/DCO/AMA na místě nebo
přítomnost šifrování Tableau (zamčené nebo odemčené) .
Poznámka: Na karty jednotek na obrazovce stavu úlohy lze klepnout a zobrazit podrobné informace o jednotce. Nicméně, když jsou detaily jednotky viewvyd
72
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.10. Logické zobrazování
v této oblasti jsou informace považovány za historické od začátku úlohy, jak je indikováno informacemi o datu a čase v pravém horním rohu obrazovky s podrobnostmi o disku. To znamená, že změny informací o jednotce během úlohy (například zmenšení volného místa na cílovém disku) se neprojeví a procházení všech připojených filesystémy jsou deaktivovány. Chcete-li vidět živou verzi podrobností o disku a procházet připojené filesystémů (i během aktivní úlohy), použijte dlaždice jednotky na domovské obrazovce pro přístup k obrazovkám s podrobnostmi o jednotce.
4.10.2 Filejsou vytvořeny během úlohy logického obrazu
Při provádění logického obrazu na TD4, více různých files mohou být odeslány do každého cíle v závislosti na konfiguraci úlohy následovně:
· {image_name}.Lx01, {image_name}.Lx02 atd. jsou forenzní důkazy files pro operaci. Obsahují všechna data a metadata pro každou z nich file a složka byla získána.
· {image_name}.csv jsou hodnoty oddělené čárkami file který obsahuje určitá metadata pro každého file a složka byla získána. Tento typ file lze snadno importovat do mnoha běžných aplikací pro zpracování dat, jako je Microsoft Excel. CSV file obsah dat a informace o formátu naleznete v „Zdroj file metadata“ na stránce 73.
· {image_name}.log.html obsahuje forenzní protokol úlohy logického zobrazování.
· {image_name}.TD4_packed_log obsahuje TD4 čitelnou kopii forenzního protokolu, kterou lze později použít pro samostatné ověření Lx01 file soubor.
4.10.3 Logické ověření obrazu
Ověření Lx01 files se liší od ověření fyzických operací zobrazování, protože v Lx01 file, neexistuje žádný celkový hash. Každý fileData uložená v Lx01 mají přidružený hash, který byl vypočítán během původní akvizice. Funkce ověření logického zobrazení čte zpět file data z Lx01 na místě určení, vypočítá pro každý novou hodnotu hash filea porovná tuto hash hodnotu s původně uloženou hodnotou hash akvizice. Selhání kohokoli file shoda s původní hodnotou hash akvizice bude mít za následek selhání ověření.
4.10.4 Zdroj file metadata
Logické zobrazování s TD4 zahrnuje zdroj file metadata ve výstupu CSV file, jak je uvedeno v tabulce níže.
Cesta sloupce
Typ
Obsah
Obsahuje plnou, filesystémově relativní cestu pro tuto položku. Přample: / users/charles/pictures.
Buď obsahuje „Adresář“, „Symlink“ nebo „File“, v závislosti na tom, jaký druh položky tento řádek představuje.
ISTD230400-UGD-CS-1
Uživatelská příručka
73
Kapitola 4 Používání TD4
Sloupec Filevelikost Datum vytvoření Datum přístupu Datum změny Datum napsání Datum MD5 Hash
SHA1 Hash
File Postavení
Obsah
The file velikost položky v bajtech. Toto pole je pro adresáře prázdné.
Řetězec data/času IS0 8601 UTC pro datum vytvoření této položky. Pokud datum vytvoření není k dispozici, je toto pole prázdné.
Řetězec data/času IS0 8601 UTC pro datum přístupu k tomuto záznamu. Toto pole je prázdné, pokud není přístupné datum k dispozici.
Řetězec data/času IS0 8601 UTC pro datum změny tohoto záznamu. Toto pole je prázdné, pokud datum změny není k dispozici.
Řetězec data/času IS0 8601 UTC pro zapsané datum tohoto záznamu. Toto pole je prázdné, pokud zapsané datum není k dispozici.
Hash MD5 položky. Toto pole je pro adresáře prázdné. Je také prázdné, pokud nebyl vypočten žádný hash MD5, nebyl nakonfigurován žádný hash MD5 nebo záznam neodpovídal pravidlům pro získávání.
Hash SHA1 položky. Toto pole je pro adresáře prázdné. Je také prázdné, pokud nebyl vypočten žádný hash SHA1, nebyl nakonfigurován žádný hash SHA1 nebo záznam neodpovídal pravidlům pro získávání.
OK, pokud nebyly problémy se čtením file data/metadata.
ERRORS, pokud došlo k chybám při čtení file data a/nebo metadata.
Shodná pravidla
Toto pole je pro adresáře prázdné.
„Y“, pokud file odpovídalo pravidlům akvizice pro zahrnutí. U TD4 to vždy zobrazí shodu jako file/výběr/filtrování složky není podporováno.
4.11 Hašování
Forenzní odborníci možná budou muset vypočítat hodnoty hash neboli otisky prstů pro zdrojový disk, aniž by si museli vytvořit kopii disku. Funkce hash může generovat hodnoty hash MD5, SHA-1 a SHA-256 pro zdrojový disk, jak je určeno nastavením systému hash.
1. Podle kroků uvedených v části „Připojení jednotek“ na stránce 27 připojte požadovanou zdrojovou jednotku.
Poznámka: Protože TD4 umožňuje použití pouze jedné zdrojové jednotky pro jakoukoli úlohu, připojte pouze požadovanou zdrojovou jednotku hash a zajistěte, aby nebyly připojeny žádné další zdrojové jednotky. Pokud jsou připojeny jiné zdrojové jednotky, zobrazí se na dlaždici Hash funkce varování a tlačítko Start bude neaktivní (zašedlé).
2. Na domovské obrazovce rozbalte dlaždici Hash function. Zobrazí se souhrn příslušných nastavení úlohy spolu s příslušnými varovnými zprávami. Ověřte nastavení, vyřešte všechna varování o blokování a potom klepněte na tlačítko Start. Pokud žádné z nastavení není nastaveno na Výzva a neexistují žádné další problémy s konfigurací úlohy, které je třeba vyřešit, úloha se spustí a zobrazí se obrazovka stavu úlohy.
74
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.11. Hašování
Pokud je nastavení systému hash nastaveno na možnost Prompt, zobrazí se obrazovka pokročilých nastavení, která umožní výběr typů hash pro úlohu. Vyberte požadované typy hash a poté klepnutím na tlačítko Start spusťte úlohu hash. 3. Po spuštění úlohy hash se zobrazí obrazovka stavu úlohy, jak je znázorněno níže.
Aktivní úlohu hash můžete zrušit klepnutím na Zrušit v pravém dolním rohu obrazovky stavu úlohy. Z této obrazovky můžete také exportovat protokol úlohy (i pro probíhající úlohu, pokud si to přejete) klepnutím na tlačítko Exportovat v levém dolním rohu a poté výběrem požadovaného cíle nebo jednotky příslušenství/filesystém.
Zdrojová jednotka použitá v úloze hash se zobrazí v dolní části obrazovky stavu úlohy. Tato karta disku poskytuje základní informace o disku, jako je název připojeného portu, celková velikost disku a buď Evidenční ID (pokud je zadáno), nebo značka/model/sériové číslo disku. Na těchto kartách disku se objeví ikony, které poskytují okamžitou indikaci věcí, které nelze zjistit
filepřítomnost systému, HPA/DCO/AMA na místě nebo přítomnost Tableau
šifrování (zamčené nebo odemčené) .
Poznámka: Na karty jednotek na obrazovce stavu úlohy lze klepnout a zobrazit podrobné informace o jednotce. Nicméně, když jsou detaily jednotky viewz této oblasti jsou informace považovány za historické od začátku práce,
ISTD230400-UGD-CS-1
Uživatelská příručka
75
Kapitola 4 Používání TD4
jak ukazují informace o datu/čase v pravém horním rohu obrazovky s podrobnostmi o disku. Chcete-li vidět živou verzi podrobností o disku a procházet připojené filesystémy, použijte dlaždice jednotek na domovské obrazovce pro přístup k obrazovce podrobností o disku.
4.12 Ověřování
Samostatná funkce Verify ověřuje integritu existujícího obrazu file zpětným načtením dat z obrázku file, výpočet hash hodnoty těchto dat a poté porovnání této vypočítané hodnoty hash s hodnotou hash původní akvizice.
Všimněte si, že i když lze stejnou funkci Verify použít pro samostatné ověření fyzických a logických obrázků, základní mechanismus je odlišný. Je to proto, že fyzické obrazy obsahují hodnoty hash akvizice celého disku a logické obrazy obsahují file-založené akvizice hash hodnot. Během samotné ověřovací úlohy nebude zaznamenán žádný rozdíl, ale typ zdrojového obrázku bude mít vliv na to, jak budou výsledky hlášeny. U úlohy ověření fyzického obrazu budou hodnoty hašování zpětného čtení na úrovni jednotky hlášeny ve forenzním protokolu. U úlohy ověření logického obrazu bude ve forenzním protokolu hlášena jednoduchá indikace, zda vyhovuje/nevyhovuje. Průchod znamená, že všechny file-založené ověřovací hash odpovídá původní akvizici file hash. Pokud nějaký jednotlivec file v logickém obrazu file se nepodaří ověřit, celá ověřovací úloha se zobrazí jako neúspěšná.
1. Podle kroků uvedených v části „Připojení jednotek“ na stránce 27 připojte požadovaný cílový disk.
Poznámka: Ověřovací úlohy používají jako zdroj ověřovacích vstupů pouze cílové nebo přídavné jednotky.
2. Na domovské obrazovce rozbalte dlaždici Ověřit funkci a potom klepněte na tlačítko Start.
3. Na obrazovce pokročilých nastavení klepněte na Vybrat protokol file tlačítko pro spuštění modu procházení. Přejděte na příslušnou cílovou/příslušenskou jednotku a filesystému, vyhledejte požadovaný .td4_packed_log filea vyberte to file jedním klepnutím. Poté klepněte na tlačítko Vybrat.
Poznámka: Při procházení zabaleného protokolu files, pouze files příponou .td4_packed_log se zobrazí v okně procházení.
4. Review vybrané filesystém a file informace o cestě, a pokud jsou přesné, klepněte na tlačítko Start pro zahájení ověřovací úlohy. Zobrazí se obrazovka Ověřit stav úlohy.
Aktivní úlohu Ověřit můžete zrušit klepnutím na Zrušit v pravém dolním rohu obrazovky stavu úlohy. Z této obrazovky můžete také exportovat protokol úlohy (i pro probíhající úlohu, pokud si to přejete) klepnutím na tlačítko Exportovat v levém dolním rohu a poté výběrem požadovaného cíle nebo jednotky příslušenství/ filesystém.
76
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.13. Obnovování
Jednotka použitá v úloze ověření se zobrazí v dolní části obrazovky stavu úlohy. Tato karta disku poskytuje základní informace o disku, jako je název připojeného portu, celková velikost disku a buď Evidenční ID (pokud je zadáno), nebo značka/model/sériové číslo disku. Na těchto kartách disku se objeví ikony, které poskytují okamžitou indikaci věcí, které nelze zjistit filepřítomen systém, HPA/DCO/AMA na místě nebo přítomnost šifrování Tableau (zamčené nebo odemčené).
Poznámka: Na karty jednotek na obrazovce stavu úlohy lze klepnout a zobrazit podrobné informace o jednotce. Nicméně, když jsou detaily jednotky viewZ této oblasti jsou informace považovány za historické k zahájení úlohy, jak je indikováno informací o datu a čase v pravém horním rohu obrazovky s podrobnostmi o disku. Chcete-li vidět živou verzi podrobností o disku a procházet připojené filesystémy, použijte dlaždice jednotek na domovské obrazovce pro přístup k obrazovce podrobností o disku.
4.13 Obnovení
Funkce Obnovit umožňuje obnovit původní formát disku z dříve vytvořeného forenzního obrazu TD4 file. Využití této funkce je různé, ale zahrnuje možnost použít obnovenou jednotku jako spouštěcí disk systému a jednoduše vytvořit archivní kopii důkazů v původním formátu pro budoucí případ.
Funkce Obnovit funguje se všemi fyzickými duplikovanými obrazy file typy (E01, Ex01, dd, dmg). Nepodporuje obnovu z logického obrazu file sada (Lx01).
Nejlepším postupem je vymazat cílové médium před obnovením na něj, protože to může pomoci identifikovat potenciálně vadná média a vadné sektory a může to snížit riziko křížové kontaminace obnoveného disku zastaralými daty.
Všimněte si, že na začátku úlohy obnovení TD4 připraví cílový disk vymazáním sektorů 0, 1 a konce disku mínus 1. To zajistí, že na disku nebudou žádná zastaralá data tabulky oddílů, což snižuje možnost disku. problémy s detekcí na konci práce.
Poznámka: Vzhledem k tomu, že informace v tabulce oddílů jsou relativní k velikosti sektoru zdrojového disku, není obnovení na cílový disk s jinou velikostí sektoru povoleno. TD4 detekuje tento problém s nesouladem velikosti sektoru a varuje uživatele. Před spuštěním úlohy obnovení bude nutné tento stav napravit.
Obnovení disku z bitové kopie file:
1. Podle kroků uvedených v části „Připojení jednotek“ na stránce 27 připojte požadované zdrojové a cílové jednotky.
Poznámka: Úlohy obnovení používají jako zdroj vstupu zdrojové jednotky files (zabalený protokol file a segment obrazu files). Úloha Obnovit také účinně vymaže všechny cílové jednotky, které jsou připojeny/zjištěny v době úlohy
ISTD230400-UGD-CS-1
Uživatelská příručka
77
Kapitola 4 Používání TD4
začala. Ujistěte se, že žádný z vašich cílů není kritický filepřed zahájením úlohy obnovení.
2. Na domovské obrazovce rozbalte dlaždici Funkce obnovení a potom klepněte na tlačítko Start. Zobrazí se obrazovka Restore Setup.
3. Na obrazovce Obnovit nastavení klepněte na Vybrat protokol file tlačítko pro spuštění modu procházení. Přejděte na příslušnou zdrojovou jednotku/filesystému, vyhledejte požadovaný .td4_packed_log file (ten, ze kterého chcete obnovit), a vyberte jej file jedním klepnutím. Poté klepněte na tlačítko Vybrat.
Poznámka: Při procházení zabaleného protokolu files, pouze files příponou .td4_packed_log se zobrazí v okně procházení.
4. Review vybrané filesystém a file cestu, ověřte všechna další nastavení na obrazovce Nastavení obnovení, a pokud je vše nastaveno správně, klepnutím na tlačítko Start spusťte úlohu obnovení. Zobrazí se obrazovka Obnovit stav úlohy.
Poznámky
· Během úlohy Obnovit se hodnoty hash vypočítávají při extrakci dat ze zdrojové evidence file nastavit a zapsat do cíle. Tyto hodnoty hash jsou považovány za zdrojové hodnoty hash, a jsou tedy zachyceny ve zdrojové části forenzního protokolu úlohy Restore. I když ověření zpětného čtení není pro úlohu Obnovení povoleno, tyto zdrojové hodnoty hash se porovnají s původními hodnotami hash pořízení fyzického obrazu, a pokud je zjištěna neshoda, úloha Restore selže.
· Pokud je pro úlohu obnovení povoleno ověřování zpětného čtení, část cílového disku, která byla zapsána během obnovení (která odpovídá velikosti původního zdrojového disku), bude přečtena a hodnoty hash zpětného přečtení budou vypočteny a porovnány s hash zdroje. Pokud je zjištěna neshoda, ověřovací část úlohy Obnovení selže. Tyto hodnoty hash zpětného čtení jsou zachyceny v cílové části forenzního protokolu úlohy obnovení. Všimněte si, že pokud se hodnoty hash pro zpětné načtení shodovaly se zdrojovými hodnotami hash, budou považovány za části dat s nižší prioritou ve forenzních protokolech HTML, a proto budou ve výchozím nastavení skryté. Tyto hashe mohou být viewed rozšířením sekce(í) cílové jednotky forenzního protokolu.
78
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
4.14. Forenzní protokoly
4.14 Forenzní protokoly
TD4 generuje podrobný protokol pro všechny forenzní úlohy a většinu operací mediálních nástrojů. Informace zachycené během každé úlohy se používají k vytvoření obrazovek stavu úloh zobrazených v uživatelském rozhraní (dostupných ze seznamu Historie úloh) a forenzních protokolů úloh, které lze exportovat na externí disk. Tato část je specifická pro exportované forenzní protokoly. Informace o seznamu Historie úloh a obrazovkách stavu úlohy naleznete v částech „Historie úloh“ na stránce 37 a „Stav úlohy“ na stránce 36.
Podrobné informace zachycené ve forenzních protokolech budou záviset na typu úlohy. Níže je uveden souhrn informací zachycených pro úlohu duplikace založené na obrázcích. Viz sampprotokoly souboru na konci této části pro konkrétní protokol úlohy, napřamples.
· Stav: Celkový stav úlohy (Nedokončeno, OK, Chyba/Neúspěšné, Zrušeno), datum/časamps, identifikaci TD4 jako akvizičního systému a verzi firmwaru používaného v době akvizice. V této části budou také zahrnuty následující volitelné informace: Jméno zkoušejícího, ID případu, Poznámky k případu a Poznámky k práci.
· Zdroj: Podrobnosti o zdrojovém disku, včetně celkových informací o disku (Evidenční ID (pokud je nastaveno), typ rozhraní, port TD4, číslo značky/modelu, verze firmwaru, sériová čísla), podrobnosti specifické pro protokol (např. informace o SCSI/USB) , informace související s HPA/DCO/AMA, informace o RAID a šifrování, informace o velikosti/rozvržení a typu tabulky oddílů), podrobnosti o oddílech a, pokud jsou k dispozici a podporovány TD4, fileinformace specifické pro systém.
· Výsledky akvizice: Podrobnosti o akvizičních aspektech úlohy, včetně čísel začátku a počtu bloků, hodnot hash akvizice a informací o chybách čtení.
· Konfigurace: Informace o konfiguraci úlohy, jako je výstup file typ formátu, segment file velikost a zda byla nebo nebyla povolena komprese.
· Image Destination: Podrobnosti o cílové jednotce, včetně hodnot hash pro ověření zpětného přečtení (pokud jsou pro úlohu povoleny), celkové informace o jednotce (typ rozhraní, port TD4, číslo značky/modelu, verze firmwaru, sériová čísla), podrobnosti specifické pro protokol (např. , informace o SCSI/USB), informace související s HPA/DCO/AMA, informace o RAID a šifrování, informace o velikosti/rozvržení a typu tabulky oddílů), podrobnosti o oddílech a fileinformace specifické pro systém.
· Souhrn selhání: Pokud během úlohy došlo k selhání, zobrazí se tato část a bude obsahovat důvod selhání a kód. Všimněte si, že kód chyby není zamýšlen jako smysluplný pro koncového uživatele. V případech, kdy je k vyřešení situace selhání úlohy vyžadována zákaznická podpora, by měl být kód poruchy zaznamenán a uveden do zprávy o incidentu. Tyto informace pomohou určit hlavní příčinu selhání.
Chcete-li získat přístup k protokolům úloh uloženým na vašem TD4, rozbalte na domovské obrazovce funkční dlaždici Historie úloh a potom klepněte na v dolní části funkční dlaždice. Zobrazí se seznam všech úloh uložených v jednotce. Klepnutím na úlohu zobrazíte její stavovou obrazovku. Všimněte si, že nemůžete otevřít a view forenzní protokoly filepřímo na TD4. práce
ISTD230400-UGD-CS-1
Uživatelská příručka
79
Kapitola 4 Používání TD4
stavové obrazovky zobrazují klíčové informace o úloze, ale protokol úlohy bude nutné exportovat do cíle nebo na jednotku příslušenství, aby bylo možné view soudní protokol file na samostatném počítači.
4.14.1 Sample logy
Dvě sampprotokoly souborů jsou uvedeny níže – jeden z úspěšné duplikace a jeden z neúspěšného samostatného ověření. Jak je uvedeno v HTML logu samples, na pravé straně záhlaví každého oddílu jsou šipky nahoru/dolů. Šipka dolů ukazuje, že sekce je sbalená; Šipka nahoru označuje, že byl rozbalen. SampNíže uvedené protokoly HTML jsou pro zjednodušení zobrazeny se všemi poli sbalenými. Každá část informací protokolu byla kategorizována jako kritická nebo doplňková a při sbalení sekce se zobrazí pouze kritické informace. Když je exportovaný protokol viewNa samostatném počítači lze každou sekci rozbalit a zobrazit podrobné doplňkové informace. V tom rozšířené viewkritické informace jsou zvýrazněny tučným popisem polí, zatímco doplňkové informace jsou zobrazeny světle šedou barvou. Všimněte si, že určité části informací protokolu mohou být v jedné situaci považovány za doplňkové, ale v jiné za kritické. Napřample, budou informace o šifrování pro daný zdrojový disk považovány za doplňkové, pokud disk nemá žádné šifrování, ale stanou se kritickými, pokud je šifrování detekováno.
Počáteční stav pro jakýkoli protokol HTML bude zobrazovat všechna pole sbalená se zobrazenými pouze kritickými informacemi. Zatímco v jednotlivých sekcích lze přepínat mezi zobrazením všech informací nebo pouze souhrnem, v pravé horní části obrazovky protokolu HTML je tlačítko, které umožňuje rozbalit nebo sbalit všechny sekce.
Chybové zprávy v protokolech HTML mají také některé jedinečné funkce. Jakékoli chybové stavy se v souhrnu zobrazí červeně jako kritická informace view. Rozbalením části s chybovým stavem se zobrazí podrobnější informace o chybovém stavu včetně příčiny chyby.
80
Forenzní duplikátor TD4 OpenTextTM TableauTM
ISTD230400-UGD-CS-1
Sample Protokol 1 Úspěšná duplikace EX01
4.14. Forenzní protokoly
Poznámka: Všechny části protokolu jsou sbaleny kromě výsledků akvizice.
ISTD230400-UGD-CS-1
Uživatelská příručka
81
Kapitola 4 Používání TD4 Sample Log 2 Selhalo Samostatné ověření (zdroj nečitelný)
Poznámka: Všechny části protokolu jsou sbalené kromě jednotky Driv
Dokumenty / zdroje
 |
forenzní duplikátor opentext TD4 [pdfUživatelská příručka Forenzní duplikátor TD4, TD4, forenzní duplikátor, duplikátor |