opentext TD4 Forensic Duplicator
Спецификации
- Производ: Отворен текст Tableau Forensic TD4 Duplicator
- Модел: ISTD230400-UGD-EN-1
- Производител: Отвори Текст Корпорација
- Адреса: 275 Френк Томпа Драјв, Ватерло, Онтарио, Канада, N2L 0A1
- Контакт: тел: +1-519-888-7111, бесплатен патарина Канада/САД: 1-800-499-6544, меѓународен: +800-4996-5440, факс: +1-519-888-0677
Информации за производот
OpenText Tableau Forensic TD4 Duplicator е моќен и интуитивен форензички дупликатор дизајниран за дигитални форензичари. Нуди можности за сликање со високи перформанси во мал, пренослив пакет. Корисничкиот интерфејс со екран на допир овозможува познато искуство слично на модерните таблети и паметни телефони.
Карактеристики:
- Нарачана за форензика
- Стандардни и напредни функции за сликање
- Пренослив и компактен дизајн
- Кориснички интерфејс со екран на допир
Упатства за употреба
Поглавје 1: Предговор
Ова поглавје дава технички информации и процедури за
со користење на OpenText Tableau Forensic TD4 Duplicator.
Конвенции за мерење на погонски капацитет и стапка на пренос:
Производите на Tableau известуваат за капацитетите и стапките на пренос
според индустриските стандардни овластувања од десет конвенција. За
exampле, хард диск од 4 GB складира до 4,000,000,000 бајти.
Поглавје 2: Готовоview
Tableau TD4 е моќен форензички дупликатор со a
кориснички интерфејс со екран на допир. Тој нуди високи перформанси
можности за сликање во пренослив пакет.
Карактеристики:
- Интуитивен кориснички интерфејс
- Стандардни и напредни можности за сликање
- Компактен дизајн за преносливост
Најчесто поставувани прашања
- П: Може ли Tableau TD4 Duplicator да се користи за сликање на повеќе дискови истовремено?
- О: Да, Tableau TD4 Duplicator поддржува сликање на повеќе дискови истовремено за ефикасни форензички операции.
- П: Дали има гаранција за Tableau TD4 Duplicator?
- О: Open Text Corporation не нуди гаранции за точноста на карактеристиките претставени во публикацијата. Ве молиме погледнете го делот за одрекување од одговорност во упатството за корисникот за повеќе информации.
„`
OpenTextTM TableauTM Forensic TD4 Duplicator
Упатство за употреба
Овој водич претставува широк опсег на технички информации и процедури за користење на OpenText Tableau Forensic TD4 Duplicator.
ISTD230400-UGD-EN-1
OpenTextTM TableauTM Forensic TD4 Duplicator Упатство за употреба ISTD230400-UGD-EN-1 Rev.: 2023-октомври-19
Оваа документација е создадена за OpenTextTM TableauTM Forensic TD4 Duplicator 23.4. Исто така важи и за следните изданија на софтвер, освен ако OpenText направил понова документација достапна со производот, на OpenText webсајт, или на кој било друг начин.
Отвори Текст Корпорација
275 Френк Томпа Драјв, Ватерло, Онтарио, Канада, N2L 0A1
тел: +1-519-888-7111 Бесплатен патарина Канада/САД: 1-800-499-6544 Меѓународен: +800-4996-5440 Факс: +1-519-888-0677 Поддршка: https://support.opentext.com За повеќе информации, посетете ја https://www.opentext.com
Авторски права © 2023 Отворен текст.
Еден или повеќе патенти може да го опфатат овој производ(и). За повеќе информации, посетете ја https://www.opentext.com/patents.
Одрекување
Без гаранции и ограничување на одговорноста
Направени се сите напори за да се обезбеди точноста на карактеристиките и техниките претставени во оваа публикација. Сепак, Open Text Corporation и нејзините филијали не прифаќаат никаква одговорност и не нудат никаква гаранција без разлика дали е изразена или имплицирана, за точноста на оваа публикација.
Поглавје 1
Предговор
Овој водич претставува широк опсег на технички информации и процедури за користење на OpenText Tableau Forensic TD4 Duplicator, производ на OpenText. Таа е поделена на следните поглавја:
· Прекуview: Обезбедува општи информации за TD4, како и распакување, стартување и навигација во менијата TD4 и читање на LED диоди.
· Конфигурирање на TD4: Обезбедува завршен системview информации за TD4 како и процедури за негово конфигурирање и поврзување.
· Користење на TD4: Обезбедува детални информации и процедури за работа на TD4.
· Адаптери: Ги опишува адаптерите што ги прошируваат опциите за стекнување на диск и можностите за дестинациски погон на TD4.
· Спецификации и решавање проблеми: Обезбедува спецификации за TD4 и кратка листа на потенцијални проблеми и решенија. За поцелосни и актуелни информации за решавање проблеми, како и одговори на често поставуваните прашања (ЧПП), посетете ја OpenText My Support (https://support.opentext.com).
1.1 Конвенции за мерење на капацитетот и преносната брзина
Компјутерската индустрија генерално се придржува до две различни конвенции за дефиниции на поимите мегабајт (MB) и гигабајт (GB). За RAM меморијата на компјутерот, 1 MB е дефинирано како 220 = 1,048,576 бајти и 1 GB е дефинирано како 230 = 1,073,741,824 бајти. За складирање на диск, 1 MB е дефинирано како 106 = 1,000,000 бајти и 1 GB е дефинирано како 109 = 1,000,000,000 бајти. Овие две конвенции се познати како овластувања на два и овластувања од десет соодветно. Мајкрософт отстапува од конвенцијата за мерење на капацитетот на хард дискот и ги користи овластувањата на две конвенции за своите оперативни системи.
Производите на Tableau известуваат за погонски капацитети и стапки на пренос според индустриските стандардни овластувања од десетте конвенции. Во TD4 екраните, извештаите и документацијата, хард диск од 4 GB складира до 4,000,000,000 бајти; хард диск со брзина на пренос од 150 МБ/сек пренесува 150,000,000 бајти во секунда.
ISTD230400-UGD-EN-1
Упатство за употреба
5
Поглавје 2
Во текот наview
Tableau TD4 е моќен и интуитивен форензички дупликатор кој нуди вредни способности за сликање со високи перформанси во мало, преносливо пакување. Корисничкиот интерфејс со екран на допир е лесен за користење и обезбедува познато корисничко искуство слично на модерните таблети и паметни телефони. TD4 е прилагодено изграден за форензика и обезбедува многу стандардни и напредни функции кои им служат на специјализираните потреби на лекарите од дигитална форензика, вклучувајќи:
· Стекнување на PCIe, USB, SATA, SAS, FireWire и IDE дискови.
Забелешка: PCIe, IDE и FireWire адаптери (одделно се продаваат) се потребни за сликање на овие типови дискови.
· Излез на PCIe, USB и SATA дискови.
· Способност за таргетирање file-базирани докази со функционалност на логичка слика и индустриски стандард file излези (lx01 и метаподатоци csv fileс).
· Способност да се дуплира изворен диск до пет одредишни дискови.
· Способност да се спречи оштетување на дисковите со нивно вртење надолу кога ќе се исфрлат од TD4 пред физичкото отстранување.
· Можност за исклучување на TD4 по завршувањето на последната активна работа.
· Способност за паузирање и продолжување на работните места за дуплирање, вклучително и изненадувачки ситуации со губење на електрична енергија.
· Способност да се заклучат одредени функции и поставки со администраторски PIN за да се применат стандардните поставки и процедури за вашите задачи за стекнување на форензичар.
· Супериорни стапки на пренос на податоци, дури и додека се вршат пресметки на MD5, SHA-1 и SHA-256 hash вредности.
· Способноста да се view опширни детали за возење, вклучувајќи партиција и fileсистемски информации.
· Погон за прелистување fileсистеми.
· Широка fileсистемска поддршка - APFS, ExFAT, NTFS, EXT4, FAT (12/16/32) и HFS+.
· Шифрирање на цел диск, отворен стандард, дестинациски погон со помош на XTS-AES.
· Способност за откривање и информирање за присуството на овозможено Опал шифрирање, BitLocker и APFS шифрирање.
· Можност за монтирање на дигитални медиуми во уредите на Apple кои поддржуваат режим на целен диск.
· Сеопфатни можности за бришење на дестинации и додатоци, вклучувајќи марамчиња кои се усогласени со NIST 800-88.
ISTD230400-UGD-EN-1
Упатство за употреба
7
Поглавје 2 Надview
· Поддршка за HPA, DCO и AMA за откривање и ракување со скриени/заштитени подрачја со податоци на изворните дискови. Ова вклучува самостојно оневозможување на HPA/DCO/AMA, „полица“ на DCO/AMA и поддршка за дотерување за создавање на дестинација DCO или AMA.
· Локализиран кориснички интерфејс и поддршка за виртуелна тастатура за следните јазици: германски, англиски, шпански (меѓународен), француски, корејски, португалски (бразилски), турски и кинески (поедноставен)
· Детални форензички дневници во HTML формат за документација на случајот. · Способност да се филтрира списокот со форензички дневници за да се прикажуваат само дневници од интерес врз основа на
информации за конкретен случај и/или погон. Филтрираните дневници може да се извезат или избришат. · Секогаш бесплатна поддршка за ажурирање на фирмверот. · Јасно означени и кодирани во боја изворни порти (запишувањето е блокирано) и дестинација (читање/пишување) порти.
8
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
Левата изворна (запишување блокирана) страна на TD4.
2.1. Содржина на комплетот TD4
Вистинската дестинација (читање/пишување) страна на TD4.
2.1 Содржина на комплетот TD4
TD4 се испорачува во комплет во кутии со прилагодена пена што ги вклучува следните ставки:
Ставка
Модел # TD4
Опис
Отворен текст Tableau Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
TP6
Обезбедува струја на TD4. Користи
универзален AC во стилот на 3 огради
кабел за линија и е компатибилен
со 100-240V AC линија
кнtagе ширум светот.
TC4-8-R4
TC-PCIE-8 TCA-USB3-AC TPKG-VCT-5
Унифициран SATA/SAS сигнал и напојување до 8 инчи. SATA/SAS сигнал и 8ин. кабел за напојување (кол. 3)
8 инчи. PCIe адаптер кабел. Мора да се користи со адаптер Tableau PCIe (кол. 1)
Кабел за адаптер за USB од тип A женски во машки тип C (кол. 2)
Комплет за врзување на велкро кабел од 5 парчиња
Упатство за употреба
9
Поглавје 2 Надview Ставка
Модел # TPKG-CLOTH
Опис Микрофибер крпа за чистење на екранот
Водич за брз упат
Не фрлајте го пакувањето со пена TD4, бидејќи е дизајнирано да одговара на неколку индустриски стандардни тврди футроли за носење (на пр.ampле, пеликанот 1500). Ако сте го примиле комплетот TD4 во картонска кутија испорачана од OpenText, можете повторно да ги користите влошките од пена за редење во сопственото куќиште со тврди страни.
2.2 Навигација TD4
Користете го екранот на допир TD4 за да се движите низ достапните функции на TD4. Користете ја виртуелната тастатура на екранот или USB тастатурата за да внесете алфанумерички текст кога ќе биде побарано. Видете „Поддршка за USB тастатура и глувче“ на страница 17.
2.2.1 Почетен екран
Почетниот екран на TD4 прикажува функционални плочки за започнување на следните форензички задачи:
· Дупликат · Логичка слика · Хеш · Потврди · Врати
Вклучува и плочки за влез/viewсо суштински информации, како што следува:
· Информации за случајот · Историја на работа
10
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
2.2. Навигација TD4
Секоја плочка со функции може да се отвори за да прикаже повеќе информации, да внесува податоци и, доколку е применливо, да ја започне поврзаната работа. Во зависност од различните услови, работата или ќе започне веднаш по притискање на копчето Старт или ќе се прикаже екран со напредни поставки за да се овозможи конфигурирање на одредени поставки пред да започне работата. Повеќе детали за секоја функција на почетниот екран може да најдете подоцна во ова упатство за корисникот.
Низ горната лента за навигација има копчиња за брз пристап до менито за навигација на системот и почетниот екран и до view тековното време. Допирањето на името на моделот TD4 во горната лента за навигација ве носи на почетниот екран.
Забелешка: Во случај на ненормални услови за ладење, иконата за предупредување за термички настан ќе се прикаже во горната лента за навигација десно од иконата Системско мени за навигација. Такво предупредување никогаш нема да се види во нормални работни услови. Ве молиме погледнете во „Термички проблеми“ на страница 94 за повеќе информации.
ISTD230400-UGD-EN-1
Упатство за употреба
11
Поглавје 2 Надview
2.2.2 Детали за погонот
На левата и десната страна на почетниот екран ќе најдете погонски плочки кои се усогласуваат со портите за поврзување на физичкиот диск. Овие плочки ќе бидат неактивни (сиви) за сите порти што немаат прикачен погон. Кога дискот е прикачен на дадена порта, таа плочка ќе стане активна и може да се допре за да се пристапи до детални информации за тој погон и да се извршат дејства специфични за уредот.
Забелешка: плочката на погонот за задниот приклучок за дополнителна опрема за USB ќе се појави само кога уредот е поврзан на таа порта. Ќе се појави под иконата за системско мени за навигација во горниот лев агол на почетниот екран.
Видете „Користење на TD4“ на страница 33 за повеќе информации за деталите за погонот.
2.2.3 Системско мени за навигација
Допирањето на иконата Системско мени за навигација во горниот лев агол на горната лента за навигација го прикажува менито за навигација на системот TD4, како што е прикажано подолу. За дополнителни информации за ставките во ова мени, видете „Конфигурирање на TD4“ на страница 19.
12
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
2.2. Навигација TD4
2.2.4 Работен статус
Откако ќе започне некоја работа, автоматски се прикажува екранот за статусот на нејзината работа. Овој статусен екран ги прикажува деталите за дадената работа, вклучително и заглавие што го прикажува типот на задачата, нејзиниот статус, времето на започнување и завршување, вкупната стапка на податоци, преостанатото време и процентот на завршено. Долната област на екранот за статусот на работата прикажува дополнителни детали за работата, вклучувајќи ги и вредностите на хашот (кога е достапно) напредок во подчекор (на пр.ample, Умножување одвоено од Верификација во работа за дуплирање/верификација), резиме на поставките и дисковите вклучени во работата. Со допирање на плочка на погонот се отвора екран со детали за дискот што овозможува брзо view од сите информации достапни за погонот. Фиксната долна област на екранот за статусот на работата вклучува копчиња за извоз на форензичкиот дневник и откажување на работата. Еден поранешенampПодолу е прикажан активен екран за статус на работни места за дуплирање.
Забелешка: Ако екранот за детален статус на работата е затворен, кратко резиме на статусот на работата сè уште е достапно во плочката со проширени функции на почетниот екран. Допирањето на долниот дел од таа функционална плочка повторно ќе го отвори екранот за детален статус на работата. Исто така, кога работи некоја работа, во горната лента за навигација десно од името на моделот TD4 е прикажан кружен центрифуг. Со допирање на центрифугата повторно ќе се отвори екранот за детален статус на работата.
ISTD230400-UGD-EN-1
Упатство за употреба
13
Поглавје 2 Надview
Откако работата ќе заврши, се прикажува екранот за статусот на работата и го прикажува конечниот статус на таа работа. Еден поранешенampПодолу е прикажан екранот за статусот на завршената работа за дуплирање.
2.2.5 Историја на работа
Историските екрани за статусот на работното место можат да бидат viewед од листата на Историја на работни места. За да пристапите до списокот за историја на работни места, проширете ја плочката на функцијата Историја на работни места на почетниот екран. Во плочката со проширена функција ќе се прикаже резиме на вкупните работни места и случаи (врз основа на поставката Case ID). Допрете го долниот дел од проширената плочка на функцијата Историја на работни места за да го отворите списокот за историја на работни места. Работите во оваа листа опстојуваат низ циклусите на напојување. Сите активни работни места ќе се прикажат во списокот со активна сина лента за напредок. Успешно завршените работни места ќе се прикажат со целосна зелена лента за напредок. Откажаните работни места ќе покажат делумно пополнета жолта лента за напредок. И неуспешните работни места ќе покажат делумно пополнета црвена лента за напредок. Допирањето на одредена плочка за работа од списокот ќе го отвори екранот за детален статус на работата за таа работа. Еден поранешенampПодолу е прикажан списокот за историја на работни места.
14
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
2.2. Навигација TD4
Како што може да се види на горниот дел од екранот за историја на работни места погоре, тековниот случај (како што е идентификуван со системската поставка за ID на случај) е прикажан заедно со броење на бројот на различни случаи вклучени во списокот за историја на работни места.
Во некои ситуации, може да биде погодно да view и управувајте (извезете или избришете) само подмножество на работни места од списокот. За да го филтрирате списокот со работни места, допрете ја иконата за филтер во близина на горната десна страна на екранот „Историја на работни места“. Критериумите за филтрирање може да се додадат за да се прикажат само саканите работни места. Списокот на работни места може да се филтрира врз основа на следниве критериуми:
· Име на испитувачот
· ИД на случај
· Забелешки за работа
· Вози продавач
· Модел на возење
· Сериски број на возење
Едноставно допрете ги саканите полиња за филтер и внесете ги вредностите на филтерот. Бројот на работни места се совпаѓаат со критериумите за филтер ќе се прикаже близу горниот дел од екранот до иконата за филтер. Имајте предвид дека кога се користат повеќе критериуми, сите мора да одговараат на работното место
ISTD230400-UGD-EN-1
Упатство за употреба
15
Поглавје 2 Надview
да се прикаже во филтрираната листа. Делот за критериуми за филтрирање на екранот може да се прошири и склопи со допирање на иконата за филтер.
Забелешка: постои лесен начин да се филтрира списокот за историја на работни места за да се прикажат само работните места поврзани со одреден диск. За да го направите тоа, допрете на саканата плочка на погонот од почетниот екран. Скролувајте до делот за резиме на работни места на дното на екранот со детали за дискот и потоа допрете на View копче. Ќе се прикаже список само со задачи поврзани со тој диск.
За да ги извезете дневниците поврзани со работните места во списокот Историја на работни места, допрете го копчето Извоз во долниот лев агол на екранот Историја на работни места. Изберете го саканиот fileсистем и потоа допрете го копчето Извоз во долниот десен агол на прозорецот за прелистување.
За да ги избришете задачите (и нивните поврзани дневници) што се прикажани во списокот за историја на работни места, допрете го копчето Избриши во долниот десен агол на екранот за историја на работни места и следете го известувањето.
Забелешка: И за извоз и за бришење работни места/дневници, без оглед на работните места што се прикажани во списокот Историја на работни места, ќе се постапува. Ако нема поставени филтри, тогаш сите работни места/дневници ќе бидат извезени или избришани. Ако се користи филтер за прикажување само подмножество од целокупната листа на работни места, тогаш само оние филтрирани работни места/дневници ќе бидат извезени или избришани.
На TD100 може да се складираат до 4 работни места. Кога ќе се достигне таа граница, за почеток на која било следна работа ќе треба да се потврди дека најстарата работа автоматски ќе се избрише. Со цел да се избегне тој неефикасен чекор за стартување на работните места, се препорачува да се извезат дневниците за работни места и да се избришат работните места на крајот од секој случај.
2.3 Читање на статусните LED диоди
Индикатор за вклучување/исклучување LED: Осветлениот прекинувач за напојување се наоѓа во горниот лев агол на TD4 и прикажува бела LED диода кога уредот е вклучен.
DC во LED: Кабелот за напојување TP6 има син LED прстен близу до крајот на конекторот на цевката што покажува дека напојувањето TD4 добива соодветна влезна DC моќност.
ЛЕД за активност: ЛЕР за активност со повеќе бои се наоѓа во долниот десен агол на TD4. Бело кога уредот се подига, трепка бело кога ќе се открие проблем со напојувањето, исклучено кога уредот е вклучен, но неактивен, сино кога операција е во тек, трепка зелено кога операцијата ќе заврши успешно и трепка црвено кога операцијата не успее.
16
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
2.4. Толкување на аудио повратни информации
2.4 Толкување на аудио повратни информации
TD4 репродуцира еден од двата звуци што го покажуваат статусот на крајот од работата. Пријатниот звук на ѕвонење со зголемени тонови белешки игра за успешна работа. За неуспешна работа, звукот има опаѓачки тонови. Можете да ја промените јачината на звукот или да ги оневозможите на екранот со поставки.
2.5 Предупредувања на екранот
Кога е соодветно, TD4 ќе обезбеди предупредувања на екранот во различни екрани за поставки и операции. Жолтите предупредувања го привлекуваат вниманието на корисникот на потенцијален ризик, но не ги попречуваат операциите. Црвените предупредувања значат дека избраната поставка не може да се примени, операцијата е неуспешна или постои потенцијал да се пропуштат форензички докази, како на пример кога DCO или AMA се откриени и не се отстранети. Корисниците се охрабруваат да обрнат внимание и да ги читаат сите прикажани предупредувања кога ќе се појават и да продолжат соодветно.
2.6 Поддршка за USB тастатура и глушец
Можете да приклучите стандардна USB тастатура и/или глушец на англиски јазик во која било TD4 USB порта. (Додека приклучокот за дополнителна опрема на задниот дел на TD4 е наменет за оваа намена, секој USB-порт ќе работи.) Можеби ќе ви биде попогодно да користите надворешна тастатура и/или глушец за да се движите низ интерфејсот и да внесувате податоци наместо да користите екран на допир и виртуелна тастатура. Поддржани се и безжичните адаптери за тастатура/глувче, вклучувајќи унифицирани адаптери.
Белешки
· TD4 поддржува безжични тастатури и глувци. За да користите безжична тастатура или глушец, едноставно приклучете го безжичниот адаптер за USB во задниот приклучок за USB додаток на TD4 и тој автоматски треба да се спари со тастатурата и да почне да работи. Има многу продавачи на безжични тастатури и глувци, а некои можеби не се компатибилни со TD4. Ако претпочитате да користите безжична тастатура или глушец, а вашата не работи со TD4, контактирајте со поддршката за корисници на OpenText за препораки за тастатурата.
· Ако користите безжичен унифициран адаптер за тастатура/глувче само со глушец, виртуелната тастатура може да не се појави на екранот TD4 за ситуации за внесување податоци. TD4 ќе го гледа безжичниот адаптер како тастатура што го тера да сака да ја скрие виртуелната тастатура во ситуации за внесување податоци. За да се приспособи на оваа употреба, додадена е системска поставка за виртуелна тастатура за да се овозможи виртуелната тастатура секогаш да се прикажува при внесување податоци. Оваа поставка ќе биде стандардно исклучена, што значи дека виртуелната тастатура нема да се појави ако се открие USB тастатура.
ISTD230400-UGD-EN-1
Упатство за употреба
17
Поглавје 3
Конфигурирање на TD4
Ова поглавје ги опишува чекорите за конфигурирање на TD4 пред да го користите на редовна основа.
3.1 Редоследот на стартување
Кога е вклучен, TD4 прикажува екран за иницијализација за време на секвенцата за подигање. Почетниот циклус на подигање (по фабричко ресетирање) ќе прикаже волшебник за поставување што ги прикажува клучните системски поставки за да го олесни конфигурирањето на вашиот TD4 за употреба. Интеракцијата со тој екран на волшебникот за поставување (со негово затворање или допирање на копчето Целосни поставки) ќе го спречи неговото појавување во идните циклуси на подигање. Откако ќе се подигне покрај екранот на волшебникот за поставување, TD4 го прикажува почетниот екран, а потоа последователно се вклучува и открива поврзани дискови и ги монтира сите поддржани fileсистеми.
3.2 Конфигурирање на TD4
Стандардните поставки за TD4 се дефинирани со помош на разумни вредности за најдобра практика. Има многу опции и поставки што можете да ги конфигурирате и прилагодите на вашите специфични потреби. Допрете ја иконата Системско мени за навигација во горниот лев агол на корисничкиот интерфејс за да пристапите до Системското мени за навигација, кое ги вклучува следните ставки:
· Home: Вратете се на почетниот екран. · Поставки: пристапете до екранот за системски поставки. · Администрација: пристапете до екранот за поставување администрација. · Систем за заклучување: заклучете го екранот со PIN за да го спречите пристапот додека сте без надзор. · За: Пристапете до екранот За view дополнителни информации како што е единицата
сериски број, верзија/хаш на фирмверот, авторски права и информации за лиценцирање. Ажурирањето на фирмверот и фабричкото ресетирање се исто така иницирани од овој екран.
3.2.1 поставки
Допрете Поставки за да се прикаже екранот со поставки.
ISTD230400-UGD-EN-1
Упатство за употреба
19
Поглавје 3 Конфигурирање на TD4
Сликата од екранот погоре го прикажува екранот за поставки на TD4. Секоја поставка и нејзините опции и стандардни вредности се опишани подолу.
· Хеш: Овозможува избор на саканите пресметки за хаш за вашите задачи за дупликат, логичка слика и хаш. Опциите се MD5, SHA-1, SHA-256 и Prompt. Изборот на Prompt ќе овозможи хашовите да се избираат при стартување на работата. Стандардните избори за хаш се MD5 и SHA-1.
· „Дупликат“ File Тип: Овозможува избор на излезот file напишете за дупликат (физичка слика) работни места. Опциите се: Ex01, E01, DD, DMG и Prompt. Со избирање на Prompt ќе се овозможи file тип што треба да се избере при стартување на работата. Стандардната поставка е Ex01.
· Макс File Големина: Овозможува избор на саканиот максимален излез file големина на сегментот. Опциите се: 2 GB, 4 GB, 8 GB и Неограничено. Стандардната поставка е Неограничено.
· Враќање на грешки: Овозможува избор на режим за наплата и број на обиди повторно кога ќе се сретнат грешки во читањето на изворниот диск за време на Duplicate и Hash задачи.
Режим за обновување: Ова ја одредува големината на читањата што ќе се користат за пронаоѓање читливи податоци во регионите што имаат грешки. Опциите се: Стандардна и Исцрпна. Стандардниот режим значи дека обидите за враќање на грешки ќе читаат
20
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
3.2. Конфигурирање на TD4
блокови на податоци кои се секогаш 32,768 бајти. Во Исцрпниот режим, читањата за враќање на грешки ќе се појават до најгрануларното можно ниво, што е поединечни сектори. Исцрпниот режим ќе обезбеди максимална количина на податоци што може да се повратат, но исто така ќе додаде време на работата. Стандардната поставка е Стандардна.
Повторно броење: Ова му кажува на TD4 колку пати да се обиде да препрочита даден блок на податоци кога ќе наиде на грешка. Опциите се: 0, 1, 10 и 100. Стандардната поставка е 1.
Внимание
Не се препорачува поставка за броење за повторно обид од 100. Ако читањето постојано греши повеќе од 10 обиди, веројатно никогаш нема да успее, а продолжувањето со обидите за многу неуспешни читања може потенцијално да го оштети веќе неуспешниот погон и да потроши драгоцено време за истражување.
· Компресија: Овозможува избор на компресија на податоци за излезите E01, Ex01 и LX01. Избирањето на полето ќе осигури дека се користи компресија на податоците секогаш кога е можно. Стандардната поставка е да се компресира кога е можно.
· Доказ File Патека: Овозможува дефинирање на специфичното fileиме и директориум за излез fileс. Имајте предвид дека џокерите може да се користат за автоматско внесување клучни информации во fileимиња и/или излезен директориум, како што следува:
Звук %d %t %e %s %m %c
Директориум/fileподатоци за името Датум (тековен системски датум во моментот на стекнување) Време (тековно време на системот во моментот на стекнување) Идентификатор на доказ за изворниот уред во употреба Сериски број на изворниот диск во употреба Број на модел на изворниот диск во употреба Case ID во моментот на стекнување
Стандардно fileимето е слика. Стандардното име на директориумот е td4 images/%d_%t/.
· Потврда за читање: Дозволува да се изврши избор на проверка на отчет на крајот од делот за дуплирање/логичка слика од задачите, за да се осигура дека складираните податоци се совпаѓаат со она што е стекнато. Со избирање на полето Потврди ќе се овозможи верификација на повторно читање за сите работни места. Со избирање на Prompt ќе се овозможи овозможување на верификацијата за читање при стартување на работата. Стандардната поставка е Потврди.
· Trim Clones: Овозможува избор на конфигурација за „отсекување“ на саканата дестинација за сите задачи. Скратувањето на одредишниот диск значи дека DCO или AMA ќе се примени на одредишниот диск (ако ги поддржува), така што големината на одредишниот погон ќе изгледа дека одговара на онаа на оригиналниот извор на клонирање. Опциите се: Никогаш, Кога е можно и Прашај. Со избирање на Prompt ќе се овозможи поставката Trim Clones да се избере при стартување на работата. Стандардната поставка е Никогаш.
ISTD230400-UGD-EN-1
Упатство за употреба
21
Поглавје 3 Конфигурирање на TD4
Забелешка: за да работи кроењето на клоновите, избраната дестинација мора да поддржува DCO или AMA.
· Аудио: Овозможува избор на нивото на јачината на системот да се користи за сите звучни предупредувања. Изборот на полето „Неактивен чирп“ ќе предизвика звукот за завршување на работата постојано да се репродуцира на секои една минута додека не се затвори екранот за статусот на работата. Имајте предвид дека, дури и ако е оневозможено шушкање во мирување, звукот за завршување на работата ќе се репродуцира еднаш на крајот од работата и индикаторската сијаличка ќе трепка за статусот на завршување додека не се затвори екранот за статусот на работата. Стандардната поставка е да се овозможи неактивен чирп.
· Приказ на време: Овозможува избор на прикажаната системска временска зона и режим на прикажување на времето (12-часовна или 24-часовна). Промените во поставките за приказ на време мора да бидат експлицитно зачувани за да стапат на сила. Имајте предвид дека менувањето на поставките поврзани со времето не е дозволено додека работи работата. Стандардната поставка за режим на прикажување е 12-часовен режим.
· Системско време: Овозможува внесување на времето на системот. Промените во поставките за времето на системот мора да бидат експлицитно зачувани за да стапат на сила. Имајте предвид дека менувањето на поставките поврзани со времето не е дозволено додека работи работата.
· Системски датум: Дозволува внесување на датумот на системот. Промените во поставувањето на датумот на системот мора да бидат експлицитно зачувани за да стапат на сила. Имајте предвид дека менувањето на поставките поврзани со времето не е дозволено додека работи работата.
· Осветленост: Овозможува избор на осветленоста на LCD екранот.
· Виртуелна тастатура: Обезбедува опција секогаш да се прикажува виртуелната тастатура на екранот, дури и кога е откриена надворешна тастатура. Ова е корисно за одредено сценарио, каде што унифицирана (со двојна намена) безжична тастатура/глувче е вклучена во TD4, но се користи само делот од глувчето. Изберете ја опцијата „Секогаш прикажувај“ за да се уверите дека виртуелната тастатура се појавува во оваа ситуација. Стандардно, виртуелната тастатура е скриена кога ќе се открие USB тастатура.
· Јазик: Дозволува избор на јазикот на системот. Опциите се: германски, англиски, шпански, француски, корејски, португалски, турски и кинески. Стандардниот јазик е англискиот.
Забелешка: Кога ќе се смени јазикот на системот, виртуелната тастатура автоматски ќе се префрли на тој јазик. Ако сакате, виртуелната тастатура може рачно да се смени на јазик што е различен од поставката за системски јазик. За рачно да го изберете јазикот на виртуелната тастатура, допрете поле за внесување и потоа допрете го копчето за локализација на тастатурата за да го изберете саканиот јазик.
22
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
3.2. Конфигурирање на TD4
3.2.2 Администрација
Во некои форензички работни средини, може да биде пожелно да се забрани неовластени корисници да пристапуваат до единицата или да менуваат одредени поставки. TD4 му овозможува на корисникот на административно ниво да заклучи одредени области на корисничкиот интерфејс за да дозволи таква контрола. Допрете го копчето Администрација во менито за навигација на системот за да го започнете ова поставување. Почетниот екран за поставување администрација е прикажан подолу.
Допрете Овозможи администрација за да започнете. Првиот чекор е да поставите шестцифрен Административен ПИН. PIN-от мора да се внесе двапати за да се обезбеди точност.
Откако Администрацијата е овозможена, следните области може да се изберат за да го блокираат пристапот до секој без PIN:
· System Boot Lock: Ако е избрано, единицата ќе се подигне директно на PIN-таблата и ќе треба да се внесе администраторски PIN за да се користи единицата.
· Конфигурација на дуплирање: ако е овозможено, следните поставки за дуплирање ќе бараат администраторскиот ПИН да направи какви било промени:
Хешови
ISTD230400-UGD-EN-1
Упатство за употреба
23
Поглавје 3 Конфигурирање на TD4
„Дупликат“ File Тип Макс File Доказ за компресија при враќање на грешка во големина File Намали клонови за верификација за читање на патеката
Сликата од екранот подолу го прикажува менито Поставки откако Административната контрола е овозможена за конфигурација на дуплирање. Забележете го штитот со иконата за проверка веднаш до ставките за поставки наброени погоре. Ова означува кои поставки ќе бараат администраторскиот ПИН да прави промени. Сите корисници ќе можат view тековните поставки, но секој обид да се промени некоја од заклучените поставки ќе го поттикне корисникот за администраторскиот ПИН.
За да ја исклучите администрацијата на TD4, допрете Администрација од менито за навигација на системот и потоа допрете Оневозможи администрација. Ќе треба да се внесе Административниот ПИН за целосно оневозможување.
24
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
3.2. Конфигурирање на TD4
Забелешка: Кога Администрацијата е овозможена, дури и ако не е избрана ниту една од поединечните контролни опции, ќе биде потребен администраторски PIN за ажурирање на фирмверот на уредот. Ова го спречува заобиколувањето на поставките на Администрацијата со намалување на фирмверот.
3.2.3 Заклучување на системот
Можеби е пожелно да го заклучите вашиот систем TD4 додека сте без надзор за да се осигурате дека не се менуваат поставките или вашите активни работни места не се менуваат на кој било начин. За да го заклучите вашиот систем, едноставно допрете на ставката Заклучи систем во менито за навигација на системот. Ќе се појави екран кој овозможува внесување на шестцифрен личен идентификациски број (PIN), како што е прикажано подолу.
Ќе треба да го внесете шестцифрениот код по втор пат за да го потврдите PIN-от. Откако ќе се потврди PIN-кодот, уредот ќе се заклучи, прикажувајќи ја само PIN-таблата на екранот.
За да го отклучите системот, едноставно внесете го PIN-кодот.
Забелешка: Копчето во долниот лев агол на тастатурата овозможува по случаен избор на распоредот на цифрите на тастатурата. Ова може да се користи за да се осигура дека најчесто користените PIN-кодови не создаваат посебна шема на екранот.
ISTD230400-UGD-EN-1
Упатство за употреба
25
Поглавје 3 Конфигурирање на TD4
Овој механизам за заклучување PIN е привремен во смисла дека секој настан за отклучување ќе го одржува отклучен уредот додека не се заклучи повторно. Имајте на ум дека напојувањето TD4 ќе го избрише заклучувањето на екранот со PIN.
3.2.4 Ажурирање на фирмверот TD4
Фирмверот TD4 е зачуван на неиспарлив, неотстранлив мемориски уред во уредот. Кога ажурирањето на фирмверот TD4 ќе стане достапно на OpenText webсајт (Центар за преземање табела), можете да го преземете пакетот на фирмверот file и користете го за да го ажурирате уредот.
Забелешка: Ажурирањето на фирмверот не може да се стартува додека работи некоја работа.
За да го ажурирате фирмверот TD4, одете во Центарот за преземање табела на https://www.opentext.com/products/tableau-download-center, а потоа следете ги овие чекори:
1. Лоцирајте го делот TD4 на страницата Центар за преземање табела и потоа допрете го најновиот фирмвер file линк за да започне преземање на вашиот компјутер.
Забелешка: пакет на фирмверот TD4 fileимаат .td4_pkg file продолжување.
2. Копирајте го преземениот пакет на фирмверот file на USB стик и потоа извадете го и отстранете го дискот од вашиот компјутер.
3. Вметнете го USB стикот во која било TD4 USB порта. 4. Одете во Системското мени за навигација со допирање на иконата од левата страна
горната лента за навигација. Потоа допрете ја ставката од менито За. 5. На екранот За, допрете го копчето Ажурирај фирмвер. 6. Изберете го соодветниот диск/fileсистем со допирање на fileсистемска плочка. 7. Прелистајте до локацијата на саканата .td4_pkg file и допрете на тоа file. 8. Откако ќе бидете сигурни дека сакате да го иницирате ажурирањето со избраното file, допрете го
Копче за избор во долниот десен агол на екранот.
TD4 ќе го започне процесот на ажурирање на фирмверот користејќи го избраниот фирмвер file.
Внимание
Откако ќе започне процесот на ажурирање на фирмверот, не отстранувајте или додавајте дискови, исклучувајте го уредот или исклучувајте го напојувањето од уредот. Тоа може да предизвика проблеми со процесот на ажурирање на фирмверот, што веројатно ќе резултира со нефункционален TD4. Ако нешто се случи за време на процесот на ажурирање на фирмверот што резултира со неуспех да се ажурира, можно е да е потребна процедура за обновување на фирмверот. Видете „Решавање проблеми“ на страница 92 за информации за процесот на обновување на фирмверот.
TD4 автоматски ќе се рестартира во новиот фирмвер откако ќе заврши процесот на ажурирање.
26
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
3.3. Поврзување на дискови
Имајте предвид дека вредноста на хашот SHA-256 на тековно вчитаниот пакет на фирмверот се пресметува и се прикажува во горниот дел од екранот За заедно со целосната верзија на фирмверот. Ова овозможува да се потврди дека правилната верзија на фирмверот работи и дека не е променета. За целите на хаш-верификацијата, вредноста на хашот за дадена верзија на фирмверот е достапна во документот за белешки за издавање за секое ажурирање на TD4, што е достапно во Центарот за преземање табела на https:// www.opentext.com/products/tableau-download- центар.
3.3 Поврзување на дискови
Следните делови даваат информации што ќе овозможат безбедно и сигурно поврзување на погоните со TD4.
Забелешка: За дискови на кои им е потребен адаптерски кабли за поврзување со TD4, OpenText високо препорачува да ги оставите каблите на адаптерот приклучени на TD4 и да ги прикачите/вадите дисковите од другиот крај на каблите. Додека конекторите за погон на TD4 се робусни и дизајнирани за многу циклуси на парење, прицврстувањето/отстранувањето на погоните од другиот крај на каблите ќе помогне да се максимизира животниот век на вашиот TD4.
3.3.1 USB верзии и типови на конектори
Спецификациите за USB се менуваат со текот на времето, а заедно со нив се смени и конвенцијата за именување на различни порти/брзини на USB интерфејс. За прampЛе, кога првпат излезе USB 3.0 (SuperSpeed USB), брзината на интерфејсот скокна на 5 Gbps во однос на претходната брзина на USB 2.0 од 480 Mbps. Со доаѓањето на USB 3.1, концептот на генерации беше воведен за да ги покрие различните брзини на интерфејсот. За прampле, USB 3.0 SuperSpeed е еквивалентен на USB 3.1 Gen 1 со 5 Gbps, а USB 3.1 Gen 2 ја удвоил таа брзина на 10 Gbps. Неодамна, стандардот USB 3.2 е објавен. Сепак, генерациската референца за брзини останува иста како USB 3.1, при што USB 3.2 Gen 1 е 5 Gbps и USB 3.2 Gen 2 е 10 Gbps. Користејќи го најновиот јазик за спецификации за USB, изворниот USB-порт на TD4 е USB 3.2 Gen 1 кој работи со 5 Gbps. Нејзините дестинации USB порти се USB 3.2 Gen 2 кои работат со 10 Gbps. За едноставност, овие порти се означени како „USB“ на самиот TD4 и тие вообичаено ќе се нарекуваат USB порти во ова упатство за корисникот.
Сите TD4 USB порти користат USB тип C конектори. Погоните од типот C и погонските кабли може да се вметнат во TD4 без оглед на ориентацијата. За да поврзете USB-диск од типот А на TD4, потребен е кабел за адаптер TCA-USB3-AC од типот А-на-тип C (или еквивалентен адаптер кој е комерцијално достапен).
ISTD230400-UGD-EN-1
Упатство за употреба
27
Поглавје 3 Конфигурирање на TD4
3.3.2 Адаптери за погон
За некои од TD4 портите, потребни се надворешни адаптери за поврзување на одредени типови на погони. Поглавје 5 од ова упатство за корисникот содржи сеопфатен список на достапни адаптери за погонски табела. Еве резиме на најчесто користените адаптери:
Тип на диск Додатна картичка PCIe SSD m.2 PCIe SSD Apple PCIe SSD 2013+ u.2 SSD (PCIe) IDE Apple PCIe SSD 2016+ FireWire mSATA/m.2 SATA SSD
Табеларен адаптер број на дел TDA7-1 TDA7-2 TDA7-3 TDA7-4 TDA7-5 TDA7-7 TDA7-9 TDA3-3
3.3.3 Погонски плочки
На левата и десната страна на почетниот екран ќе најдете погонски плочки кои се усогласуваат со портите за поврзување на физичкиот диск. Овие плочки ќе бидат сиви за сите приклучоци што немаат прикачен погон. Кога дискот е прикачен на дадена порта, таа плочка ќе стане активна и може да се допре за да се пристапи до детални информации за тој погон и да се извршат дејства специфични за уредот.
Забелешка: плочката на погонот за задниот приклучок за дополнителна опрема за USB ќе се појави само кога уредот е поврзан на таа порта. Ќе се појави под иконата Системско мени за навигација во горниот лев агол на почетниот екран.
3.3.4 Изворни дискови
TD4 извршува една форензичка работа во исто време, и, како резултат на тоа, тој е дизајниран да дозволува поврзување само на еден изворен диск во исто време. Повеќе изворни дискови може физички да се поврзат со TD4 и тоа нема да предизвика никакво оштетување на уредот. Меѓутоа, кога се поврзани повеќе од еден изворен диск, плочките на изворниот погон ќе станат црвени и сите операции за кои е потребен изворен погон (Умножување, логичка слика, хаш и обновување) ќе бидат забранети. Потврдете е единствената операција што сè уште може да се направи со прикачени повеќе изворни дискови, бидејќи користи само одредишни дискови.
Поврзете погон (или адаптер за погон со поставен погон) на еден од TD4 изворните (леви) странични интерфејси: SATA/SAS, PCIe, USB. Поврзаната плочка за диск со кориснички интерфејс ќе стане активна и ќе може да се допре view детални информации за погонот и изведувајте специфични дејства за возење. За изворните дискови, достапните дејства на погонот се како што следува:
· Прелистајте fileсистеми
28
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
3.3. Поврзување на дискови
· Празна проверка · Отстрани HPA/DCO/AMA · Отклучување со шифрирање на табела
Може да биде и резиме за работа специфично за тој диск viewед на екранот со детали за дискот, со врска до view филтрираната листа на историја на работни места за тој диск. Копчето за исфрлање за секој погон се наоѓа на долната десна страна на екранот со детали за дискот.
3.3.5 Дестинации
Поврзете еден или повеќе дискови на TD4 дестинацијата (десна) страна: SATA (x2), PCIe и/или USB (x2). Поврзаната плочка за диск со кориснички интерфејс ќе стане активна и може да се допре view детални информации за погонот и изведувајте специфични дејства за возење. За одредишните погони, достапните дејства на погонот се како што следува:
· Прелистајте fileсистеми · Празна проверка · Повторно конфигурирај (видете дел „Реконфигурирај“ на страница 42 за детални информации
за одредишниот погон Функцијата за реконфигурирање) · Отклучување со шифрирање на табела
Може да биде и резиме за работа специфично за погонот viewед на овој екран, со врска до view филтрираната листа на Историја на работни места за тој диск. Копчето за исфрлање за секој погон се наоѓа на долната десна страна на екранот со детали за дискот.
Видете „Умножување“ на страница 58 и „Изведување логичка слика“ на страница 69 за детали за извршување на задачите за дупликат и логичка слика.
3.3.6 Погони за додатоци
Дополнителен USB приклучок е достапен на задниот дел од TD4. Оваа порта може да се користи за прикачување на USB-диск за да се овозможи извоз на дневници за работни задачи или ажурирање на фирмверот TD4. Може да се користи и за прикачување на тастатура и/или глушец (жичен или безжичен).
Внимание
Приклучокот за USB додаток на задната страна на TD4 не е заштитен од пишување! Медиумите за докази никогаш не треба да се поврзуваат со оваа порта.
Кога додатокот за USB-диск е прикачен на TD4 и е откриен, мала плочка на погонот ќе се појави веднаш под иконата Системско мени за навигација во горниот лев агол на корисничкиот интерфејс.
ISTD230400-UGD-EN-1
Упатство за употреба
29
Поглавје 3 Конфигурирање на TD4
3.3.7 Откривање погон
По подигнувањето, TD4 почнува последователно да ги открива поврзаните дискови. Неактивните погонски плочки прикажани на левата и десната страна на екранот ќе станат целосно видливи и активни кога ќе се открие диск. Допрете на која било плочка на погонот view детални информации за поврзаниот погон и за извршување дејства специфични за погонот. Видете „Изворни дискови“ на страница 28 и „Дестинации“ на страница 29 претходно во ова поглавје за повеќе информации за достапните дејства.
Сликата подолу го прикажува почетниот екран на TD4 со приклучени следните дискови: USB извор, USB додаток, SATA дестинација, дестинација PCIe.
30
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
3.4. Исклучување на TD4
3.4 Исклучување на TD4
За да го исклучите вашиот TD4, едноставно притиснете го копчето за вклучување во горниот лев агол на уредот. Потврдете го барањето со допирање на копчето за исклучување или допрете го копчето Откажи за да го задржите уредот вклучен.
Во некои случаи, може да биде пожелно самото напојување TD4 да се исклучи откако ќе заврши тековната работа. Во случај на работа во текот на ноќта или во текот на викендот со единицата без надзор, ова може да помогне да се намали потрошувачката на енергија и непотребното време на работа на сите приложени погони. За да го исклучите TD4 кога тековната работа е завршена, едноставно притиснете го копчето за вклучување во горниот лев агол на уредот како што обично би правеле, а потоа допрете го копчето за исклучување. Тековната работа ќе заврши, а потоа уредот ќе се исклучи. Ова ќе работи за секој тип на работа.
Забелешка: Ако се користи методот за исклучување на копчето за вклучување опишан погоре, нема потреба да се исфрлаат приложените дискови пред да се исклучи TD4. Користењето на овој правилен метод на исклучување му овозможува на софтверот време да ги смири сите активни задачи и да ги исфрли дисковите пред да го исклучи уредот. Не се препорачува принудување на TD4 да се исклучи со повлекување на кабелот за напојување или со држење на копчето за вклучување бидејќи може да ја оштети секоја постоечка партиција/fileсистемски информации.
ISTD230400-UGD-EN-1
Упатство за употреба
31
Поглавје 4
Користење на TD4
Ова поглавје опфаќа детални процедури и информации за користење на TD4.
4.1 Почетен екран
Почетниот екран на TD4 прикажува функционални плочки за иницирање на следните форензички задачи: · Дупликат · Логичка слика · Хаш · Потврди · Врати Исто така, вклучува плочки за внесување/viewнирање суштински информации, како што следува: · Информации за случајот · Историја на работа
ISTD230400-UGD-EN-1
Упатство за употреба
33
Поглавје 4 Користење на TD4
Секоја плочка со функции може да се отвори за да прикаже повеќе информации, да внесува податоци и, доколку е применливо, да ја започне поврзаната работа. Во зависност од различните услови, работата или ќе започне веднаш по притискање на копчето Старт или ќе се прикаже екран со напредни поставки за да се овозможи конфигурирање на одредени поставки пред да започне работата. Повеќе детали за секоја функција на почетниот екран може да најдете подоцна во ова поглавје.
Низ горната лента за навигација има копчиња за брз пристап до менито за навигација на системот и почетниот екран и до view тековното време. Допирањето на името на моделот TD4 во горната лента за навигација ве носи на почетниот екран.
Забелешка: Во случај на ненормални услови за ладење, иконата за термичко предупредување ќе се прикаже во горната лента за навигација десно од иконата Системско мени за навигација. Такво предупредување никогаш нема да се види во нормални работни услови. Видете „Термички проблеми“ на страница 94 за повеќе информации.
34
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.2. Детали за возење
4.2 Детали за погонот
На левата и десната страна на почетниот екран ќе најдете погонски плочки кои се усогласуваат со портите за поврзување на физичкиот диск. Овие плочки ќе бидат неактивни за сите порти што немаат прикачен погон. Кога дискот е прикачен на дадена порта, таа плочка ќе стане активна и може да се допре за да се пристапи до детални информации за уредот и да се извршат дејства специфични за уредот.
Забелешка: плочката на погонот за задниот приклучок за дополнителна опрема за USB ќе се појави само кога уредот е поврзан на таа порта. Ќе се појави под иконата Системско мени за навигација во горниот лев агол на почетниот екран.
Види „Viewизвори и дестинации“ на страница 39 за повеќе информации за екранот со детали за уредот и поврзаната функционалност.
4.3 Системско мени за навигација
Допирањето на иконата Системско мени за навигација во горниот лев агол на горната лента за навигација го прикажува менито за навигација на системот TD4, како што е прикажано подолу. За дополнителни информации за ставките во ова мени, видете „Конфигурирање на TD4“ на страница 19.
ISTD230400-UGD-EN-1
Упатство за употреба
35
Поглавје 4 Користење на TD4
4.4 Работен статус
Откако ќе започне некоја работа, автоматски се прикажува екранот за статусот на нејзината работа. Овој статусен екран ги прикажува деталите за дадената работа, вклучително и заглавие што го прикажува типот на задачата, нејзиниот статус, времето на започнување и завршување, вкупната стапка на податоци, преостанатото време и процентот на завршено. Долната област на екранот за статусот на работата прикажува дополнителни детали за работата, вклучувајќи ги и вредностите на хашот (кога е достапно) напредок во подчекор (на пр.ample, Умножување одвоено од Верификација во работа за дуплирање/верификација), резиме на поставките и список на дисковите вклучени во работата. Со допирање на плочка на погонот се отвора екранот со детали за дискот што обезбедува a view од сите информации достапни за погонот. Фиксната долна област на екранот за статусот на работата вклучува копчиња за извоз на форензичкиот дневник за таа работа и откажување на работата. Еден поранешенampПодолу е прикажан активен екран за статус на работни места за дуплирање.
Забелешка: Ако екранот за статусот на работата е затворен, кратко резиме на статусот на работата сè уште е достапно во плочката со проширени функции на почетниот екран. Допирање на долниот дел од таа функционална плочка повторно ќе го отвори екранот за статусот на работата. Исто така, кога работи некоја работа, се прикажува кружен центрифуга во горната лента за навигација десно од името на моделот TD4. Допирањето на центрифугата повторно го отвора екранот за статусот на работата.
36
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.5. Историја на работа
Откако работата ќе заврши, се прикажува екранот за статусот на работата и го прикажува конечниот статус на таа работа.
Ако екранот за статусот на работата се остави отворен по завршувањето на работата, индикаторите за статусот на завршување ќе продолжат додека не се затвори екранот за статусот на работата. Показателите за статусот на завршување вклучуваат светлечка сијаличка за статусот и, ако е овозможено ѕвонење во мирување во системските поставки, звучно известување (еднаш во минута). Ако неактивен Chirp е оневозможен, звучното известување за завршување на работата ќе се обезбеди само еднаш.
4.5 Историја на работа
Екраните за статусот на работата може да бидат viewed од листата на работни места до која е достапна од плочката Историја на работни места на почетниот екран. Со допирање на долниот дел од проширената плочка „Историја на работни места“ се отвора списокот со работни места за таа единица. Работите во оваа листа се зачувани на уредот и опстојуваат низ циклусите на напојување. Сите активни работни места ќе се прикажат во списокот со активна сина лента за напредок. Успешно завршените работни места ќе се прикажат со целосна зелена лента за напредок. Откажаните работни места ќе покажат делумно пополнета жолта лента за напредок. И неуспешните работни места ќе се прикажат со делумно пополнета црвена лента за напредок. Допирањето на одредена плочка за работа од списокот ќе го отвори екранот за статусот на работата за таа работа. Еден поранешенampПодолу е прикажан списокот за историја на работни места.
ISTD230400-UGD-EN-1
Упатство за употреба
37
Поглавје 4 Користење на TD4
Како што може да се види на горниот дел од екранот „Историја на работни места“ погоре, тековниот случај (како што е идентификуван со поставката за ID на случај) е прикажан заедно со броење на бројот на различни случаи вклучени во списокот „Историја на работни места“.
Во некои ситуации, може да биде погодно да view и управувајте (извезете или избришете) само подмножество на работни места од списокот. За да го филтрирате списокот со работни места, допрете ја иконата за филтер во близина на горната десна страна на екранот „Историја на работни места“. Критериумите за филтрирање може да се додадат за да се прикажат само саканите работни места. Забележете дека кога се користат повеќе критериуми, сите мора да се совпаѓаат за задачата да се прикаже во филтрираната листа. Списокот на работни места може да се филтрира врз основа на следниве критериуми:
· Име на испитувачот
· ИД на случај
· Забелешки за работа
· Вози продавач
· Модел на возење
· Сериски број на возење
Забелешка: постои лесен начин да се филтрира списокот за историја на работни места за да се прикажат само работните места поврзани со одреден диск. За да го направите тоа, допрете на саканата плочка на погонот од
38
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.6. Viewизвори и дестинации
почетен екран. Скролувајте до делот за резиме на работни места на дното на екранот со детали за дискот и потоа допрете го View копче. Ќе се прикаже список само со задачи поврзани со тој диск. Можете да го проширите филтерот во тоа view за да ги видите специфичните критериуми што се користеа за филтрирање на списокот.
За да ги извезете дневниците поврзани со работните места во списокот Историја на работни места, допрете го копчето Извоз во долниот лев агол на екранот Историја на работни места. Изберете го саканиот fileсистем и папка и потоа допрете го копчето Извоз во долниот десен агол од прозорецот за прелистување.
За да ги избришете задачите што се прикажани во списокот за историја на работни места, допрете го копчето Избриши во долниот десен агол на екранот „Историја на работни места“ и следете го известувањето.
Забелешка: и за извоз на дневници и за бришење работни места, без оглед на работните места што се прикажани во списокот Историја на работни места, ќе се постапи по нив. Ако нема поставени филтри, тогаш сите дневници/задачи ќе бидат извезени или избришани. Ако се користи филтер за прикажување само подмножество од целокупната листа на работни места, тогаш само тие дневници/задачи ќе се извезат или избришат.
На TD100 може да се складираат до 4 работни места. Кога ќе се достигне таа граница, за почеток на која било следна работа ќе треба да се потврди дека најстарата работа автоматски ќе се избрише. За да се избегне тој неефикасен чекор за стартување на работата, се препорачува да се извезат дневници, а потоа да се избришат работните места на крајот од секој случај.
Видете „Форензички дневници“ на страница 79 за повеќе информации во врска со форензичките дневници на TD4.
4.6 Viewизвори и дестинации
За да пристапите до екранот со детали за дискот за извор или дестинација, допрете ја саканата плочка на дискот на почетниот екран на TD4. Погонските плочки се прикажани на левата (изворна) и десната (дестинација) страна на корисничкиот интерфејс TD4. Екранот со детали за уредот за изворен SATA-диск е прикажан подолу.
ISTD230400-UGD-EN-1
Упатство за употреба
39
Поглавје 4 Користење на TD4
Полето Evidence ID на горниот дел од екранот со детали за дискот овозможува да се внесе краток опис на уредот. Оваа вредност за ID на докази е неформален начин за идентификување на дискови што им овозможува полесно да се препознаат низ корисничкиот интерфејс TD4. Овој ID на докази ќе се појави на екраните со детали за погонот и картичките на погонот, кои се гледаат на различни места, како што се во секциите Извор и Дестинација(и) на екранот за статусот на работата. ИД на докази ќе се појави и во форензичките дневници. Ако не се внесе ID на докази за даден диск, уредот ќе се идентификува со името на продавачот, моделот и серискиот број.
По полето Идентификатор на докази, горниот дел од екранот со детали за дискот ги прикажува клучните информации за избраниот диск, како што се големината, продавачот, моделот, ревизијата на фирмверот, сериските броеви, големината на секторот и достапните (пријавени) сектори. УСБ-уредите ќе имаат прикажани дополнителни информации, вклучително и специфичен сериски број за USB.
Делот „Содржина“ на екранот со детали за дискот обезбедува информации за тоа што има на уредот, а исто така овозможува и специфични дејства на уредот, како што се „Празно проверка“, „Реконфигурирај“ (само дестинации), „Отстрани HPA/DCO/AMA“ (само извори) и „Шифрирање на табела“ Отклучи. За дискови со забележливи fileсистеми, горниот дел од делот „Содржина“ го означува типот на табелата со партиции, бројот на партиции и бројот на fileсистеми. Секој може да се открие fileсистемот ќе има а fileсистемска картичка која прикажува повеќе информации за fileсистем. За да пребарувате a fileсистем, допрете го fileсистемска картичка. Ако уредот има одредени ограничувања во секторот (HPA/DCO/AMA), a
40
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.6. Viewизвори и дестинации
предупредувачката порака ќе биде обезбедена во горниот дел од делот Содржини. Таков
ограничувањата на секторот се идентификуваат и со иконата прикачена на плочките на погонот на почетниот екран.
Делот Jobs на екранот Details за диск дава информации за задачите што биле извршени со тој диск. Бројот на работни места го означува бројот на сите форензички задачи извршени со користење на тој диск и ги вклучува следните операции: дупликации, логички слики, хешови, верификации, реконфигурации, празни проверки, обновувања и отстранување на ограничувањата на секторот. Бројот на завршени набавки го покажува бројот на целосно завршени, успешни задачи од типот на стекнување, имено Умножувања и логички слики. Ако сите задачи за даден диск имаат ист ID на случај, тој ID на случај е прикажан и во овој дел. Ако има повеќе идентификатори на случај поврзани со даден диск, „Multiple“ ќе се прикаже во полето Case ID. На View копчето во долниот десен дел од делот Jobs ќе прикаже филтриран список за историја на работни места што ги прикажува само работните места поврзани со тој специфичен диск.
Во долниот десен агол на кој било екран со детали за дискот е копчето Извади. Едноставно допрете го копчето Извади и одговорете на барањето за исфрлање диск од системот. Исфрлањето на дискот го отстранува од системскиот софтвер на безбеден начин и се препорачува пред да го исклучите приклучениот медиум од напојуваниот TD4 и пред да го исклучите TD4 со приклучени дискови. Конкретно за дестинации и придружни дискови (бидејќи се читаат/пишуваат), неуспехот да се исфрли диск пред да се отстрани од системот може да го оштети уредот fileсистем, што може да резултира со губење на претходно заробени докази/податоци. Имајте предвид дека исфрлањето на медиумот што се користи во работата нема да биде дозволено додека работата не заврши.
Покрај замолчувањето на погонот за отстранување на системот, притискањето на копчето Извади ќе издаде команда за вртење ATA на дисковите што може да го поддржат. Се препорачува вртење надолу ротирачки хард дискови за да се минимизира можноста за оштетување на послужавник при физичко отстранување на уредот од системот. Забележете дека не сите дискови ја поддржуваат оваа команда, а некои може да потрае подолго за да се исфрлат од системот поради недостаток на поддршка за командата за спин надолу. Но, ова се смета за помала непријатност во споредба со придобивките од минимизирање на можноста за оштетување на погонот.
Внимание
Се препорачува да се исфрлат сите погони од системот пред физички да се отстранат од TD4. Ова ги става дисковите во мирна состојба, што ќе обезбеди стабилност на системот и интегритет на податоците на дисковите.
За медиуми прикачени на TD4 PCIe порти, потребно е исфрлање пред отстранување. PCIe-дискови со жешка замена без нивно исфрлање може да предизвикаат нестабилност на системот и непредвидливо однесување/перформанси на TD4.
Присилното отстранување на напојувањето (со повлекување на кабелот за напојување или држење на копчето за вклучување) може да предизвика проблеми со приложените дискови, вклучително и оштетување на информациите за форматирање. Доколку е можно, препорачливо е да се исклучи преку корисничкиот интерфејс (преку брзо притискање на копчето за вклучување), што автоматски ќе ги исфрли сите приклучени дискови пред да се исклучи уредот.
ISTD230400-UGD-EN-1
Упатство за употреба
41
Поглавје 4 Користење на TD4
4.6.1 Празна проверка
Алатката Blank Check проверува погон за присуство на значајни податоци. За да пристапите до екранот за поставување празна проверка, допрете Празна проверка во делот Содржина на екранот со детали за дискот.
Следната табела дава детали за опцијата Blank Check:
Опција Брза
Случајно
Линеарна
Опис
Брзо проверува за да утврди дали погонот се чини дека е празен со читање и проверка на секторите во Главниот запис за подигање, примарниот GPT и секундарниот GPT.
Ја врши Брзата проверка, а потоа чита до 75% од достапните сектори по случаен избор за да утврди дали се празни. Празната проверка ќе престане веднаш штом ќе се открие шаблон на податоци што не е празен.
Линеарно чита до 100% од достапните сектори за да провери дали дискот е празен. Празната проверка ќе престане веднаш штом ќе се открие шаблон на податоци што не е празен.
Секторот се смета за празен ако ја содржи само истата повторена шема од 2 бајти. Секоја шема која не се повторува се смета за непразна. Сепак, секој поединечен сектор може да содржи различни модели кои се повторуваат. Ако се открие дека некој сектор не е празен, погонот не се смета за празен, а проверката за празно ќе престане.
Забелешка: Опциите за брзо и случајно празно проверка не вршат исцрпни проверки на целиот погон. Можно е погонот да изгледа празен според Брза или Случајна проверка додека сè уште се складираат форензички релевантни информации.
4.6.2 Реконфигурирај
Алатката Reconfigure овозможува извршување на специфични дејства на погонот, главно поврзани со подготовка на одредишен погон што ќе се користи за идни задачи за дуплирање и логичка слика. Поради природата на менување на дискот на дејствата достапни во оваа алатка, Reconfigure е достапна само за одредишните дискови. За да пристапите до екранот за поставување на алатката Reconfigure (прикажано подолу), допрете Reconfigure од делот Содржина на екранот со детали за дискот.
42
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.6. Viewизвори и дестинации
Реконфигурирањето овозможува последователно завршување на бараните задачи без потреба од интервенција на корисникот. Ова го олеснува извршувањето на чекорите за подготовка на вообичаените дестинации на медиумот на автоматизиран начин, без да мора да го правите секој како посебен чекор. За прampле, одредишниот диск може да се избрише и потоа да се форматира во една работа со избирање Wipe и Format, поставување на опциите за секој под-чекор и потоа допирање на Start. Имајте предвид дека наведениот редослед на опционалните подфункции на Reconfigure е намерен и се совпаѓа со редоследот по кој тие ќе се применат на уредот. Детали за секоја под-функција Реконфигурирај се дадени во под-секциите подолу.
4.6.2.1 Отстранете ги ограничувањата на секторот
Во минатото, најчестиот метод за намерно ограничување на пријавениот капацитет на дискот беше со користење на сетови од карактеристики ATA HPA (заштитена област на домаќинот) и/или DCO (преклопување на конфигурацијата на уредот). Почнувајќи со ажурирањето на спецификациите ACS-3 (ATA/ATAPI Command Set 3), беше воведен концептот за адресибилна максимална адреса (AMA). Поновите дискови може да го поддржат овој метод за ограничување на пријавениот капацитет на дискот. TD4 ги поддржува сите овие методи со автоматско откривање, идентификација и известување што ќе го направи справувањето со нив беспрекорно и лесно. Од форензичка точка на view, вредно е да се знае дали се користат HPA, DCO или AMA. Со тоа знаење, форензичарот може да донесе информирана одлука дали да добие податоци во скриените региони на уредот.
ISTD230400-UGD-EN-1
Упатство за употреба
43
Поглавје 4 Користење на TD4
Имајте предвид дека овие методи (HPA/DCO и AMA) меѓусебно се исклучуваат. Уред што поддржува HPA/DCO нема да поддржува AMA, а диск што поддржува AMA нема да поддржува HPA/DCO. Исто така, додека HPA и DCO се поврзани карактеристики за даден погон, HPA има единствен атрибут (испарлив или привремено отстранување) што го разликува од DCO и AMA. Од таа причина, овој дел ќе го опфати отстранувањето на испарливи HPA како посебна тема пред да се осврне на неиспарливото (трајно) отстранување на HPA/DCO или AMA.
TD4, исто така, обезбедува можност да се „положи“ DCO или AMA, што значи оневозможување на изворниот уред DCO или AMA за целите на дуплирање на докази и потоа враќање на истиот DCO/AMA по завршувањето на работата. Видете „Умножување“ на страница 58 за повеќе детали за поставување на DCO.
4.6.2.2 Отстранување на испарливи HPA
HPA може да се оневозможи без да се направи трајна модификација на уредот. Ова е познато како испарливо или привремено отстранување на HPA конфигурацијата. Кога уредот на кој му е отстранет HPA на овој начин ќе се отстрани од TD4 (или на друг начин е исклучен) и потоа повторно ќе се поврзе, тој секогаш ќе се враќа во првобитната состојба (со конфигуриран и овозможен оригиналниот HPA). Бидејќи ова е само привремена промена на конфигурацијата на дискот (не промена на податоците зачувани на уредот), TD4 автоматски го оневозможува HPA на кој било диск поврзан на една од неговите изворни порти. Бидејќи поставките за DCO и AMA може да се оневозможат само на трајна основа, TD4 не ги оневозможува автоматски на поврзаните изворни дискови.
Во случај на автоматско, испарливо отстранување на HPA од поврзан изворен погон, корисничкиот интерфејс TD4 прави очигледно што се случило со наведување колку HPA сектори биле изложени, како што е прикажано на следната слика од екранот.
44
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.6. Viewизвори и дестинации
Осврнувајќи се на горната слика од екранот за деталите на уредот, фактот дека HPA е отстранета се одразува на два начина. Едно, полето Size на дискот го рефлектира целосниот капацитет на уредот (со отстранета HPA). И две, делот Содржина покажува колку сектори на HPA биле изложени во црвен текст. Имајте предвид дека оваа информација поврзана со HPA е исто така заведена во форензичките дневници.
TD4 никогаш не прави автоматски промени на конфигурациите за ограничување на капацитетот на погонот на одредишните погони. TD4 беше дизајниран да му даде на форензичарот целосна контрола над одредишното возење. Ако изберете да го ограничите капацитетот на одредишниот погон користејќи HPA, DCO или AMA, TD4 нема да ја отфрли таа одлука.
ISTD230400-UGD-EN-1
Упатство за употреба
45
Поглавје 4 Користење на TD4
4.6.2.3 Отстранување на неиспарливи HPA/DCO/AMA
Алатката Remove Sector Limitations трајно ги оневозможува HPA, DCO или AMA конфигурациите на избраниот диск. Овие промени се трајни, не може да се отповикаат и ќе траат во текот на циклусите на напојување на погонот.
За дестинациски дискови, алатката Remove Sector Limitations е вклучена во функцијата Reconfigure, која е достапна во делот Содржина на екранот со детали за дискот. Допрете ја саканата дестинација плочка на погонот од почетниот екран, а потоа допрете го копчето Повторно конфигурирај на екранот со детали за дискот. Во екранот Повторно конфигурирање на поставување, изберете Отстрани секторски ограничувања, а потоа притиснете го копчето Старт. Сите идентификувани ограничувања на секторот (HPA/DCO или AMA) ќе се отстранат од одредишниот погон.
За изворните дискови, алатката Remove Sector Limitations е достапна директно во делот Содржина на екранот со детали за дискот. Ова е затоа што не постои алатка Reconfigure за изворните дискови, бидејќи повеќето од опциите Reconfigure се специјално наменети за одредишните дискови.
Забележете дека за HPA/DCO, не можете да отстраните регион заштитен со DCO на уредот без да отстраните и кој било регион заштитен со HPA, како што е дефинирано со спецификацијата ATA.
Ако уредот има конфигуриран HPA/DCO или AMA, се прикажува црвена предупредувачка порака во делот Содржина на екранот со детали за дискот што го покажува бројот на сектори што се скриени од HPA/DCO/AMA. Иконата е прикажана и на работ од плочката на погонот на почетниот екран и во близина на горниот дел од екранот со детали за дискот за да се обезбеди на прв поглед идентификација на присуството на конфигурација за ограничување на секторот. Сликата од екранот подолу го прикажува екранот со детали за уредот за диск со регион заштитен со DCO.
46
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.6. Viewизвори и дестинации
IDE-погоните со DCO бараат посебни размислувања со TD4. Промените во поставките за DCO бараат напојување на погонот што, за директно поврзани SATA-дискови, се врши автоматски од TD4. Меѓутоа, бидејќи моќта на погонот IDE може да се обезбеди на неколку начини, TD4 не може детерминистички да ја циклуси моќноста на погонот IDE.
За да оневозможите DCO на уредот IDE, проверете дали уредот IDE (преку TDA7-5) е единствениот поврзан изворен диск и потоа завршете ги следните чекори:
1. Допрете Remove Sector Limitations од екранот со детали за изворниот диск и потврдете дека е потребно отстранување на DCO за да се започне задачата.
2. Допрете Извади во долниот десен дел од екранот со детали за уредот.
3. Отстранете го напојувањето од уредот IDE.
4. Отстранете го TDA7-5 од TD4.
5. Повторно поврзете го TDA7-5 (со поврзан погон IDE) на TD4.
6. Повторно поврзете го напојувањето со уредот IDE.
Забелешка: Конкретно за IDE-дискови поврзани преку TDA7-5, форензичкиот дневник за задача за отстранување DCO/AMA ќе пријави успешно завршување на операцијата за отстранување на DCO веднаш откако командата ќе биде издадена на уредот. ТД4
ISTD230400-UGD-EN-1
Упатство за употреба
47
Поглавје 4 Користење на TD4
нема начин да знае дали командата навистина е завршена на ниво на погон. Состојбата на DCO треба рачно да се потврди откако ќе заврши рестартирањето и пред да се започнат следните работи.
4.6.2.4 Бришење на дестинација или придружни дискови
Услужната алатка Wipe media обезбедува шест типа бришења за дестинациите и дополнителните дискови. Табелата подолу дава детални информации за секој тип на поддржано бришење.
Забелешка: ако конфигурација HPA/DCO/AMA е присутна на дискот што имате намера да го избришете и сакате да го избришете целиот диск (не само изложениот дел), изберете ја функцијата Отстрани секторски ограничувања на екранот за повторно конфигурирање на поставување заедно со Избришете ја функцијата пред да ја започнете работата Повторно конфигурирај.
Внимание
Бришењето на погоните резултира со постојано пишување на медиумот, што може да создаде ненормално високи термички работни услови во внатрешноста на погонот. OpenText високо препорачува користење вентилатор или ладилник за надворешен погон при бришење медиум на TD4 за да помогне да се спречи термичко оштетување на погоните.
Опција Презапишете
Опис
Single Pass: TD4 ќе напише константна шема (сите нули) на погонот во едно поминување. Верификацијата е изборна.
Повеќекратна пропусница: TD4 врши три целосни премини за запишување до дестинацијата или дополнителен погон. Првото поминување запишува нули (0x0000), а второто поминување запишува единици (0xFFFF), а третото поминување запишува случајно избрана константна вредност помеѓу 0x0001 и 0xFFFE. Верификацијата е изборна. Ако е овозможено, може да се конфигурира да се потврдува по секое поминување со бришење или само по последното поминување.
48
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.6. Viewизвори и дестинации
Опција Безбедно бришење (само SSD)
Sanitize – Block Ease (само SSD)
Дезинфицирајте Презапишете
Опис
Командата ATA Secure Erase му наложува на уредот да ги ресетира сите достапни блокови во состојба на бришење. Како се имплементира состојбата на бришење на уредот не е наложено од спецификацијата ATA, што значи дека конечната состојба на податоци на дисковите зависи од производителот (и не мора да значи дека сите нули). За дискови што не поддржуваат безбедно бришење, TD4 ќе го означи ова ограничување при изборот на тип на бришење.
Поради неодредената природа на состојбата на податоците по бришење, TD4 не нуди потврда за бришење со безбедно бришење.
Поради познати проблеми со неконзистентна и несигурна поддршка за безбедно бришење на ротирачки дискови (HDD), TD4 ја поддржува оваа функција само на SSD-дискови.
Имајте предвид дека „Безбедното бришење“ ќе го избрише целиот пристапен простор на дискот, но нема да мора да го избрише премногу обезбедениот простор или друг простор резервиран од внатрешниот контролер на уредот.
TD4 ќе принуди да ги отстрани сите откриени HPA/DCO/AMA конфигурации пред да започне бришењето безбедно бришење.
Наредбите ATA и SCSI Sanitize Block Ease му наложуваат на уредот да ги избрише сите блокови на флеш меморија. Ова обично се прави електрично, а не преку пишување податоци на уредот. Додека состојбата на податоците по бришење не е задолжителна со спецификациите ATA/SCSI, Sanitize Block Ease обично го остава уредот во исчистена (сите нули) состојба, што овозможува проверка по бришење. За дискови што не поддржуваат Sanitize Block Ease, TD4 ќе го означи ова ограничување при изборот на тип на бришење.
Имајте предвид дека Sanitize Block Erase ќе го избрише целиот простор на дискот што е достапен за корисникот, како и премногу обезбеден простор и кој било друг простор резервиран од внатрешниот контролер на уредот.
TD4 ќе присили да ги отстрани сите откриени HPA/DCO/AMA конфигурации пред да започне бришење со Sanitize Block Ease.
Командата ATA и SCSI Sanitize Overwrite му наложува на уредот да ги презапише сите податоци на дискот и во складиштето и во кешот на ondrive со нули. Оваа функција обично се имплементира на HDD-а, но е достапна на некои SSD-дискови. За дискови што не поддржуваат Sanitize Overwrite, TD4 ќе го означи ова ограничување при изборот на тип на бришење.
Забележете дека, за SSD-дискови кои поддржуваат Sanitize Overwrite, покрај целиот простор на дискот што е достапен за корисникот, ќе се избришат и премногу обезбедениот простор и другиот простор резервиран од внатрешниот контролер на дискот.
TD4 ќе присили да ги отстрани сите откриени HPA/DCO/AMA конфигурации пред да започне бришењето Sanitize Overwrite.
ISTD230400-UGD-EN-1
Упатство за употреба
49
Поглавје 4 Користење на TD4
Опција NIST 800-88 R1 Clear
NIST 800-88 R1 Purge
Опис
NIST Clear wipe ќе изврши пребришено бришење со потврда по бришење. За USB-дискови ќе изврши три поминувања, а за сите други дискови ќе изврши едно поминување.
TD4 ќе принуди да ги отстрани сите откриени HPA/DCO/AMA конфигурации пред да започне бришење со NIST 800-88 R1 Clear.
За повеќе детали во врска со NIST 800-88 R1 Clear, погледнете во SP 800-88 r1: Упатства за дезинфекција на медиумите што е достапно на NIST's web сајт.
Бришењето на NIST Purge е можно само ако уредот поддржува одредени команди за бришење. За SSD-дискови кои поддржуваат Sanitize Block Ease, тој метод ќе се користи со потврда по бришење. Во спротивно, ако дискот поддржува Sanitize Overwrite (HDD или SSD), тогаш тој метод ќе се користи со потврда по бришење. Дисковите што не поддржуваат ниту една од овие команди не можат да се исчистат NIST 800-88 R1, а TD4 ќе го означи ова ограничување при изборот на тип на бришење.
TD4 ќе принуди да ги отстрани сите откриени HPA/DCO/AMA конфигурации пред да започне бришење NIST 800-88 R1 Purge.
За повеќе детали во врска со NIST 800-88 R1 Purge, погледнете во SP 800-88 r1: Упатства за дезинфекција на медиумите што е достапно на NIST's web сајт.
Забелешка: Безбедно бришење и бришење марамчиња имаат забележителни нијанси, како што следува:
· Точните разлики помеѓу Secure Erase и Sanitize може да бидат суптилни, во зависност од имплементацијата на производителот на дискот. Но, генерално, Безбедно бришење е адекватно за средини кои не се занимаваат со отстранување на какви било докази за претходни податоци во физичките мемориски чипови. Безбедното бришење ќе гарантира дека типично читање на системот на домаќинот ќе враќа само избришани податоци, но некој со напредни способности да прави анализа на структурата на мемориската структура на чип-оф може теоретски да ги препознае претходните состојби на бит на податоци. Sanitize има за цел да ги покрие ситуациите кои бараат посигурно отстранување на податоци, каде напредните техники за пронаоѓање податоци се загрижувачки, а негативната страна трае многу подолго за да се заврши.
· Барањата за команда за безбедно бришење и санирање не ја гарантираат конечната состојба на податоците на избришаните дискови, што може да резултира со неуспеси за бришење задачи што се надвор од контрола на TD4. Од OpenText емпириско тестирање во текот на големи сampЗаради големината на дисковите од различни производители, Безбедното бришење сигурно ќе ги избрише дисковите за многу краток временски период, но со поголема веројатност за недетерминистичка состојба на податоци кога ќе биде завршена, што ја прави невозможна веродостојната проверка. Sanitize се покажа како посигурен во бришењето на сите податоци на нули, што овозможува верификација по бришење. Ако искусите неуспеси во потврдата за бришење на Sanitize, контактирајте со OpenText My Support на https://support.opentext.com за да ја пријавите конкретната марка и модел на уредот, а тимот на Tableau ќе го испита.
50
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.6. Viewизвори и дестинации
4.6.2.5 Шифрирање на дестинации и придружни дискови
TD4 може да ги шифрира дестинациите и дополнителните дискови користејќи шифрирање на целиот диск XTS-AES базирано на лозинка. Оваа шифрирање базирана на Табела е компатибилна со Tableau TD2u Forensic Duplicator, TX1 Tableau Forensic Imager и софтверот со отворен код VeraCrypt. Шифрирањето може да се постави само на одредишните и дополнителните дискови бидејќи бара модификација за запишување на уредот.
Внимание
Процесот на шифрирање го препишува дестинациониот/дополнителен диск, затоа не заборавајте да го шифрирате одредишниот диск пред да го користите во задача за стекнување TD4.
За да шифрирате диск прикачен на дестинација или приклучок за дополнителна опрема TD4, изберете Encrypt од списокот со опции Reconfigure. Внесете ја саканата лозинка за шифрирање и потоа допрете го копчето Start.
Забелешка: TD4 поддржува автоматска буква за полињата за внесување текст. Ова значи дека првиот знак во записот ќе биде со голема буква, а следните записи на знаци автоматски ќе се префрлат на мали букви. Исклучок се полињата за внесување лозинка. Автоматската буква е оневозможена за полињата за внесување лозинка за да се избегне забуна и да се спречат неточни внесувања на лозинка. Се препорачува двојно да ги проверите внесените лозинки до viewвнесете ги во обичен текст (користејќи ја иконата за очи на крајот од полето за внесување) пред поднесувањето.
Дестинација или дополнителна опрема шифрирана со Табела може да се отклучи со лозинка за да се овозможи прелистување или сликање/обновување во шифрираниот контејнер.
Изворниот диск шифриран со Табела може да се отклучи со лозинка за да се овозможи прелистување или сликање/обновување на нешифрираната содржина на дискот до одредишниот диск.
OpenText не може да ги врати изгубените лозинки за шифрираните медиуми TD4, затоа преземете соодветни чекори за да се осигурате дека никогаш нема да ја изгубите лозинката.
За да го отстраните шифрирањето од дискот, поврзете го дискот со одредиштето TD4 или приклучокот за дополнителна опрема и потоа, без отклучување на шифрирањето, избришете го уредот.
Забелешка: ако диск шифрирана со Tableau се отклучи пред да се избрише, шифрирањето ќе остане недопрено и само содржината на отклучениот контејнер за шифрирање ќе биде избришана. Ако сакате да ја избришете шифрираната состојба, шифрирањето на уредот мора да остане заклучено пред да започне бришење.
ISTD230400-UGD-EN-1
Упатство за употреба
51
Поглавје 4 Користење на TD4
4.6.2.6 Форматирање на дестинации и придружни дискови
За да извршите дуплирање на слики или да зачувате дневници на диск, мора да го форматирате дестинацијата или дополнителната единица со a fileсистем кој е препознатлив по TD4. TD4 поддржува форматирање на дестинации и придружни дискови во следново fileсистемски формати: exFAT, NTSF, FAT, HFS+ или EXT4.
Забелешка: TD4 не може да форматира диск со APFS ниту да запишува на диск со претходно постоечки APFS. Ќе монтира томови форматирани APFS како само за читање на сите TD4 порти (извор, дестинација и додаток). Таков fileсистемите не се употребливи за какви било активности кои бараат пишување, дури и на дестинации и приклучоци.
exFAT се препорачува за најдобра компатибилност при пристап до дискови со сите модерни оперативни системи. EXT4 се препорачува за употреба со форензички алатки на Linux. HFS+ се препорачува за употреба со форензички алатки MacOS.
Забелешка: Кога FAT е избрано како fileтип на систем за формат на одредишен погон, TD4 ќе го форматира уредот како FAT32. Сепак, дневниците за работни места (вклучувајќи го дневникот за формат) и сите елементи на корисничкиот интерфејс едноставно ќе го прикажат ова како FAT. Тоа е затоа што TD4 поддржува читање од сите FAT формати (12, 16 и 32) и едноставното идентификување на сите како FAT се смета за прифатливо и точно за fileцели за идентификација на системот.
За да форматирате дестинација или дополнителен диск, прикачете го уредот на саканата порта TD4 и потоа допрете на поврзаната плочка на погонот на почетниот екран на TD4. Допрете го копчето Повторно конфигурирај во делот Содржина на екранот со детали за дискот и потоа изберете ја опцијата Формат. Изберете го саканиот fileтип на систем и потоа допрете го копчето Start.
Забелешка: OpenText силно препорачува да не се користи FAT како дестинација или дополнителен диск fileсистем. На TD4, FAT fileсистемите се ограничени на максимален излез file големина од 2 GB и се знае дека читањето или пишувањето на нив е побавно од другите fileтипови на системи. Исто така, FAT не поддржува дискови над 2 ТБ.
4.6.3 Опал шифрирање
Опал шифрирањето е метод за шифрирање базиран на хардвер кој го управува контролорот на уредот со само минимална интеракција на системот на домаќинот. Опал е индустриски стандард создаден од конзорциумот Trusted Computing Group (TCG) кој го дефинира, меѓу другото, протоколот за интерфејс на овие типови хардверски шифрирани дискови. Овие обично се нарекуваат само-шифрирачки дискови (SED) бидејќи системот на домаќинот прави малку повеќе од обезбедување на преден интерфејс за управување со шифрирањето. Контролниот систем на уредот е одговорен за шифрирање/нешифрирање на сите зачувани податоци на уредот и контролирање на пристапот до него.
TD4 може да открие Opal SED на кои им е овозможено шифрирањето и ќе предупреди за присуството на Opal енкрипција на различни места во корисничкиот интерфејс и форензичките дневници. Откриениот заклучен опал диск ќе има вклучена црвена икона за заклучување (со затворена брава).
52
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.6. Viewизвори и дестинации
работ на плочката за погон на почетниот екран. Таквиот погон ќе вклучува и предупредувачка порака во близина на горниот дел од екранот со детали за дискот што укажува дека уредот е заклучен опал диск и дека не може да се чита, како што е прикажано на сликата од екранот подолу.
Забележете дека на опал дисковите на кои не им е овозможено шифрирањето ќе се однесуваат како обични, нешифрирани дискови.
Дополнително внимание за опал дисковите е уникатна конфигурација што изложува MBR во сенка. Овој MBR во сенка може да биде овозможен од развивачите на диск/систем да изложи мал дел од уредот како нешифриран контејнер, што ги надминува информациите за главниот диск што му се претставени на домаќинот. Типичен случај за употреба за оваа конфигурација е да им се овозможи на производителите на компјутери да бараат ингеренции од корисникот пред да го откријат главниот дел од уредот. Без оглед на случајот на употреба, важно е да може да се идентификуваат ситуации каде што се открива само MBR во сенка, за да биде јасно дека целата содржина на уредот не се гледа. TD4 ќе открие кога е овозможено Opal сенка MBR и јасно ќе информира за неговото присуство. Иконата за заклучување ќе се прикаже во погодената плочка на погонот на почетниот екран, а присуството на Opal MBR ќе биде експлицитно повикано на екранот со детали за дискот. Во моментов, управувањето со шифрирањето Опал не е поддржано од TD4 (вклучувајќи го отклучувањето на шифрирањето Опал и оневозможувањето на MBR во сенка на Опал). Ве молиме контактирајте со поддршката за корисници на OpenText за опции за стекнување на такви дискови.
ISTD230400-UGD-EN-1
Упатство за употреба
53
Поглавје 4 Користење на TD4
Внимание
Уредите од типот на приклучна станица што имаат опал дискови во нив мора да поддржуваат пропуштање на командата ATA за TD4 за правилно откривање на присуството на опал шифрирање. Докинг станиците кои не поддржуваат пропуштање на командата ATA може да ги претстават заклучените опал медиуми како сите нули без индикации дека опал шифрирањето е присутно во корисничкиот интерфејс TD4. Бидете внимателни кога купувате медиуми преку приклучна станица. Ако се сомневате дека погонот во приклучната станица е шифриран со опал, но не е претставен на тој начин во корисничкиот интерфејс TD4, отстранувањето на уредот од куќиштето и директно поврзување со TD4 може да го даде посакуваниот резултат.
4.6.4 APFS и BitLocker шифрирање
TD4 може да открие присуство на fileсистеми шифрирани со APFS на Apple и енкрипција BitLocker на Microsoft. Овие методи за шифрирање се однесуваат само на fileсистеми, што се разликува од методите за шифрирање на целосни (или цели) дискови што се применуваат на ниво на погон, без оглед на форматирањето. Како резултат на тоа, укажувањето на присуството на APFS и BitLocker шифрирање на TD4 се прави поинаку од другите типови на шифрирање на целосниот диск (Tableau и Opal) што може да се детектира.
TD4 ќе покаже присуство на APFS и BitLocker енкрипција во fileсистемските плочки прикажани на екранот со детали за уредот, како што е прикажано на сликите од екранот подолу.
Забелешка: за разлика од другите методи за шифрирање на целосни дискови (Tableau и Opal), дисковите со APFS и BitLocker шифрирани fileсистемите може физички да се стекнат (Работа за дуплирање) во нивната заклучена состојба, а потоа да се отклучат за време на следните чекори на истражниот работниот тек користејќи алатки како што е OpenText EnCase Forensic.
54
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.6. Viewизвори и дестинации
ISTD230400-UGD-EN-1
Упатство за употреба
55
Поглавје 4 Користење на TD4
Забелешка: за разлика од другите методи за шифрирање на целосни дискови (Tableau и Opal), дисковите со APFS и BitLocker шифрирани fileсистемите може физички да се стекнат (Работа за дуплирање) во нивната заклучена состојба, а потоа да се отклучат за време на следните чекори на истражниот работниот тек користејќи алатки како што е EnCase Forensic на OpenText.
4.7 Прелистување
Функцијата за прелистување обезбедува лесен начин за view содржината на монтиран fileсистем. За да пребарувате a fileсистем, допрете ја саканата плочка на погонот од почетниот екран. Ќе се прикаже екранот со детали за уредот за избраниот диск. За погони со барем еден монтиран fileсистем, делот Содржина на екранот со детали за дискот ќе прикаже општи информации за партициите/fileсистем(и) и а fileќе се прикаже системската картичка која ги прикажува клучните информации за секоја од нив fileсистем. За да прелистувате дадено fileсистем, едноставно допрете го fileсистемска картичка од делот Содржина на екранот со детали за дискот, кој ќе прикаже модал за прелистување. А сampМодалот за прелистување е прикажан подолу.
56
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.7. Прелистување
Горниот дел од прозорецот за прелистување ќе го прикаже fileсистемски информации, проследени со тековните file патека. Локацијата на почетната патека е секогаш коренот на fileсистем, како што е означено со предната коса црта (/) веднаш над fileдел за системска содржина. Информациите за патеката ќе се ажурираат додека папките се навигираат за секогаш да ја покажуваат тековната патека.
Во делот на прелистувачот на екранот, можете да скролувате нагоре и надолу до view листата на именици и fileс. Лизгањето десно/лево е исто така овозможено ако fileимињата се долги и излегуваат од екранот. Големината на секоја од нив file е прикажано во загради на крајот од fileиме.
За да отворите поединечни директориуми, допрете двапати на името на директориумот или еднократно допрете го директориумот за да го изберете, а потоа допрете ја иконата за отворен директориум. Допрете ја иконата за горе на директориумот
да се повлечете од директориумот.
За дестинации и придружни дискови, може да се креираат нови директориуми и директориуми/ files може да се избришат. За да креирате нов директориум, едноставно допрете ја иконата за креирање директориум и внесете го името на новиот директориум. За да избришете директориум или file, едно допирање на директориумот или file за да изберете, а потоа допрете ја иконата за бришење.
ISTD230400-UGD-EN-1
Упатство за употреба
57
Поглавје 4 Користење на TD4
4.8 Информации за случајот
Информациите за случајот се клучен дел од секоја дигитална истрага. Кога ќе се внесат на TD4, информациите за случајот ќе се прикажат на клучни места низ корисничкиот интерфејс за време на извршувањето на работата и ќе бидат запишани во форензичките дневници. Ова овозможува лесна корелација на клучните артефакти за стекнување со конкретни случаи во текот на истрагата.
За да внесете информации за случајот, проширете ја плочката на функцијата Case Info од почетниот екран. Допрете на секое од полињата за да го внесете саканиот текст. Забележете дека полињата за внесување текст на TD4 се во живо. Тоа значи дека она што го пишувате автоматски ќе се зачува кога ќе се оддалечите од полето за внесување текст, без потреба експлицитно да го зачувувате новиот запис.
Следниве информации за случајот може да се внесат на TD4: Име на испитувачот, ID на случај и Белешки за случај.
На дното на плочката на функцијата „Информации за случајот“ е полето за избор што ќе даде известување за внесување „Забелешки за работа“ на почетокот на секоја работа. Кога ова поле е означено, пред почетокот на секоја работа ќе се појави екран со напредни поставки што овозможува внесување на белешки за работни места. Ова овозможува специфични информации за одреден дел од дигиталниот доказ да бидат внесени и заробени во форензичкиот дневник за секоја работа.
4.9 Умножување
TD4 ќе дуплира еден изворен диск до пет одредишни дискови. Може да се поврзе само еден извор во исто време и на тој начин може да се изврши само една форензичка работа во исто време. За дадена работа, дестинациите може да бидат мешавина од клонирани и снимени копии.
Забелешка: Овој дел е фокусиран на операции за дуплирање на целиот диск, исто така познати како физичко снимање. Видете „Логичко сликање“ на страница 68 за детали за тој алтернативен метод на стекнување.
Пред да започне каква било форензичка работа, TD4 автоматски проверува за предуслови. Овие предуслови се поврзани со специфични параметри за поставување работни места кои би можеле да влијаат на способноста на TD4 да ја изврши саканата работа. Некои предуслови создаваат предупредувања што се појавуваат во плочката со проширени функции на почетниот екран. Некои од тие предупредувања бараат промени пред да можат да ја започнат работата, додека други се информативни и не го спречуваат започнувањето на работата. За какви било проверки на предуслови за кои може да бидат потребни промени, ќе се појави екран за напредни поставки откако ќе се притисне копчето Старт за да се овозможи прилагодување на соодветните поставки пред да започне работата.
58
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.9. Се дуплира
4.9.1 Клонирање
Клон, исто така познат како дуплирање диск-до-диск, прави точна копија од изворниот погон до одредишното уредување.
TD4 автоматски ќе избере клон за сите дестинации што немаат откријат fileсистеми. Доколку се поврзат такви дестинации, ќе се појави информативна порака во проширената плочка на функцијата Duplicate на почетниот екран за да покаже дека тие дискови ќе бидат клонови.
Забелешка: иконата покажува дека не може да се открие fileсистеми и ќе бидат прикажани веднаш до информативната порака за клонирање во проширената плочка на функцијата Дупликат и на левата страна од која било применлива дестинација погонска плочка. Тие типови на одредишни дискови секогаш ќе станат клон на изворниот диск.
Најдобра практика е да се бришат одредишниот медиум пред да се дуплираат во нив, бидејќи тоа може да помогне да се идентификуваат потенцијално неисправните медиуми и лошите сектори и може да се намали ризикот од вкрстено контаминирање на дуплирање на клон со застарени податоци.
Имајте предвид дека, на почетокот на задачите за клонирање и обновување, TD4 го подготвува одредишниот погон со бришење на секторите 0, 1 и крајот на уредот минус 1. Ова осигурува дека нема застарени податоци од табелата за партиции на уредот, што ја намалува можноста проблеми со откривање на диск на крајот од работата.
Забелешка: Бидејќи информациите за табелата за партиции се во однос на големината на секторот на изворниот погон, не е дозволено клонирање на одредишен диск со различна големина на секторот. TD4 ќе го открие овој проблем со несовпаѓање на големината на секторот и ќе го предупреди корисникот. Оваа состојба ќе треба да се поправи пред да може да се започне со клонирање.
4.9.2 Сликање
Слика, позната и како диск-до-file дуплирање, го копира изворниот погон на серија од files (понекогаш наречени сегменти) на одредишниот погон. TD4 поддржува EnCase file формати Ex01 и E01 и сурови file формати dd и dmg. За излезните типови Ex01 и E01, компресијата е поддржана и овозможена стандардно.
За слика file излези, максималната големина на сегментот може да се постави во системските поставки на кое било од следниве: 2 GB, 4 GB, 8 GB или Неограничено. Помалите сегменти создаваат повеќе сегменти files и Unlimited создава еден голем file сегмент.
Забелешка: Не сите слики file опциите за големина се достапни во сите ситуации. Поради fileограничувања за адресирање на системот, дестинации форматирани FAT32 имаат максимум file големина од 2 GB.
Ако одредишниот погон е помал од изворот, сликата dd или dmg нема да се вклопи на одредишниот погон. Меѓутоа, ако користите Ex01 или E01, изворниот погон може да се вклопи на помал диск бидејќи овие формати можат да ги компресираат податоците пред да напишат на одредишниот диск. Не постои гаранција дека податоците ќе бидат доволно компресирани за да се вклопат на помал одредишен диск, особено во случаи кога податоците се претежно некомпресибилни, како што се шифрирани податоци.
ISTD230400-UGD-EN-1
Упатство за употреба
59
Поглавје 4 Користење на TD4
Забелешка: Бидете внимателни кога се обидувате да сликате изворен диск на диск со иста големина или помала дестинација, дури и ако е овозможена компресија. Слика file форматирањето додава надземни трошоци и, кога е поврзано со некомпресибилни податоци (како што се шифрирани податоци), може да биде потребен поголем одредишен диск.
Доколку е достапно fileсистемскиот простор на одредишниот диск е со иста големина или помал од изворниот погон за работа со слика (формат Ex01 или E01), а компресијата е оневозможена, TD4 ќе спречи започнување на работата. Овозможете компресија и/или користете дестинација со повеќе достапни fileсистемски простор за да може да започне таква работа.
4.9.3 Изведување на дуплирање
За да извршите дуплирање:
1. Следете ги чекорите наведени во „Поврзување на дискови“ на страница 27 за да ги поврзете изворниот уред и одредишниот погон.
2. Осигурете се дека сите одредишни дискови се форматирани според видот на излезот за работа за дуплирање што е посакуван за секој диск. Дестинации кои имаат fileсистемите автоматски ќе добијат слика file напишете го излезот според „Дупликат“ File Внесете системска поставка (Ex01, E01, DD или DMG). Дестинации кои немаат забележливи fileсистемите автоматски ќе добијат клон на изворниот погон.
Забелешка: Кога бр fileсистемите се откриени на одредишниот диск, тој диск автоматски ќе добие клон на изворниот диск. Во овој случај, ќе се појави порака во плочката на функцијата Duplicate пред почетокот на работата и мала икона ќе се појави таму и на плочката на уредот на почетниот екран за да укаже дека уредот ќе биде клон. Таа икона ќе биде присутна и на плочката на дестинациониот погон во рамките на екранот за статус на работа.
3. Проширете ја плочката на функцијата Дупликат на почетниот екран. Ќе се прикаже резиме на главните поставки за работа заедно со сите релевантни предупредувачки пораки, како што може да се види на сликата од екранот подолу. Потврдете ги поставките, решете ги сите предупредувања за блокирање и потоа допрете го копчето Start. Ако ниту една од поставките не е поставена да бара и нема други проблеми со конфигурацијата на работата што треба да се решат, работата ќе започне и ќе се прикаже екранот за статусот на работата.
60
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.9. Се дуплира
Ако некоја од поставките за работа е поставена на Prompt, ќе се појави екранот за напредни поставки што ќе овозможи избор на специфичните поставки кои се посакувани за претстојната работа. Опцијата Prompt е достапна за следните системски поставки: Хеш, „Дупликат“ File Тип, верификација за читање и скрати клонови.
Ако има какви било проблеми со поставувањето/конфигурацијата на работата за кои TD4 смета дека се блокирани или од форензичко значење, ќе се појави екранот за напредни поставки и ќе обезбеди информации за проблемот и можност за негово отстранување, доколку е можно. Еден поранешенampПроблемот со конфигурацијата за блокирање е ако е избран хаш SHA-256 со E01 file тип излез. E01 не поддржува хашови SHA-256.
Сликата од екранот подолу е ексampод екранот за напредни поставки за дупликат работа со поставка за брзо барање (Потврда за читање) и проблем со форензичко значење (DCO присутен на изворот).
ISTD230400-UGD-EN-1
Упатство за употреба
61
Поглавје 4 Користење на TD4
Откако ќе се решат/потврдат сите поставки на напредниот екран за поставување, допрете го копчето Старт за да ја започнете задачата за дуплирање.
4. Откако ќе се стартува задачата за дуплирање, ќе се појави екран за статусот на работата, како што е прикажано подолу.
62
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.9. Се дуплира
Може да откажете активна работа со допирање на Cancel во долниот десен агол на екранот за статусот на работата. Можете исто така да го извезете дневникот за работни задачи од овој екран (дури и за работните задачи што се во тек, ако сакате) со допирање на копчето Извоз во долниот лев агол и потоа избирање на саканата дестинација или дополнителната единица/fileсистем.
Изворните и одредишните дискови што се користат во работата се прикажани близу до дното на екранот за статусот на работата. Овие картички за погон обезбедуваат основни информации за дискот, како што се името на поврзаната порта, вкупната големина на уредот и или ID на докази (ако е внесено) или марка/модел/сериски број на дискот.
Забелешка: картичките на погонот на екранот за статусот на работата може да се допрете за да се прикажат детални информации за дискот. Меѓутоа, кога деталите за возење се viewод оваа област, информациите се сметаат за историски од почетокот на работата, како што е означено со информациите за датумот и времето во горниот десен агол на екранот со детали за уредот. Ова значи дека промените на информациите за возењето за време на работата (како што е намалениот слободен простор на одредишниот погон) нема да се рефлектираат и прелистувањето на било кој монтиран fileсистемите се оневозможени. За да видите верзија во живо на деталите за дискот и да можете да пребарувате монтирани fileсистеми (дури и за време на активна работа), користете ги плочките на погонот на почетниот екран за да пристапите до екраните со детали за дискот.
ISTD230400-UGD-EN-1
Упатство за употреба
63
Поглавје 4 Користење на TD4
Иконите ќе се појават на картичките на дискот на екранот за статусот на работното место за да овозможат на прв поглед индикација за работи како што се не може да се открие fileприсутен систем , HPA/DCO/AMA на место или присуство на Табела шифрирање (заклучена или отклучена) .
Забелешка: Лесен начин да откриете кои дестинациски дискови добиваат каков тип на излез за работа за дуплирање (клон или слика) е да барате „не fileикона на системот во горниот десен дел од картичките на одредишниот погон на екранот за статусот на работата. Гледањето на таа икона значи дека уредот ќе биде клон на изворниот диск.
4.9.4 Fileсоздадени за време на диск на-file дуплирање
Кога вршите работа за дуплирање базирана на слики, TD4 создава files (понекогаш наречени сегменти) на одредишниот диск што ги содржи податоците копирани од уредот.
Сегментите се запишуваат на одредишниот погон според следната конвенција (излезот Ex01 прикажан како прampле):
[име на_директориум]/
[fileиме].Ex01
[fileиме].Ex02
.
.
.
[fileиме].Ex99
[fileиме].log.html
[fileиме].td4_packed_log
[Името_директориум] е дефинирано во Доказите File Поставување директориум за патеки. Стандардната вредност е /td4_images/%d_%t/, каде што %d е тековниот датум и %t е тековното време на почетокот на задачата Умножување.
[fileиме] е дефинирано во Доказот File Пат Fileпоставување на името. Стандардната вредност е слика.
[fileиме].Ex01 (или .E01 или, за dd/dmg излези, .001) е првиот сегмент или дел од податоците копирани од изворниот уред. Сите други сегменти имаат секвенцијални стандардни имиња на сегменти (на прampле, [fileиме]. Ex02, [fileиме].Ex03 и така натаму). Имајте предвид дека, за откажани или неуспешни работни места, може да има и [fileиме].Ex01.делумно file во директориумот за излез.
Забелешка: Макс File Поставувањето на системот за големина ќе ја одреди големината на излезниот сегмент fileс. Опциите се 2GB, 4GB, 8GB и Unlimited. Информациите
64
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.9. Се дуплира
погоре во однос на сегментот file конвенциите за именување важат за сите освен поставката Неограничено. За Unlimited, TD4 ќе ги сними сите податоци од изворниот погон во еден голем сегмент file на секоја дестинација со продолжување од .EX01, .E01 или, за dd/dmg, .001. Исто така, поради FAT32 fileсистемско ограничување, ако некој од одредишните дискови е форматиран како FAT32, сите дестинации ќе добијат сегмент од 2 GB files.
TD4 генерира [fileиме].log.html file за секоја работа со слика. Ова е форензички дневник за секоја работа. Исто така, создава [fileиме].TD4_packed_log file, што може да се користи за да се направи самостојна проверка на оригиналната слика или да се врати сликата file во оригиналниот формат на дискот.
4.9.5 Паузирање и продолжување на работата за дуплирање
Во одредени ситуации, значителни количини на време за сликање може да се зачуваат со тоа што ќе можете да паузирате и подоцна да продолжите со дуплирањето. И губењето часови на време за сликање поради неочекувано губење на енергија може да биде фрустрирачко и неефикасно. TD4 ве опфати, обезбедувајќи средства за паузирање и продолжување на задачите со сликање со следниот излез file формати: e01, ex01, dd и dmg.
За да ја паузирате работната работа со дуплирање слики, едноставно допрете го копчето Пауза близу горниот дел од екранот за статус на активната работа и потврдете ја вашата желба да ја паузирате работата. Работата ќе биде паузирана, како што е прикажано на екранот подолу.
ISTD230400-UGD-EN-1
Упатство за употреба
65
Поглавје 4 Користење на TD4
За да продолжите со паузирана работа, допрете го копчето Play близу горниот дел од екранот за статусот на работата. Ако екранот за статусот на работата на паузирана работа моментално не е прикажан, тој може повторно да се прикаже со допирање на паузираната работа во списокот Историја на работни места.
Забелешка: ако работата за сликање е паузирана и е отворена нова работа со дупликат, таа нова работа ќе започне од почеток. За да продолжите со претходно паузираната работа, мора да ја лоцирате паузираната работа во списокот Историја на работни места и да допрете на неа за да се прикаже нејзиниот екран за статусот на работата пред да го допрете копчето Репродукција.
Ако копчето Play е сиво на екранот за статус на работа на претходно паузирана работа, тоа веројатно значи дека условите за работа не се исти како пред паузата. Ова може да вклучува очигледни услови како што е непостоење на оригиналниот извор и дестинација диск. Друга можна причина за неактивното копче за репродукција е ако дестинацијата е шифрирана на цел диск, а единицата е вклучена во напојувањето по првичната пауза, а шифрирањето не е отклучено по последователното вклучување. Во принцип, проверете дали условите за работа се сосема исти пред да се обидете да продолжите со претходно паузирана работа.
TX1 исто така поддржува продолжување на работата по губење на струја. За поддржаните типови на задачи (e01, -ex01, ¬dd, ¬dmg), ако напојувањето неочекувано се изгуби за време на работа со слика (вклучувајќи рачно исклучување со долго притискање на копчето за вклучување), може да се продолжи
66
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.9. Се дуплира
откако ќе се врати напојувањето. За да продолжите со работа по настан за губење напојување, проверете дали оригиналните дискови се поврзани со TD4 пред повторно да го вклучите. Потоа лоцирајте ја паузираната работа на екранот Историја на работни места. Имајте предвид дека паузираните задачи ќе се прикажат со делумно пополнета сина статусна лента. Допрете на паузираната работа за да view неговиот екран за статусот на работата, а потоа допрете го копчето Play за да продолжите со работата.
Форензичките дневници за паузирани и обновени работни места ќе обезбедат одредени конкретни и уникатни информации. Информациите малку се разликуваат во зависност од изворот на настанот за пауза (рачно инициран или губење на струја). Во случај на настан за рачна пауза, ќе се додаде линија во дневникот за да се наведат датумот и времето на настанот. Секоја следна пауза (ако е рачно иницирана) и настан за продолжување се евидентирани, обезбедувајќи прецизно снимање на тоа колку циклуси на пауза/продолжување се случиле за време на работата. Кога неочекуваното губење на енергија е причина за паузата, нема време системот да го евидентира времето на пауза пред да се исклучи, така што информациите се недостапни и затоа не се вклучени во дневникот. Во тој случај, по продолжувањето на работата се додава порака во дневникот за да укаже дека информациите за пауза кои недостасуваат најверојатно се должат на настан за губење на електрична енергија и дека изминатото време на работата не се пресметува, бидејќи не може точно да се одреди. Следниот дневник sampле прикажува завршена загуба на енергија паузирана/продолжена работа. Забележете дека, доколку ова беше рачно паузирана/продолжена работа, линијата со предупредување за можно губење на енергија ќе се замени со поле Паузирано, со датумот и времето на настанот за пауза.
ISTD230400-UGD-EN-1
Упатство за употреба
67
Поглавје 4 Користење на TD4
4.10 Логичко сликање
TD4 обезбедува можност за логично сликање на папките на дискот со извор и files од забележливи fileсистеми. Кога се користи заедно со физичко сликање на дискот, логичкото сликање овозможува брзо стекнување на изворот file податоци, обезбедувајќи им на корисниците на TD4 способност да ја балансираат темелноста со времето и напорот за стекнување за потребите на даден случај.
Работите со логичка слика TD4 ќе создадат логички докази за индустриски стандард Lx01 files, кои се компатибилни со EnCase Forensic и други вообичаени алатки за истрага за дигитална форензика. Секоја работа за логично снимање ќе создаде и форензички дневник file, со а file продолжување на .log.html. За детали за сите излезни логички слики files, види „Fileе создаден за време на логичка работа со слика“ на страница 73.
TD4логичкото сликање ги добива сите files/папки на изворот fileсистем без можност за одредување или насочување конкретно files/папки што е можно на TX1. Логичкото сликање TD4 сè уште се смета за вредна опција за временски чувствителни ситуации каде што не е возможно да се добие целосна физичка слика на уредот или да се добие скок на file анализа/тријажа додека се стекнува секундарна физичка слика.
Поради фактот што изворот file компресибилноста на податоците не е одредена пред да започнете со работа со логично сликање, не е можно со сигурност да се утврди дали податоците од изворот fileсистемот ќе одговара на дестинацијата fileсистем. Како резултат на тоа, TD4 само го предупредува корисникот дека дестинацијата може да биде премногу мала кога се користи просторот на изворот fileсистемот е поголем од достапниот простор на дестинацијата и работата сè уште може да се започне. Меѓутоа, ако изворните податоци се многу некомпресибилни (или ако компресијата е оневозможена), можно е за дестинацијата fileсистемот да стане полн, со што работата ќе пропадне.
Забелешка: Бидете внимателни кога се обидувате логично да сликате од извор fileсистем до помала дестинација fileсистем. Ако изворните податоци не се компресивни, работата може да пропадне поради недостаток на простор на дестинацијата.
За разлика од работата за физичко дуплирање, опцијата за ставање на полици на изворниот погон DCO/AMA (да се отстрани и потоа повторно да се примени на крајот од работата) не постои во логичкото сликање. Постоењето на DCO или AMA ќе биде очигледно (по предупредувања на повеќе локации), но DCO/AMA ќе треба трајно да се отстрани со помош на алатката Remove HPA/DCO/AMA пред да се добие пристап до сите делови од изворниот медиум.
Fileгрешките во читањето на системот што се среќаваат за време на задачите со логичко сликање може да резултираат со непредвидливо однесување при стекнување. Кога ќе се појават, таквите грешки се означени со црвена предупредувачка порака на горниот дел од делот за напредок на логичката слика на екранот за статусот на работата. TD4 ќе прескокне кој било file што резултира со грешка при читањето и ќе се обиде да го прочита преостанатото fileс. Излезот CSV ќе покаже статус на грешка за кој било fileкои не се стекнати. Ако наидете на fileгрешки во читањето на системот за време на работа со логично снимање, препорачуваме да го клонирате или физички да го сликате уредот (e01, ex01, dd, dmg) наместо да се обидувате да направите логична слика.
68
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.10. Логичко сликање
4.10.1 Изведување логичка слика
За да направите логична слика:
1. Следете ги чекорите наведени во „Поврзување дискови“ на страница 27 за да ги поврзете изворните и одредишните дискови.
2. Осигурете се дека сите одредишни дискови имаат барем еден монтиран fileсистем. Дестинации кои се монтирани fileсистемите ќе добијат слика Lx01 file излез. Дестинации кои немаат забележливи fileсистемите нема да примаат никакви излези од задачата Logical Image.
Забелешка: Секој одредишен диск што се користи во задачата Logical Image мора да има a fileсистем за складирање на добиениот излез од стекнувањето fileс. Ако некој од приложените дестинациски дискови нема детектиран fileсистем, ќе се појави предупредувачка порака над копчето Старт што покажува дека дестинациите мора да имаат fileсистеми. Ако има барем едно одредиште возење со a fileсистем, задачата Logical Image сè уште може да се стартува, но само дестинациите што се монтирани fileсистемите ќе ги добијат излезните докази files.
3. Проширете ја плочката на функцијата Logical Image на почетниот екран. Ќе се прикаже резиме на главните поставки за работа заедно со сите релевантни предупредувачки пораки како што може да се види на сликата од екранот подолу. Потврдете ги поставките, решете ги сите предупредувања за блокирање и потоа допрете го копчето Start. Ако ниту една од поставките не е поставена да бара и нема други проблеми со конфигурацијата на работата што треба да се решат, работата ќе започне и ќе се прикаже екранот за статусот на работата.
ISTD230400-UGD-EN-1
Упатство за употреба
69
Поглавје 4 Користење на TD4
Ако некоја од поставките за работа е поставена на Prompt, ќе се појави екран со напредни поставки што ќе овозможи избор на специфичните поставки кои се посакувани за претстојната работа. Опцијата Prompt е достапна за следните системски поставки поврзани со Logical Imaging: Хеш и верификација за читање.
Ако има какви било проблеми со поставувањето/конфигурацијата на задачите за логичка слика за кои TD4 смета дека ги блокира или се од форензичко значење, ќе се појави екран со напредни поставки и ќе обезбеди информации за проблемот и можност за негово отстранување, доколку е можно. Еден поранешенampПроблемот со конфигурацијата за блокирање е ако SHA-256 е избран во системските поставки. LX01 не поддржува хаширање на SHA-256.
Сликата од екранот подолу е ексampод екранот за напредни поставки за задача за логичка слика со поставка за брзо барање (Потврда за читање) и проблем со форензичко значење (избран SHA-256). Имајте предвид дека ставките што директно предизвикаа прикажување на екранот за напредни поставки се прикажани како проширени, но дека и други, потенцијално поврзани ставки за поставки ќе се појават на тој екран непроширени.
70
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.10. Логичко сликање
Откако ќе се решат/потврдат сите поставки на екранот за напредни поставки, допрете го копчето Start за да ја започнете задачата Logical Image.
Забелешка: како што е наведено од информативната порака на сликата од екранот погоре („Ова е вашиот стандарден систем“), секогаш кога некоја поставка се менува на екранот за напредни поставки како дел од поставувањето за одредена работа, тоа е еквивалентно на промена на таа поставка во главното мени Поставки.
4. Откако ќе се стартува задачата со логичка слика, ќе се појави екранот за статусот на нејзината работа, како што е прикажано подолу.
ISTD230400-UGD-EN-1
Упатство за употреба
71
Поглавје 4 Користење на TD4
Бројот на fileсе најде на изворот fileсистем заедно со вкупната големина на тие files е прикажан веднаш под делот за заглавие на екранот за статус на работа, над лентата за напредок на логичката слика. Забележете дека логичкото сликање TD4 ги добива сите files/ папки на изворот fileсистем без можност за одредување или насочување конкретно files/папки што е можно на TX1.
Може да откажете активна задача за логичка слика со допирање на Cancel во долниот десен агол на екранот за статусот на работата. Можете исто така да го извезете дневникот за задачи од овој екран (дури и за работа што е во тек, ако сакате) со допирање на копчето Извоз во долниот лев агол и потоа избирање на саканата дестинација или дополнителната единица/fileсистем.
Изворните и одредишните дискови што се користат во задачата за логичка слика се прикажани близу до дното на екранот за статусот на работата. Овие картички за погон обезбедуваат основни информации за дискот, како што се името на поврзаната порта, вкупната големина на уредот и или ID на докази (ако е внесено) или марка/модел/сериски број на дискот. Иконите ќе се појават на овие картички за погон за да овозможат укажување на работите на прв поглед
како да нема забележливо fileприсутен систем , HPA/DCO/AMA на место или
присуство на Табела енкрипција (заклучена или отклучена) .
Забелешка: картичките на погонот на екранот за статусот на работата може да се допрете за да се прикажат детални информации за дискот. Меѓутоа, кога деталите за возење се viewед од
72
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.10. Логичко сликање
оваа област, информациите се сметаат за историски од почетокот на работата, како што е означено со информациите за датумот и времето во горниот десен агол на екранот со детали за уредот. Ова значи дека промените на информациите за возењето за време на работата (како што е намалениот слободен простор на одредишниот погон) нема да се рефлектираат и прелистувањето на било кој монтиран fileсистемите се оневозможени. За да видите верзија во живо на деталите за дискот и да можете да пребарувате монтирани fileсистеми (дури и за време на активна работа), користете ги плочките на погонот на почетниот екран за да пристапите до екраните со детали за дискот.
4.10.2 Files создадени за време на работа со логичка слика
При изведување на логичка слика на TD4, повеќе различни files може да се емитуваат до секоја дестинација во зависност од конфигурацијата на работата, како што следува:
· {image_name}.Lx01, {image_name}.Lx02, итн. се форензичките докази files за операцијата. Тие ги содржат сите податоци и метаподатоци за секој file и купена папка.
· {image_name}.csv е вредности разделени со запирка file што содржи одредени метаподатоци за секој file и купена папка. Овој тип на file лесно може да се увезе во многу вообичаени апликации за обработка на податоци како што е Microsoft Excel. CSV file содржината на податоците и информациите за форматот може да се најдат во „Извор file метаподатоци“ на страница 73.
· {image_name}.log.html го содржи форензичкиот дневник на работата за логичка слика.
· {image_name}.TD4_packed_log содржи TD4 читлива копија од форензичкиот дневник што подоцна може да се користи за самостојна верификација на Lx01 file сет.
4.10.3 Логичка проверка на сликата
Верификација на Lx01 files се разликува од верификацијата на операциите за физичка слика бидејќи, во Lx01 file, нема целокупен хаш. Секој fileПодатоците зачувани во Lx01 имаат поврзан хаш што беше пресметан за време на оригиналното стекнување. Функцијата за проверка на логичка слика го чита назад file податоци од Lx01 на дестинацијата, пресметува нова хаш вредност за секоја file, и ја споредува таа хаш вредност со првично зачуваната хаш вредност на аквизицијата. Неуспех на кој било file да се совпадне со оригиналната хаш вредност на стекнувањето ќе резултира со неуспех на верификацијата.
4.10.4 Извор file метаподатоци
Логичкото сликање со TD4 вклучува извор file метаподатоци во излезот CSV file, како што е прикажано во табелата подолу.
Колона патека
Тип
Содржина
Содржи целосна, fileсистемски релативна патека за овој запис. Прample: / корисници/чарлс/слики.
Или содржи „Директориум“, „Симврска“ или „File,“ во зависност од тоа каков вид на запис претставува овој ред.
ISTD230400-UGD-EN-1
Упатство за употреба
73
Поглавје 4 Користење на TD4
Колона Fileголемина Датум на создавање Датум на пристап
SHA1 Хаш
File Статус
Содржина
На file големина, во бајти, на записот. Ова поле е празно за директориуми.
Низата датум/време IS0 8601 UTC за датумот на создавање на овој запис. Ова поле е празно ако датумот на создавање е недостапен.
Низата датум/време IS0 8601 UTC за пристапениот датум на овој запис. Ова поле е празно ако датумот на пристап е недостапен.
Низата датум/време IS0 8601 UTC за изменетиот датум на овој запис. Ова поле е празно ако датумот на измената е недостапен.
Низата датум/време IS0 8601 UTC за напишаниот датум на овој запис. Ова поле е празно ако пишаниот датум не е достапен.
MD5 Hash на записот. Ова поле е празно за директориуми. Исто така е празен ако не е пресметан хаш MD5, не е конфигуриран хаш MD5 или записот не се совпаѓа со правилата за стекнување.
SHA1 Hash на записот. Ова поле е празно за директориуми. Исто така е празен ако не е пресметан хаш на SHA1, не е конфигуриран хаш на SHA1 или записот не се совпаѓа со правилата за стекнување.
Во ред ако немаше проблеми со читањето file податоци/метаподатоци.
ГРЕШКИ ако имало грешки при читање file податоци и/или метаподатоци.
Соодветни правила
Ова поле е празно за директориуми.
„Y“ ако file одговараше на правилата за вклучување на стекнувањето. За TD4, ова секогаш ќе покаже совпаѓање како fileИзборот на /папка надолу/филтрирањето не е поддржано.
4.11 Хеширање
Форензичарите можеби ќе треба да ги пресметаат вредностите на хашот или отпечатоците од прсти за изворниот уред без да направат копија од уредот. Функцијата Hash може да генерира MD5, SHA-1 и SHA-256 хаш вредности за изворниот погон, како што е определено со поставките за системот Hashes.
1. Следете ги чекорите наведени во „Поврзување дискови“ на страница 27 за да го поврзете саканиот изворен диск.
Забелешка: бидејќи TD4 дозволува само еден изворен диск да се користи за која било работа, поврзете го само саканиот уред за хаш-извор и погрижете се да не се прикачени други изворни дискови. Ако се прикачат други изворни дискови, ќе се обезбеди предупредување во плочката на функцијата Hash и копчето Start ќе биде неактивно (сиво).
2. Проширете ја плочката на функцијата Hash на почетниот екран. Ќе се прикаже резиме на соодветните поставки за работа заедно со сите применливи предупредувачки пораки. Потврдете ги поставките, решете ги сите предупредувања за блокирање и потоа допрете го копчето Start. Ако ниту една од поставките не е поставена на Prompt и нема други проблеми со конфигурацијата на работата што треба да се решат, работата ќе започне и ќе се прикаже екранот за статусот на работата.
74
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.11. Хеширање
Ако поставката за Hash систем е поставена на Prompt, ќе се појави екран со напредни поставки што ќе овозможи избор на типови на хаш за работата. Изберете ги саканите типови на хаш и потоа допрете го копчето Start за да ја започнете задачата Hash. 3. Откако ќе се стартува работата Hash, ќе се појави екранот за статусот на работата, како што е прикажано подолу.
Може да откажете активна Hash работа со допирање на Cancel во долниот десен агол на екранот за статусот на работата. Можете исто така да го извезете дневникот за задачи од овој екран (дури и за работа што е во тек, доколку сакате) со допирање на копчето Извоз во долниот лев агол и потоа избирање на саканата дестинација или дополнителната единица/fileсистем.
Изворниот погон што се користи во работата Hash ќе се прикаже близу до дното на екранот за статусот на работата. Оваа картичка на дискот обезбедува основни информации за уредот, како што се името на поврзаната порта, вкупната големина на уредот и или ID на докази (ако е внесено) или марка/модел/сериски број на дискот. Иконите ќе се појават на овие картички за погон за да овозможат на прв поглед индикација за работи како што се не може да се открие
fileприсутен систем, HPA/DCO/AMA на место или присуство на Tableau
шифрирање (заклучено или отклучено) .
Забелешка: картичките на погонот на екранот за статусот на работата може да се допрете за да се прикажат детални информации за дискот. Меѓутоа, кога деталите за возење се viewод оваа област, информациите се сметаат за историски од почетокот на работата,
ISTD230400-UGD-EN-1
Упатство за употреба
75
Поглавје 4 Користење на TD4
како што е означено со информациите за датум/време во горниот десен агол на екранот со детали за уредот. За да видите верзија во живо на деталите за дискот и да можете да пребарувате монтирани fileсистеми, користете ги плочките на погонот на почетниот екран за да пристапите до екранот со детали за дискот.
4.12 Проверка
Самостојната функција Verify го потврдува интегритетот на постоечката слика file со читање на податоците од сликата file, пресметувајќи ја вредноста на хашот на тие податоци, а потоа споредувајќи ја таа пресметана вредност на хашот со вредноста на оригиналниот хаш за стекнување.
Забележете дека, иако истата функција Verify може да се користи за самостојна проверка на физички и логички слики, основниот механизам е различен. Тоа е затоа што физичките слики содржат хаш вредности за стекнување на целиот диск, а логичките слики содржат file-базирани хаш вредности за стекнување. Нема да се забележи разлика за време на самата работа за верификација, но типот на изворната слика ќе направи разлика во тоа како се известуваат резултатите. За работа за проверка на физичка слика, хаш вредностите за читање на ниво на диск ќе бидат пријавени во форензичкиот дневник. За логичка работа за проверка на сликата, во форензичкиот дневник ќе се пријави едноставна индикација за поминување/неуспех. Пропусницата покажува дека сите file-хашовите за верификација базирани се совпаѓаат со оригиналната набавка file хашови. Доколку некој поединец file во логична слика file не успее да се потврди, целата работа за верификација ќе се прикаже како неуспешна.
1. Следете ги чекорите наведени во „Поврзување дискови“ на страница 27 за да го поврзете саканиот одредишен диск.
Забелешка: Задачите за верификација користат само одредишни или дополнителни дискови како извор на влезовите за верификација.
2. Проширете ја плочката на функцијата Потврди на почетниот екран, а потоа допрете го копчето Старт.
3. На екранот за напредни поставки, допрете го Изберете дневник file копче за стартување модал за прелистување. Прелистајте до соодветната дестинација/дополнителен диск и fileсистем, лоцирајте го саканиот .td4_packed_log file, и изберете го тоа file со допирање еднаш. Потоа допрете го копчето Избери.
Забелешка: Кога пребарувате спакуван дневник files, само files со екстензија од .td4_packed_log ќе бидат прикажани во прозорецот за прелистување.
4. Повторноview избраниот fileсистем и file информации за патеката и, доколку се точни, допрете го копчето Старт за да ја започнете работата за верификација. Ќе се појави екранот за проверка на статусот на работата.
Може да откажете активна работа за потврда со допирање на Откажи во долниот десен агол на екранот за статусот на работата. Можете исто така да го извезете дневникот за задачи од овој екран (дури и за работа што е во тек, ако сакате) со допирање на копчето Извоз во долниот лев агол и потоа избирање на саканата дестинација или дополнителната единица/ fileсистем.
76
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.13. Враќање
Уредот што се користи во работата за верификација ќе се прикаже близу до дното на екранот за статусот на работата. Оваа картичка на дискот обезбедува основни информации за уредот, како што се името на поврзаната порта, вкупната големина на уредот и или ID на докази (ако е внесено) или марка/модел/сериски број на дискот. Иконите ќе се појават на овие картички за погон за да овозможат на прв поглед индикација за работи како што се не може да се открие fileприсутен систем , HPA/DCO/AMA на место или присуство на Табела шифрирање (заклучена или отклучена) .
Забелешка: картичките на погонот на екранот за статусот на работата може да се допрете за да се прикажат детални информации за дискот. Меѓутоа, кога деталите за возење се viewод оваа област, информациите се сметаат за историски од почетокот на работата, како што е означено со информациите за датумот и времето во горниот десен агол на екранот со детали за уредот. За да видите верзија во живо на деталите за дискот и да можете да пребарувате монтирани fileсистеми, користете ги плочките на погонот на почетниот екран за да пристапите до екранот со детали за дискот.
4.13 Враќање
Функцијата Restore овозможува рекреација на оригиналниот формат на диск од претходно креирана форензичка слика TD4 file. Употребата на оваа функција е разновидна, но ја вклучува можноста за користење на обновениот диск како системски диск за подигање и едноставно создавање архивска копија од доказите во неговиот оригинален формат за идна референца на случајот.
Функцијата Restore работи со сите физички дупликати слики file типови (E01, Ex01, dd, dmg). Не поддржува реставрација од логичка слика file сет (Lx01).
Најдобра практика е да ги избришете дестинацијата пред да ги вратите, бидејќи тоа може да помогне да се идентификуваат потенцијално неисправните медиуми и лошите сектори и може да го намали ризикот од вкрстено контаминирање на обновениот диск со застарени податоци.
Имајте предвид дека, на почетокот на задачата за обновување, TD4 го подготвува одредишниот погон со бришење на секторите 0, 1 и крајот на уредот минус 1. Ова осигурува дека нема застарени податоци од табелата за партиции на уредот што ја намалува можноста за погон проблеми со откривање на крајот од работата.
Забелешка: Бидејќи информациите за табелата за партиции се во однос на големината на секторот на изворниот погон, не е дозволено враќање на одредишен диск со различна големина на секторот. TD4 ќе го открие овој проблем со несовпаѓање на големината на секторот и ќе го предупреди корисникот. Оваа состојба ќе треба да се поправи пред да може да се стартува работата за обновување.
За враќање на диск од слика file:
1. Следете ги чекорите наведени во „Поврзување дискови“ на страница 27 за да ги поврзете саканите изворни и одредишни дискови.
Забелешка: Враќањето задачи користи изворни дискови како извор на влезот files (спакуван дневник file и сегментот на сликата fileс). Исто така, задачата за обновување ефективно ќе ги избрише сите дестинациски дискови што се прикачени/откриени во моментот кога работата е завршена
ISTD230400-UGD-EN-1
Упатство за употреба
77
Поглавје 4 Користење на TD4
почна. Осигурајте се дека ниту една од вашите дестинации нема критични files на нив пред да започнете работа за обновување.
2. Проширете ја плочката на функцијата Враќање на почетниот екран и потоа допрете го копчето Старт. Ќе се појави екранот Restore Setup.
3. На екранот Restore Setup, допрете го Изберете дневник file копче за стартување модал за прелистување. Прелистајте до соодветниот изворен диск/fileсистем, лоцирајте го саканиот .td4_packed_log file (оној од кој сакате да го вратите) и изберете го file со допирање еднаш. Потоа допрете го копчето Избери.
Забелешка: Кога пребарувате спакуван дневник files, само files со екстензија од .td4_packed_log ќе бидат прикажани во прозорецот за прелистување.
4. Повторноview избраниот fileсистем и file информации за патеката, потврдете ги сите други поставки на екранот Restore Setup и, ако сè е правилно поставено, допрете го копчето Start за да ја започнете задачата Restore. Ќе се појави екранот за враќање на статусот на работа.
Белешки
· За време на работата Restore, хашовите се пресметуваат додека податоците се извлекуваат од изворниот доказ file поставени и испишани до дестинацијата. Овие хашови се сметаат за изворни хашови и затоа се заробени во изворниот дел од форензичкиот дневник на Враќање на задачата. Дури и ако потврдата за читање не е овозможена за задачата Враќање, овие хашови на изворот се споредуваат со оригиналните хашови за стекнување физички слики и, ако се открие несовпаѓање, задачата за обновување нема да успее.
· Ако потврдата за читање е овозможена за задача за обновување, делот од дестинацискиот диск што бил испишан за време на обновувањето (што одговара на големината на оригиналниот изворен диск) ќе се чита назад, а вредностите на хашот за читање ќе бидат пресметани и споредени со хаш на изворот. Ако се открие несовпаѓање, делот за верификација од задачата Враќање нема да успее. Овие хашови за читање се заробени во делот за дестинација на форензичкиот дневник на задачата за обновување. Забележете дека ако вредностите на хашот за читање се совпаѓаат со вредностите на изворниот хаш, тие ќе се сметаат за пониски приоритетни податоци во HTML-форензичките дневници и со тоа стандардно ќе се сокријат. Овие хаши може да бидат viewед со проширување на делот(ите) на дестинацискиот погон од форензичкиот дневник.
78
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
4.14. Форензички дневници
4.14 Форензички дневници
TD4 генерира детален дневник за сите форензички работни места и повеќето медиумски корисни операции. Информациите зафатени за време на секоја работа се користат за креирање на екраните за статусот на работата што се гледаат во корисничкиот интерфејс (достапен од списокот Историја на работни места) и форензичките дневници за работни задачи што може да се извезат на надворешен диск. Овој дел е специфичен за извезените форензички дневници. За информации за списокот Job History и екраните за статусот на работните места, видете „Историја на работни места“ на страница 37 и „Статус на работа“ на страница 36.
Деталните информации зафатени во форензичките дневници ќе зависат од видот на работата. Резиме на информациите снимени за работа за дуплирање базирана на слики е прикажано подолу. Видете ги сample logs на крајот од овој дел за некој специфичен дневник на работни места прampлес.
· Статус: Вкупен статус на работното место (Нецелосно, Ок, Грешка/Неуспешно, Откажано), датум/време ул.amps, идентификација на TD4 како систем за стекнување и верзијата на фирмверот што се користи во времето на стекнувањето. Во овој дел ќе бидат вклучени и следните делови од опционални информации: Име на испитувач, ID на случај, Белешки за случај и Белешки за работа.
· Извор: Детали за изворниот погон, вклучително и целокупните информации за уредот (ID на доказ (доколку е поставен), тип на интерфејс, порта TD4, број на марка/модел, верзија на фирмверот, сериски број(и), детали за специфични протокол (на пр., SCSI/USB информации) , информации поврзани со HPA/DCO/AMA, информации за RAID и шифрирање, информации за големината/распоредот и типот на табелата за партиции), детали за партицијата и, доколку се присутни и поддржани од TD4, fileспецифични информации за системот.
· Резултати од стекнување: Детали за аспектите на стекнување на работата, вклучувајќи ги и броевите за почеток и броење блокови, вредностите на хашот на стекнувањето и информациите за грешки во читањето.
· Конфигурација: информации за конфигурацијата на работата, како што е излезот file тип на формат, сегмент file големина и дали е овозможена компресија или не.
· Дестинација на слика: Детали за дестинацискиот диск, вклучувајќи ги хаш-вредностите за проверка на отчитување (ако е овозможено за работата), вкупните информации за дискот (тип на интерфејс, порта TD4, број на марка/модел, верзија на фирмверот, сериски број(и), детали специфични за протоколот (на пр. , информации за SCSI/USB), информации поврзани со HPA/DCO/AMA, информации за RAID и шифрирање, информации за големината/распоредот и типот на табелата за партиции), детали за партицијата и fileспецифични информации за системот.
· Резиме на неуспех: ако се случи дефект за време на работата, овој дел ќе се прикаже и ќе содржи причина за дефект и код. Имајте предвид дека кодот за неуспех не е наменет да биде значаен за крајниот корисник. Во случаи кога е потребна корисничка поддршка за да се реши ситуација на неуспех на работа, кодот за неуспех треба да се забележи и да се вклучи во извештајот за инцидентот. Оваа информација ќе помогне да се утврди основната причина за неуспехот.
За да пристапите до дневниците за работни задачи складирани на вашиот TD4, проширете ја плочката на функцијата Историја на работни места на почетниот екран и потоа допрете во долниот дел од функционалната плочка. Ќе се прикаже список со сите работи зачувани на уредот. Со допирање на работа ќе се прикаже екранот за статусот на нејзината работа. Забележете дека не можете да отворите и view форензички дневници fileе директно на TD4. работа
ISTD230400-UGD-EN-1
Упатство за употреба
79
Поглавје 4 Користење на TD4
екраните за статус ги прикажуваат клучните информации за работата, но дневникот на работни места ќе треба да се извезе до дестинација или дополнителен диск за да може view форензичкиот дневник file на посебен компјутер.
4.14.1 Сampле логови
Две сampДневниците се прикажани подолу – еден од успешно дуплирање и еден од неуспешна самостојна верификација. Како што е прикажано во дневникот на HTML samples, има стрелки нагоре/надолу на десната страна на секое заглавие на секцијата. Стрелката надолу покажува дека делот е склопен; Стрелката нагоре покажува дека е проширена. На сample HTML-дневниците подолу се прикажани со сите полиња склопени заради едноставност. Секоја информација од дневникот беше категоризирана како критична или дополнителна, а само критичните информации се прикажуваат кога делот се собира. Кога извезен дневник е viewед на посебен компјутер, секој дел може да се прошири за да се прикажат деталните, дополнителни информации. Во тоа проширени view, критичните информации се означени со задебелени описи на полињата, додека дополнителните информации се прикажани во светло сива боја. Забележете дека одредени делови од информации за дневникот може да се сметаат за дополнителни во една ситуација, но критични во друга. За прampтака, информациите за шифрирање за даден изворен диск ќе се сметаат за дополнителни ако уредот нема шифрирање, но ќе станат критични ако се открие шифрирање.
Почетната состојба за секој дневник на HTML ќе биде да се прикажат сите полиња склопени само со прикажани критични информации. Додека поединечните делови може да се префрлаат помеѓу прикажување на сите информации или само резиме, има копче на горната десна страна на екранот за евиденција на HTML што ќе дозволи сите делови да се прошират или склопуваат.
Пораката за грешки во дневниците на HTML има и уникатна функционалност. Сите услови за грешка ќе се прикажат во црвен текст како критични информации во сумираните view. Проширувањето на делот со состојба на грешка ќе прикаже подетални информации за статусот на грешката, вклучувајќи ја и причината за грешката.
80
OpenTextTM TableauTM Forensic TD4 Duplicator
ISTD230400-UGD-EN-1
Sample Log 1 Успешно EX01 Умножување
4.14. Форензички дневници
Забелешка: сите секции на дневникот се склопени освен резултатите од стекнувањето.
ISTD230400-UGD-EN-1
Упатство за употреба
81
Поглавје 4 Користење на TD4 Sample Log 2 неуспешна самостојна верификација (изворот не може да се чита)
Забелешка: Сите секции на дневникот се склопени, освен Диск
Документи / ресурси
 |
opentext TD4 Forensic Duplicator [pdf] Упатство за корисникот TD4 Forensic Duplicator, TD4, Forensic Duplicator, Duplicator |