Вы не
На самом деле существует две школы мысли о том, как создавать диски с данными судебной экспертизы.
Метод oldschool заключался в том, чтобы немедленно отключить компьютер от сети и создать образ диска в этом состоянии, чтобы ничего не изменилось. Это также гарантировало определенную степень вероятного отрицания ...
И это не очень хорошо сработало, когда люди поняли, что вы можете зашифровать диск с помощью пароля.
Хотя оперативная криминалистическая съемка не гарантирует, что вообще ничего не изменится, при правильном ведении журнала вы знаете, что сделал экзаменатор. Это также удобно, поскольку, если подозреваемый не заблокировал свою систему, вы, вероятно, сможете скопировать достаточно данных, чтобы понять, что происходит.
В криминалистике я узнал, что вы можете развернуть агент на удаленном компьютере и получить от него точную копию удаленного жесткого диска, включая нераспределенное пространство и раздел подкачки, даже когда он используется. Эта копия отправляется агентом на ваш компьютер через Интернет, а затем вы можете работать с ней на своем компьютере.
Такое ощущение, что вы путаете оба процесса - вы либо запускаете агент и другие инструменты на liveisk, либо извлекаете жесткий диск для создания образа «традиционными» методами, либо используете живые инструменты, либо старые добрые следственные работы на работающем система. Вы не можете получить правильный судебный дубликат на работающей системе.
Например, EnCase позволяет вам работать с VHD или VMDK, созданным с помощью другого инструмента, но вы не собираетесь запускать его непосредственно в исследуемой системе.
