Xem thêm : Hiểu Về Điều Tra Chứng Cứ Số

Thu Thập Dữ Liệu Chứng Cứ Số – Bài Tập 1 Pro Discovery Basic

Thu Thập Dữ Liệu Chứng Cứ Số – Bài Tập 2 – Thu thập dữ liệu với dd trong Linux

Đăng kí học :

Bài tập 3 – Chụp ảnh với ProDiscover Basic

Trong Chương 2, bạn đã học cách lấy hình ảnh của ổ USB. ProDiscover tự động hóa nhiều chức năng thu nhận, không giống như các công cụ Linux hiện tại. Vì ổ USB thường nhỏ nên có thể lấy một tệp hình ảnh đơn lẻ mà không cần phân đoạn. Trong phần này, bạn học cách tạo hình ảnh của ổ đĩa lớn hơn và áp dụng chức năng Split trong ProDiscover Basic để tạo các tệp được phân đoạn có dung lượng 650 MB, mỗi tệp có thể được lưu trữ vào đĩa CD.

Trước khi lấy dữ liệu trực tiếp từ ổ đĩa đáng ngờ bằng ProDiscover Basic, hãy luôn sử dụng thiết bị chặn ghi phần cứng.

Để hiểu rõ hơn về công nghệ này, vui lòng tham khảo tài liệu khóa học của bạn hoặc sử dụng công cụ tìm kiếm ưa thích của bạn để nghiên cứu chủ đề này chi tiết hơn.

Nhiệm vụ 1- Chụp ảnh ổ đĩa

Hoạt động sau giả định rằng bạn đã tháo ổ nghi ngờ USB Drive (E 🙂 và kết nối nó với thiết bị chặn ghi USB hoặc FireWire được kết nối với máy trạm pháp y của bạn. Việc mua lại được ghi vào một thư mục công việc trên ổ C của bạn, giả sử rằng nó có đủ dung lượng trống cho dữ liệu thu được. Làm theo các bước sau để thực hiện tác vụ đầu tiên là kết nối ổ đĩa của nghi phạm với máy trạm của bạn:

Bước 1

Ghi lại chuỗi bằng chứng cho động lực mà bạn định có được.

Đối với ổ IDE, hãy cấu hình jumper của ổ nghi ngờ nếu cần. (Lưu ý: Bước này không áp dụng cho ổ đĩa SATA hoặc USB.)

Bước 2

Trên thiết bị PLABWIN810 , ổ nghi ngờ là ổ USB (E 🙂 .

Bước 3

Tạo một thư mục lưu trữ trên ổ đĩa đích. Đối với hoạt động này, bạn sử dụng thư mục công việc của mình (C: \ Work \ Data Files \ Ch03 ), nhưng trong cuộc sống thực, bạn sẽ sử dụng tên thư mục như C: \ Evidence.

Bài tập 4 – Sử dụng Định dạng Độc quyền của ProDiscover

Làm theo các bước sau để thực hiện tác vụ thứ hai, khởi động ProDiscover Basic và định cấu hình cài đặt cho việc mua lại:

Bước 1

Trên thiết bị PLABWIN810 , Nhấp chuột phải vào ProDiscover Basic 64 từ máy tính để bàn và chọn Chạy với tư cách Quản trị viên .

Nếu hộp thoại Khởi động mở ra, hãy bấm vào Hủy .

Bước 2

Trong cửa sổ ProDiscover Basic , nhấp vào menu Hành động và chọn Chụp ảnh .

Bước 3

Trong hộp thoại Chụp ảnh , nhấp vào mũi tên danh sách Ổ nguồn và chọn E: \ [USB] 4.997 GB .

Bước 4

Nhấp vào nút >> bên cạnh hộp văn bản Đích và nhấp vào Chọn Đường dẫn Địa phương . Trong hộp thoại Lưu dưới dạng, điều hướng đến C: \ Work \ Data Files \ Ch03 bạn đã thiết lập.

Trong hộp văn bản Tên tệp , nhập:

InChp03

Nhấp vào Lưu .

Bước 5

Nhấp vào nút Split .

Trong hộp thoại Tách hình ảnh , nhập 650 vào hộp văn bản “ Chia thành hình ảnh có kích thước bằng nhau của ”, nhấp vào Tách .

Bước 6

Sau khi ổ đĩa đã được chia nhỏ, hãy nhấp vào OK .Nếu ổ đĩa đích của bạn là FAT32, bạn sẽ bị giới hạn ở kích thước tệp chia nhỏ 2 GB (2000 MB). Đối với các tệp lớn hơn, bạn cần có ổ đĩa định dạng NTFS.

Bước 7

Trong hộp thoại Chụp ảnh , bấm vào mũi tên danh sách Định dạng Ảnh và bấm Định dạng ProDiscover (được khuyến nghị ), nếu nó chưa được chọn.

Bước 8

Trong hộp văn bản Tên Kỹ thuật viên , hãy nhập tên của bạn và trong hộp văn bản Số Hình ảnh , hãy nhập:

InChp03

Nếu bạn muốn, trong hộp văn bản Mô tả , hãy nhập bất kỳ nhận xét nào liên quan đến trường hợp.

Bước 8

Nếu bạn cần tiết kiệm dung lượng trên ổ đĩa đích của mình, bạn sẽ nhấp vào nút tùy chọn Có trong phần Nén . Đối với điều này và các hoạt động khác trong cuốn sách này, hãy nhấp vào Không .

Nếu cần bảo mật bổ sung cho hình ảnh có được, hãy nhấp vào Mật khẩu .

Bước 9

Trong hộp thoại Mật khẩu , hãy nhập:Passw0rd

Nhập lại để xác nhận, sau đó bấm OK .

Bước 10

Khi bạn nhập xong thông tin vào hộp thoại Chụp ảnh , hãy nhấp vào OK để bắt đầu thu thập.

Bước 11

ProDiscover sau đó tạo một tệp hình ảnh được phân đoạn trong thư mục công việc của bạn.

Trong quá trình mua lại này, ProDiscover hiển thị thanh trạng thái ở góc dưới bên phải để hiển thị tiến trình cho từng phân đoạn âm lượng mà nó đang tạo.

Bước 12

Khi quá trình chuyển đổi hoàn tất, ProDiscover hiển thị hộp thông báo hướng dẫn bạn kiểm tra tệp nhật ký để tìm lỗi.

Bấm OK để kết thúc việc mua lại, sau đó thoát khỏi ProDiscover Basic .

Bước 13

Khởi chạy File Explorer sau đó điều hướng đến Local Disk (C :)> Work> Data files> Ch03 .

ProDiscover sau đó tạo ra tập tin hình ảnh (khối lượng phân đoạn) với một phần mở rộng .eve, một file log (mở rộng .log) niêm yết bất kỳ lỗi nào xảy ra trong việc mua lại, và một tập tin tồn kho đặc biệt (. Pds mở rộng) mà nói với ProDiscover bao nhiêu khối lượng phân đoạn là tạo.

Tất cả các tệp này có tiền tố bạn đã chỉ định trong hộp thoại Chụp ảnh. ProDiscover sử dụng. tệp pds để tải tất cả các ổ đĩa được phân đoạn theo đúng thứ tự để phân tích. Đối với hoạt động này, ProDiscover đã tạo ra bốn tệp. Hai là phân đoạn của hình ảnh chia nhỏ của ổ đĩa nghi ngờ, một là tệp nhật ký và một là tệp .pds. Một ổ đĩa lớn hơn sẽ có nhiều hơn hai ổ đĩa được phân đoạn. Tập đầu tiên được phân đoạn (tập một) có phần mở rộng .eve và tất cả các tập được phân đoạn khác có hậu tố -Split1, -Split2, -Split3, v.v. trước dấu. phần mở rộng đêm trước . Nếu tùy chọn nén đã được chọn, ProDiscover sử dụng .cmp thay vì phần mở rộng .eve trên tất cả các ổ đĩa được phân đoạn.

Đóng cửa sổ File Explorer khi hoàn tất.

Giữ tất cả các thiết bị được bật ở trạng thái hiện tại và tiến hành tác vụ tiếp theo.