Как да създадете пригодно за съда дисково изображение в Windows безплатно
Alexander Sverdlov
Анализатор по сигурността

Едно дисково изображение е просто файл, докато не можете да докажете две неща за него: че е вярно копие на оригиналния носител байт по байт и че не се е променило, откакто сте го направили. Без тези две доказателства изображението е безполезно в съдебна зала и несигурно дори при вътрешно разследване. Добрата новина е, че дисциплината зад едно пригодно за съда снемане не е сложна и не се нуждаете от скъп форензичен пакет, за да я следвате.
Какво всъщност означава "пригодно за съда"

Снемането е защитимо, когато независим експерт може да повтори вашата проверка и да стигне до същия резултат. На практика това се свежда до четири навика:
- Запазете оригинала. Четете от източника и никога не пишете върху него. В идеалния случай използвате хардуерен блокер за запис; като минимум третирате източника само за четене и документирате това.
- Хеширайте всичко. Изчислявате криптографски хешове на източника, докато го четете, така че изображението носи собственото си доказателство за вярност.
- Проверявайте след записа. Прочитате отново изображението, което току-що сте записали, и потвърждавате, че хешът съвпада с източника. Снемане без проверка е просто копиране.
- Логвайте процеса. Всяка стъпка, времеви маркер, хеш и грешка се записват в манифест, който можете да предадете на отсрещната страна.
Трите хеша и защо повече от един

Ще видите MD5, SHA-1 и SHA-256, прикачени към форензичните изображения. MD5 и SHA-1 вече не са безопасни срещу умишлена атака за колизия, но остават полезни като бързи проверки на целостта и все още се очакват от наследени инструменти и много експерти. SHA-256 е модерната криптографска котва. Изчисляването на трите наведнъж струва почти нищо на модерен процесор и означава, че изображението ви удовлетворява както старите конвенции, така и текущия стандарт. Ключовото е, че хешът се изчислява по време на снемането, върху данните, докато текат от диска, а не в бавен втори проход след това.
Raw dd или EnCase E01?

Два изходни формата доминират. Едно raw (dd) изображение е плоско, бит по бит идентично копие без контейнер около него: максимално съвместимо, но толкова голямо, колкото източника, и без вградени метаданни. Едно EnCase E01 (EWF) изображение обвива същите данни във форензичен контейнер, който съхранява метаданни по случая, вгражда хеша от снемането, компресира с DEFLATE за пестене на място и се разделя на сегменти, така че снемането на цял диск да се побере на FAT томове или да се прехвърли на части. За повечето снемания E01 е по-добрият избор по подразбиране; запазете raw dd за случаи, в които инструмент надолу по веригата настоява за плоско изображение, и конвертирайте между двете при нужда.
Оцеляване при повредени носители

Дисковете, които се нуждаят от снемане, често са дисковете, които умират. Един нечетим сектор не бива да прекъсва цялото снемане или, още по-лошо, тихо да поврежда отместванията на всичко след него. Правилното поведение, въведено от инструменти като ddrescue и dc3dd, е да се повтори опитът за повредения сектор няколко пъти, след което да се запише нулиран запълнител със същата дължина и да се логне мястото. Изображението остава с правилния размер, всеки следващ сектор се озовава на правилното отместване и вашият лог честно записва кои области не са могли да бъдат прочетени.
Снемане на жива система

Понякога не можете да извадите диска. Работещата машина има отворени, заключени файлове, а директното им копиране произвежда непоследователна снимка. Windows решава това с Volume Shadow Copy Service (VSS), който създава консистентна за четене снимка на жив том в точен момент. Снемането на тази снимка ви дава съгласувано заснемане, без да изключвате системата, което има значение, когато времето на работа или летливият контекст са част от случая.
Как да го направите безплатно с AtlantImage

AtlantImage е безплатен форензичен инструмент за снемане за Windows в един изпълним файл, който вгражда всичко по-горе по подразбиране. Насочете го към физически диск или отделен том, изберете raw dd или E01, и той снема с хеширане MD5, SHA-1 и SHA-256 в движение, след което извършва проверка чрез повторно прочитане, която рехешира записаното изображение и доказва, че съвпада с източника. Повредените сектори се повтарят, нулират и логват. Може да заснема през VSS снимка за живи системи, да разделя E01 на сегменти и да записва съпътстващи хеш и лог файлове в стил dc3dd. Тъй като работи от един преносим файл без инсталатор, можете да го носите на USB и да го стартирате на целевата машина, без да разгръщате нищо или да оставяте следи.
От командния ред цялото снемане е една повторяема, скриптируема стъпка:
AtlantImage acquire --source \\.\PhysicalDrive0 --out case01.e01 --format e01 --hash md5,sha256 --verify
Енджинът е написан на Rust и изграден по публикувани спецификации, вместо да обвива непрозрачни библиотеки на трети страни, а всеки компонент е кръстосано валидиран спрямо референтните инструменти: libewf чете E01 изображенията байт по байт, а Windows Get-FileHash потвърждава хешовете. Тази прозрачност сама по себе си е част от защитимостта, защото експертът може независимо да потвърди, че инструментът прави това, което твърди.
Минимален защитим работен поток
- Свържете източника само за четене и запишете устройството, серийния номер и времето.
- Снемете към E01 с включено хеширане MD5 и SHA-256.
- Оставете проверката чрез повторно прочитане да приключи и потвърдете, че хешовете съвпадат.
- Съхранете изображението, неговите хешове и манифеста заедно и отбележете всички логнати повредени сектори.
Следвайте тази последователност и имате изображение, зад което можете да застанете, произведено с инструмент, който всеки може да изтегли и провери.
AtlantImage е безплатен. Изтеглете AtlantImage (един преносим изпълним файл, без инсталатор, без регистрация). За триаж на живо и възстановяване на изтрити файлове същият инструмент покрива NTFS триаж и възстановяване. Свържете се с нас, ако искате нашият екип да помогне.

Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.