Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
2.
Zabezpieczaniedanych
Zabezpieczaniedanychmaróżnyprzebieg,zależnieodpodejścia.Zgod-
niezterminemDFIRsądwapodstawowe:jednotradycyjne–odstrony
informatykiśledczej,adrugie–odstronyreagowanianaincydenty.
Jeślipodchodzimydosprawyzgodniezdobrymipraktykami,wmyśl
zasadinformatykiśledczej,topowinnazostaćwykonanakopiabinarna
(1:1)wrazzwygenerowaniemsumykontrolnej,awszelkieprzyszłeprace
powinnybyćwykonywanenakopii.Najlepiejposiadaćdwiekopie:główną
oraztę,naktórejbędąprowadzonebadania.Podejścietojestzwiązane
zrealnymryzykiem,żepodczasanalizy–zewzględunadużeobciąże-
niewpostaciciągłegoodczytu–dyskmożeulecfizycznemuuszkodze-
niu.Wtrakciewykonywaniakopiibinarnejdyskdowodowypowinien
byćpodłączonydokomputera–naktórymjestwykonywanakopia–za
pośrednictwemurządzeniablokującegozapis,tzw.bloker6.Jesttodedy-
kowaneurządzenieanalizującekomendyATA/SATAprzesyłanedokon-
troleradyskuiblokującewszelkiepróbydokonaniaprzezsystemzapisu
nadowodowymnośniku.Gwarantujetonamintegralnośćiunikamy
ryzykaprzypadkowejzmianydanychnadyskudowodowym.Możliwe
jestoczywiścieuruchomienieianalizadyskudowodowego,naprzykład
zsystemuLive-CD,gdziedyskdowodowyzamontowanybędziezopcją
„tylkodoodczytu”,jednakprzytakimscenariuszupracymożedojść
donieumyślnegouruchomieniasystemuzdyskudowodowegozamiast
znośnikaLive-CD.Przykładowąkonsekwencjątakiejsytuacjijestmody-
fikacjaczasówMAClubteżwykonanieróżnegorodzajuskryptówstar-
towych,czegoefektemmożebyćnadpisanienadyskuistotnychdanych.
Stosującbloker,niemartwimysię,żedotakichincydentówdojdzie.
6http://forensicswiki.org/wiki/Write_Blockers(http://adamziaja.com/book/?xsk3)
17