Другие типы носителей

Весьма распространенные носители компьютерной информации на основе флэш-памяти не только надежнее, но и значительно удобнее исследовать, сняв предварительно их копию.

Проще всего сделать копию, подключив такое устройство к лабораторному компьютеру с ОС типа UNIX или Linux. В этих системах есть все необходимое для безопасного (без возможности записи) подключения и побитового копирования. При вставлении такого накопителя в USB- разъем или иное устройство чтения оно опознается операционной системой. Если опознания не произошло, значит, не хватает соответствующего драйвера (модуля ядра), который нужно доустановить.

Пример опознавания флэш-накопителя с интерфейсом USB: dmesg

umassl: PNY USB DISK 2.0, rev 1.10/0.50, addr 2 da4 at umass-siml bus I target 0 Iun 0

da4: lt; USB DISK 2.0 1.09gt; Removable Direct Access SCSI-O device da4: l.OOOMB/s transfers

da4: 124MB (253952 512 byte sectors: 64H 32S/T 124C)

Подключаем опознанный накопитель с опцией «го» (только чтение): mount_msdosfs -о го /dev/da4sl /mnt/usbdrv/ mount

/dev/ad6sla on / (ufs, local) devfs on /dev (devfs, local)

/dev/ad6sle on /tmp (ufs, local, soft-updates)

/dev/ad6slf on /usr (ufs, local, soft-updates)

/dev/ad6sld on /var (ufs, local, soft-updates)

/dev/da4sl on /mnt/usbdrv (msdosfs, local, read-only)

Чтобы исключить возможность изменения информации на устройстве, его подключение (монтирование) осуществляется с опцией «-г» (или «-о го»), то есть в режиме read-only. Далее при помощи программы «dd» все содержимое устройства побитово копируется в файл, который и будет подвергнут дальнейшему исследованию. dd if = /dev/da4 of = /home/fnn/usbimage.bin conv=notrunc,noerror, sync 253952+0 records in

253952+0 records out

130023424 bytes transferred in 1271.039536 secs (102297 bytes/sec)

Получившийся у нас файл с образом накопителя usbimage .bin может быть подключен к экспертной программе — «EnCase» «FTK» или какой- либо другой.

Если копирование накопителя производится на месте, то будет полезно подсчитать контрольную сумму, а лучше — хэш-функцию полученного файла и занести ее в протокол. Значение хэш-функции, которая вычислена несертифицированным и неаттестованным криптографическим средством, официально не может служить доказательством неизменности файла. Однако ее совпадение со значением хэш-функции, которое вычислит эксперт, будет дополнительным способом убедиться в целостности данных. md5 usbimage.bin

MD5 (usbimage.bin) = 4d3de473b8c7f01ec6ed6888f61f8с43

После этого отмонтируем накопитель и извлекаем его из разъема. umount /mnt/usbdrv/ dmesg

umassl: at uhub3 port 2 (addr 2) disconnected (da4:umass-siml: 1:0:0): lost device (da4:umass-siml: 1:0:0): removing device entry umassl: detached

Подключение и копирование USB-устройства под ОС класса Windows представляется более проблематичным, поскольку отсутствует возможность подключения (монтирования) накопителей в режиме «только чтение». Все USB-устройства в этой ОС подключаются с возможностью чтения и записи, и ОС может производить запись на устройство без санкции со стороны пользователя и без его уведомления. Для накопителей с интерфейсами SCSI и IDE (АТА) выпускаются аппаратные блокираторы за

писи, а для USB-устройств такого приспособления автору найти не удалось. Впрочем, некоторые модели флэш-накопителей имеют собственный аппаратный блокиратор записи в виде переключателя на корпусе.