数字证据是我们在法医调查中关注的主要问题。法医调查人员必须绝对保证,他们作为数字证据获得的数据在捕获,分析和控制期间不会发生改变。在法庭上,包括律师,法官,陪审员在内的每个人都必须对数字证据没有受到篡改且是合法的充满信心。您如何确保数字证据没有被篡改?
根据美国国家标准技术研究所(NIST)的规定,研究人员遵循某些规则和程序,以防止执行任何可能修改磁盘内容的程序。其中一些过程是:
- 使用受信任的操作系统和其他软件,无需任何明确指示即可不向磁盘写入任何内容。
- 使用硬盘写块工具来防止任何硬盘写操作。
- 尽可能设置硬件跳线,使磁盘变为只读状态。
In this article we will be discussing the following key areas:
- What are Write Blockers?
- What are the Types of Write Blockers?
- What to look for in a Write Blocker?
什么是写阻止程序?
Write Blocker是一种工具,旨在防止对硬盘的任何写访问,从而允许对数据存储设备进行只读访问而不会损害数据的完整性。如果正确使用写阻止,则可以保证对监护链的保护。 NIST已针对写入阻止要求发布了一组通用准则:
- 写阻止程序工具不得更改受保护的驱动器。
- 写阻止程序工具不得阻止对不受保护的驱动器执行任何操作。
- 写阻止程序工具不应阻止从任何驱动器获得或有关任何驱动器的任何信息。
有哪些不同类型的写阻止程序?
写入阻止程序基本上有两种类型:硬件写入阻止程序和软件写入阻止程序。两种类型的写阻止程序都具有相同的目的,即防止对存储设备进行任何写操作。让我们详细讨论每种类型的写阻止程序。
硬件写阻止程序:
硬件写入阻止程序用于拦截和阻止任何修改命令,使其永远无法到达存储设备。它的一些功能包括:
- 它们提供监视和筛选与计算机和存储设备的接口连接之间传输或接收的任何活动的功能。
- 它们为许多存储设备提供了内置接口。
- 硬件写阻止程序可以使用适配器连接到其他类型的存储。
- 写入块的硬件设备还通过LED和开关直观地指示函数。这使它们易于使用,并使功能对用户清晰可见。
使用硬件写阻止程序的挑战:
让我们讨论使用基于硬件的写阻止程序的一些挑战。
- 硬件写阻止设备非常昂贵。
- 它们很笨拙,因为它们需要物理连接,并且对于IDE,SCSI,USB等的每种类型的接口都需要不同的连接器。
- 硬件写入阻止程序相对较慢,因为它们需要执行协议转换。
软件写阻止程序:
软件写阻止程序已安装在取证工作站上。根据NIST关于软件写入阻止程序的规范,软件写入阻止程序工具通过监视和过滤从应用程序或操作系统通过给定访问接口发送的驱动器I / O命令来进行操作。它们提供了同时写入阻止与计算机连接的磁盘设备数量的功能,而无需使用多个昂贵的硬件写入阻止设备。不同的写阻止工具提供的一些功能包括:
- 用户可以控制固定和/或可移动磁盘的自动写阻止策略。
- 用户可以使用写阻止工具记住每个固定设备的已阻止或未阻止状态,以方便在工作站/笔记本电脑上重复使用的介质上使用。
- 一些写阻止工具提供了GUI界面,使用户能够阻止和取消阻止任何磁盘或闪存设备。
使用软件写阻止程序的好处:
使用软件写阻止程序代替硬件写阻止程序有一些好处。
- 与使用基于硬件的写阻止程序相比,它们提供了更快的映像。
- 软件写阻止程序比硬件写阻止程序更经济实惠,因为它们不需要将单独的物理连接器连接到设备上来进行写阻止。
在写阻止程序中要查找什么?
购买写阻止程序时,所需的功能取决于您的特定需求。但是,我们建议客户注意一些一般要点:
- 即使硬件写入阻止程序昂贵且速度慢,仍建议使用硬件写入阻止程序而不是软件写入阻止程序。这是由于以下事实:硬件写阻止程序独立于计算机系统运行。另一方面,软件写入阻止工具可能会受到操作系统更新和许多其他变量的影响。
- 硬件写阻止程序或外部写阻止程序具有更多可视指示器,例如红/绿灯和文本屏幕,以验证您的数据是否受到保护。
- 确保写阻止程序与高级格式驱动器兼容。请记住要选择支持最常见的512e(模拟512字节)高级格式类型的写阻止程序。
- 一些写阻止程序允许您在只读模式和读/写模式之间切换。在需要连接到SATA或IDE驱动器的情况下,为了方便起见,请选择允许进行切换的写阻止程序。
参考: – https://en.wikipedia.org/wiki/Forensic_disk_controller