Совместное использование программно
advertisement
Совместное использование программно-аппаратного комплекса РС3000 и Encase v6.10/v4.20 при проведении СКТЭ ГУ Омская лаборатория судебной экспертизы Минюста России Коржов Ф.В. kfv@lse.omsk.ru Периодически пред экспертами возникает вопрос о получении информации с накопителя на жестких магнитных дисках имеющего по каким-то причинам неустойчивое чтение: наличие бэд блоков (как единичных, таки серии), проблемы с контролером и т.д. Получение штатными средствами информации с такого накопителя порой невозможно – так как зачастую накопитель либо завешивает процесс клонирования, либо программа, не вычитав плохой, пропускает его. В таких ситуациях неоценимую помощь оказывает программно-аппаратный комплекс РС3000, который как раз и предназначен для ремонта/диагностики и извлечения информации в подобных случаях. Вкратце лишь скажу, что он позволяет создать полную (сектор в сектор) или частичную копию данных в файлы образов с неисправного носителя на любой другой исправный носитель, при этом вычитывание информации возможно в различных режимах (как вперед, так и назад по поверхности, регулируется количество повторов чтения плохих секторов, прыжки и возвраты с чтением в обратном направлении и т.д.). Для получения образа в «Data Extractor»’е создаем новую задачу (рис.1) – указываем каталог для работы программы. Рис.1 Выбираем устройство для работы, т.е. накопитель с которого буде происходить считывание информации (рис. 2). Рис. 2 После указания режима работы программы с накопителем он подключается и мы видим разделы данного накопителя (рис.3). Рис. 3 Для создания образа данного накопителя в файл необходимо кликнув правой кнопкой на устройстве выбрать пункт «Создать Image в файл». Программа выведет запрос о том с какого по какой LBA будет произведено копировании информации (рисунок не приводил – но по умолчания установлено с 0 по конечный) и об имени создаваемого образа (рис.5). Рис. 4 Рис. 5 Далее, полученный образ можно исследовать в программе Encase. Для начала я приведу пример подключения к версии 6.10. Запускаем Encase – создаем новую задачу. Выбираем пункт File->Add Raw Image. (Странно, но в версии 6.8 его у меня нет, а в 6.7 и 6.10 есть.) Рис. 6 В появившемся окне выбираем «disk» и в разделе «Component Files» указываем на созданный в РС3000 образ (рис. 7). Программа сама определит существующие разделы, их размер и файловую систему. Рис. 7 Образ подключен – можно с ним работать (рис. 8), если необходимо, то его для экономии места можно пережать в нативный формат Encase с компрессией. Рис. 8 Если используется версия 4.20, то процедура немного будет отличаться. Для начала так же создаем задачу и выбираем пункт «File->Add Raw Image» (рис 9) и в появившемся окне выбираем опцию «Disk» с указание пути на образ. Рис. 9 Рис. 10 Образ подключается, но Encase почему-то не видит разделов (очевидно, какие-то проблемы при работе с образами), вместо них он видит «Unused Disk Area» (рис 11). Рис. 11 Для добавления раздела, необходимо на нижней вкладке перейти в режим «Disk». Выделите «Unused Disk Space» и выбрать 63 сектор ( в текстовой панели в правом нижнем углу экрана будет стоять «MSWIN4.1» для FAT32 или «NTFS» для NTFS.»). На нем кликнуть правой кнопкой и выбрать пункт «Add Partition» (рис.12) - по идее должна появиться первый логический раздел накопителя, но это по идее. Раздел появляется, но как правило пустой (рис. 13). Рис. 12 Рис. 13 Можно продолжить восстанавливать разделы – но результат будет такой же. Вместо этого необходимо кликнув в области выбрать пункт «Remove user defined partitions….»(рис. 14). После чего у данной версии наступает «просветление» и она начинает видеть все разделы нормально, далее с ними уже можно штатно работать (рис.15). Сравнение HASH значения образа диска полученного Encase 6.10 с применением Fast Block с HASH суммой образа полученного с применением РС3000 и подключенного к Encase показывает полное их совпадение. Рис. 14 Рис. 15
