co je forenzní obraz? Co je klon? Jak se liší forenzní obraz od klonu? To jsou otázky, kterým se v Capsicum často věnujeme. I když se na jeho tváři zdá, že je to snadno zodpovězeno, je to mnohem jemnější, než si dokážete představit. V průběhu let bylo mnoho termínů používaných k popisu forenzního obrazu versus klonu a procesu vytváření forenzní zálohy. Pojmy jako zrcadlový obraz, přesná kopie, bitový obraz, duplikace disku, klonování disku a zrcadlení způsobily, že je stále obtížnější pochopit, co přesně se vyrábí nebo požaduje.
obecně řečeno, forenzní zálohy jsou dosaženy zachycením všech dat ze zdrojového média (počítače, mobilní telefony, tablety atd.) forenzně zdravým způsobem tak, aby všechna původní data byla v nezměněném stavu. To znamená, že se shromažďuje celý obsah zdrojového média, včetně nevyužitého prostoru, všech dat slack, všech nepřidělených prostor a dalších médií.
jak rozlišujete obraz a klon?
forenzní obraz je komplexní duplikát elektronických médií, jako je pevný disk. Artefakty (informace nebo data vytvořená v důsledku použití elektronických zařízení, která vykazují minulou aktivitu), jako jsou smazané soubory, odstraněné fragmenty souborů a skrytá data, lze nalézt v slack (nevyužitý prostor, který je vytvořen mezi značkou konce souboru a koncem clusteru pevného disku, ve kterém je soubor uložen, a nepřidělený prostor (nevyužitá část pevného disku). Tento přesný duplikát dat se označuje jako bitová kopie zdrojového média a nazývá se obrázek. Obrázky jsou zkamenělé snímky, které se používají pro analýzu a uchování důkazů. Obrázky nelze použít jako pracovní kopie.
forenzní klon je také komplexní duplikát elektronických médií, jako je pevný disk. Artefakty, jako jsou smazané soubory, odstraněné fragmenty souborů a skrytá data, lze nalézt v jeho uvolněném a nepřiděleném prostoru. Tento přesný duplikát dat je označován jako bit-by-bit kopie zdrojového média a nazývá se klon. Klony jsou pracovní snímky, které jsou modifikovatelné a nemusí být nutně zachovány. Klon se používají jako pracovní kopie, které nahrazují původní důkazy pro účely analýzy a uchování dat.
a hash (schéma detekce chyb, které provádí výpočet binární hodnoty paketu/rámce a poté je připojeno k paketu / rámu jako pole s pevnou délkou. Jakmile je paket / snímek přijat, provede se podobný výpočet. Pokud výsledek neodpovídá prvnímu výpočtu, došlo během přenosu ke změně dat. Výpočet může být součet (kontrolní součet), zbytek dělení nebo výsledek hashovací funkce) původního zařízení může ověřit, zda je médium přesným duplikátem(forenzní zvuková kopie). Jakákoli změna hodnoty hash originálu na jeho klon nebo obrázek potvrdí, že se nejedná o přesné kopie. To je důležité vědět při řešení právních záležitostí.
proč záleží ve vaší advokátní kanceláři na právním případu?
zatímco klon může být použit pro digitální forenzní analýzu, obvykle se používá k vytvoření pracovních kopií nebo přesné náhradní jednotky.
obrázky se primárně používají k forenzní analýze a zachování původních dat. Jsou zkamenělé a jejich obrazový formát nelze upravit.
Capsicum měl nedávno případ velmi úzce související s tímto tématem. Právník byl veden k přesvědčení, že obraz a klon jsou stejné. Advokát požádal o obrázek, aby mohli prohlížet soubory z počítače. Odborníci na papriky uspořádali setkání s požadavky a dokázali se dostat ke kořenům toho, jaké pracovní produkty jsou vyžadovány. Dokázali jsme vysvětlit, že bez forenzních nástrojů nebyl obraz čitelný. Dále jsme vysvětlili, že zatímco klon by mohl být zkontrolován a prohledán, původní data by byla upravena. Nakonec jsme po spolupráci s advokátem vytvořili klon i Image. Ve společnosti Capsicum, poskytujeme hluboké technické znalosti a dobře se orientujeme ve vedení nebo účasti na vašem elektronickém vyšetřování.
bez ohledu na úroveň složitosti je tým technických a právních odborníků Capsicum Groups vybaven špičkovou technologií a intenzivními strategiemi pro váš úspěch. Další informace o našich forenzních zotavovacích a kybernetických službách ve Filadelfii, New Yorku a jižní Floridě získáte spojením s námi prostřednictvím naší kontaktní stránky nebo voláním 1-888-220-3101.
zde jsou některé další články napsané Capsicum, které by vás mohly zajímat:
jak rozbít zabezpečené PDF
jen Text Me: Top 5 Otázky digitální forenzní odborníci jsou požádáni, pokud jde o textové zprávy důkaz
Metadata: kouřová zbraň