我需要知道什么才能选择数字法医数据的传输方法？

Question

我有一个问题，涉及使用取证技术从移动/便携式工作站/设备收集证据？

我会尝试更好地解释这个场景，方法是考虑一个工作环境，在那里我们(作为技术安全小组)被呼叫到xyz位置进行调查，以收集某种数字证据。现在，我们还没有取证的方法，只是依靠基本的手工方法来收集数据，例如搜索文件histroy，临时文件夹。

现在，经过一个月的研究，研究出使用取证技术的好处，我们想出了一种策略，使用硬盘复印机从远程工作站/膝上型电脑上获取数据，并编写保护硬盘。

现在，我被困在整个过程中，是如何优化数据从驱动器到分析系统的传输。在这种情况下，分析系统将使用EnCase软件。我想从下面的清单中知道什么是将证据转移到分析系统的最佳方式。

1. 工作站/膝上型计算机连接到外部硬盘驱动器
2. 工作站/膝上型计算机连接到USB接口
3. 工作站/膝上型计算机连接到网络连接的硬盘驱动器。
4. 还有这里没有提到的其他方法。

考虑到，在我们的环境中，磁盘驱动器的容量会达到兆字节。例如，当通过任何渠道复制到分析系统时，一个兆字节驱动器的映像应该足够快，以便法医软件能够运行复杂的查询，例如查找已删除的文件，或者通过远程终端访问计算机。

我想知道上面提到的方法是什么提供了最快的证据分析。考虑到在分析系统中存储数字证据的空间并不短缺。

Answer 1

当计算机想要快速访问硬盘时，它们使用SATA。USB火线..。对于外部磁盘是可以的，但是给出选择(例如，当我们谈到计算机内部的磁盘时)，计算机使用SATA。因此，您希望使用SATA。

所以，为了你的分析，你想：

1. 将整个磁盘复制到新硬盘上以进行检查。硬盘复印机通常使用SATA，因此您需要提取源磁盘并将其与目标磁盘一起插入复制器。好的机械硬盘驱动器顶部大约是100到150 MB/s，所以对于一个TB磁盘，这将需要至少两个小时。SSD更快，使SATA更加重要。
2. 将副本插入机器进行分析(内部连接，再次SATA )。

我建议不要启动机器来分析，即使是在CDROM或USB键上，因为这需要修改BIOS设置，从而“污染”犯罪现场。此外，这将限制您的选择，USB-2.0上限为60 MB/s (理论上的限制，很少实现)。

为了进行更快的分析，将目标磁盘设置为SSD (它必须足够大以容纳源磁盘的完整副本，而大型SSD则是昂贵的--但速度太快了!)

Answer 2

就我个人而言，我是一个法医liveCD的超级粉丝(请选择，EnCase工作的很好)，然后图像到一个外部驱动器。这是廉价，快速，易于移交给第三方(例如，执法)。

Answer 3

EnCase有多种方法从驱动器中获取证据。我强烈建议您使用EnCE学习指南，其中包含一个关于数据采集方法的大章节。

以下是几条建议：

• 如果计算机是开着的，就把它打开。加密的卷可能被解锁/打开。关闭计算机几乎肯定会锁定这些密码，并且很有可能从“有罪”的人那里获得密码。使用内存转储实用程序来捕获RAM的内容。尽量不要改变电脑上的任何东西。
• 获得一个USB高清适配器(最好是SATA和PATA)具有写阻塞能力。这些并不是特别便宜，但在大多数情况下使初步检查更快、更容易。在某些情况下，复制驱动器是必要的，特别是如果警察介入的话。
• 包-n-标签，拍照(即使是最晦涩的东西)，广泛地记录一切。