在民事和刑事調查中,讀取或分析硬盤或其他移動存儲中的數據時,保留原始文件內容和時間戳是非常關鍵的,這也是保持證據原始性的一個要求。但很多人沒有意 識到,將硬盤或移動存儲設備連接到計算機上使用時,會造成硬盤中的數據更改。因此要保證證據的原始性,必須要使用寫保護設備。
律師行、調查公司或其他電子證據服務機構,應該和專業計算機法證機構一樣,更應該注意這一點。大家都知道,讀取刻錄在光盤中的證據數據時不會發生數據更改的情況。但是,應該注意的是,在將證據文件刻錄到光盤的時候,卻會改變原始證據文件的時間戳。
現在市場上有很多硬件設備可以實現硬件寫保護功能。更有一些新開發出的軟件的軟件寫保護方案能夠提供更有效、更易用、更快速的解決方法。
如果需要使用硬件寫保護設備,目前市場上有:Tableau 、WeibeTech、ICS Drive Lock、Disk Jockey PRO Forensic Edition 等。
軟件寫保護工具,可以選用 Safe Block XP。
當選購硬件寫保護設備時,你可能會發現你不得不考慮到各種存儲介質,比如不同類型的硬盤接口,USB閃存(優盤)、閃存卡、火線硬盤等等。這些加在一起需要上萬元了。
相 比起來,我認為選用軟件寫保護方法,如 Safe Block XP ,可能會更加理想。Safe Block XP這種軟件方式價格相比便宜很多,可以運行於 Windows XP 中,允許用戶對各種存儲介質添加只讀保護。此外,Safe Block XP 可以明顯增強數據拷貝、鏡像和哈希校驗的速度。
軟件方式可以使用計算機本身的各種接口,而硬件寫保護設備目前主要侷限於USB和火線接口。
轉自計算機取證技術
發表文章
0 意見: