План лабораторной работы

Вступительная часть.

1. Программные средства для создания образов файловой системы и посекторного копирования информации с машинных носителей информации.

3. Программно-аппаратные средства для создания образов файловой системы и посекторного копирования информации с машинных носителей информации.

2. Использования модуля "поиск Д" для создания дубликата (образа НЖМД) с блокировкой записи.

Техническое обеспечение:

1. Автоматизированное рабочее место проведения криминалистических экспертиз в сфере информационных технологий;

2. Стендовые компьютеры со специализированным программным обеспечением;

3. Адаптеры USB-HDD;

4. Носители информации.

Литература:

1. Типовые экспертные методики исследования вещественных доказательств: Ч.I /Под ред. канд. техн. наук Ю.М. Дильдина. Общая редакция канд. техн. наук В.В. Мартынова - Мю: ИНТЕРКРИМ-ПРЕСС, 2010 - 568 с.

2. Практическое руководство по производству судебных экспертиз для экспертов и специалистов: науч.-практич. пособие / под ред. Т.В. Аверьяновой, В.Ф. Статкуса. - М.: Издательство Юрайт, 2011. - 720 с. - (Настольная книга специалиста).

3. О.В. Тушканова "Терминологический справочник судебной компьютерной экспертизы: Справочное пособие." - М.: ЭКЦ МВД России, 2005. - 56с., прил., библиогр.

4. Криминалистика: Учебник для вузов / Т.В. Аверьянова, Р.С. Белкин, Ю.Г. Корухов, Е.Р. Российская; Под. ред. Р.С. Белкина. - М.: НОРМА, 2004.

Задание слушателям на подготовку к лабораторной работе:

Подготовить ответы на следующие вопросы:

- Использование программных средств "Acronis Backup & Recovery" и "Acronis True Image" для создания образов файловой системы и посекторного копирования информации с машинных носителей.

- Использование программно-аппаратного комплекса РС-3000 для создания образов файловой системы и посекторного копирования информации с машинных носителей.

2. Использования модуля «поиск Д» для создания дубликата (образа НЖМД) с блокировкой записи.

Порядок выполнения работы:

1. Произвести описание и подключение носителя информации (НЖМД) с соблюдением правил работы с носителями информации. Или произвести загрузку специализированного программного обеспечения с внешнего носителя (USB или оптического диска).

2. С использованием программного обеспечения "Acronis Backup & Recovery" и "Acronis True Image" выполнить этапы создания образа файловой системы с машинных носителей, пригодного для восстановления информации. Произвести подключение логических разделов из образа файловой системы.

3. С использованием программного обеспечения "Acronis Backup & Recovery" и "Acronis True Image" выполнить этапы создания посекторного копирования информации с машинных носителей.

4. С использованием программно-аппаратного комплекса РС-3000 выполнить этапы создания образов файловой системы и посекторного копирования информации с машинных носителей.

5. С использованием модуля «поиск Д» для создания дубликата (образа НЖМД) с блокировкой записи.

Содержание отчета:

1. Описать способы подключения носителя информации.

2. Описать этапы создания образа файловой системы и посекторного копирования информации с машинных носителей при использовании программного обеспечения "Acronis Backup & Recovery" и "Acronis True Image"

3. Описать этапы создания образа файловой системы и посекторного копирования информации с машинных носителей при использовании программно-аппаратного комплекса РС-3000, с указанием предназначения комплекса.

4. Описать этапы создания дубликата (образа НЖМД ) образа файловой системы при использованием модуля «поиск Д».

Привести данные о структуре информации расположенной на образах файловой системы. Сведения представить в табличной форме.

Исходные данные для выполнения работы

В ряде случаев, в частности при невозможности изъятия носителей информации либо по иным причинам технического или процессуального характера, производится создания образа файловой системы или посекторное копирование (клонированипе) информации с машинных носителей.

Программное обеспечение "Acronis " позволяет создать как образ файловой системы имеющейся на отдельном логическом разделе, так и всего дискового пространства. Если при создании образа установить режим "посекторного резервного копирования", то в дальнейшем при монтирование образа него возможно производить восстановление ранее удаленных данных.

Использованиие программного обеспечения "Acronis Backup & Recovery" и "Acronis True Image" возможно с загрузочных носителей. Программы содержат развернутую справочную систему.

Программно-аппаратный комплекс РС-3000 позволяет создавать копии данных, в том числе с неисправных носителей информации (НЖМД). Для этого с помощью входящих в набор технологических переходников и адаптеров осуществляется подключение НЖМД. После определения данных о подключенном НЖМД с помощью программы "Data Extractor" входящей в состав комплекса выбирается режим "Создание копии данных" с выбором способа создания, либо образ файловой системы либо посекторное копирование на выбранный НЖМД.

Поиск-Д Комплекс специальных технических средств для сбора (копирования) информации предназначен для создания точной посекторной копии НЖМД на один или два НЖМД одновременно с блокировкой записи на исследуемый НЖД. Копирование осуществляется путем переноса данных с исходного диска непосредственно на диск-приемник, либо путем создания файла-образа, хранящего информацию обо всех (в том числе свободных) секторах исходного диска, в том числе без извлечения носителя информации с исследуемого компьютера .

Комплекс специальных технических средств для сбора (копирования) информации» является мобильным и может использоваться для проведения работ на выезде. В состав комплекса входит специализированный принтер для печати этикеток с информацией о диске-источнике: контрольной суммы, вычисленной по алгоритму md5, точном размере исходного диска в байтах, времени печати этикетки.

Внешний вид, органы управления

Конструктивно изделие выполнено в виде металлического кейса. Внешний вид устройства представлен на рисунке.

На лицевой панели располагаются органы управления. Панель имеет следующие основные элементы: разъемы для подключения исследуемого ПК к ноутбуку, корзина для 2х дисков-приемников, провода для подключения диска-источника (доступны интерфейсы IDE, SATA, SAS), индикатор, кнопки управления изделием, кард-ридер, разъем Ethernet, ряд разъемов USB.

Назначение кнопок панели:

• «Сеть» для включения и выключения изделия;

• «Запуск» для запуска процесса копирования;

• «Остановка» позволяет прервать работу изделия, если это будет необходимо;

• «Клон/образ» предназначена для переключения режима работы изделия;

• «Проверка клона» предназначена для проверки контрольной суммы диска-приемника, содержащего копию исходного диска;

• «Печать этикетки» позволяет печатать необходимое количество дополнительных этикеток с информацией о скопированном диске.

Подготовка изделия к работе

Для создания копий с отдельного диска

Откройте кейс и извлеките из него все неиспользуемые принадлежности. Желательно расположить его таким образом, чтоб угол между крышкой и лицевой панелью был чуть больше 90 градусов.

Подключите исследуемый диск к соответствующим интерфейсным кабелям. Для подключения дисков IDE необходимо использовать шлейф и 4-х контактный кабель питания, для подключения дисков SATA и SAS необходимо использовать только кабель с подходящей колодкой, т.к. на неё выведен и интерфейс и питание изделия. Внешние жесткие диски с интерфейсом IEEE1394 подключаются при помощи специального кабеля. При этом может потребоваться подать на них отдельное питание.

Убедитесь, что в корзине находится хотя бы один диск-приемник, при необходимости установите его туда следующим образом. Откройте замок специальным цилиндрическим ключиком из комплекта поставки. Выдвиньте отсек для диска. При помощи винтов и отвертки из комплекта поставки закрепите диск-приемник в отсеке.

Задвиньте отсек в корзину. При необходимости повторите со вторым диском. При таком варианте подключение этикет-принтера осуществляется к разъему «принтер-1» изделия.

Изделие подготовлено к работе.

Режим копирования

Данный режим является режимом по умолчанию в том случае, когда к изделию подключены ровно один диск-источник и один диск-приемник. Для запуска процесса копирования необходимо кратковременно нажать кнопку «Запуск». Изделие проверит что размер источника меньше или равен размеру приемника и начнется процесс копирования. Если размер источника превышает размер приемника, на индикаторе будет показано соответствующее сообщение. В этом случае необходимо выключить изделие и использовать диск-приемник большей ёмкости.

После переноса всех секторов исходного диска на диск-приемник изделие осуществляет запись в последние сектора диска-приемника специальной структуры со служебными данными – «подписи диска». Эти данные содержат информацию о размере диска-источника и его контрольной сумме, подсчитанной в процессе копирования. Последний байт служебной информации всегда приходится на последний байт диска-приемника. Формат этой области следующий: первые 8 байт содержат размер диска-источника в байтах. Это беззнаковое целое число в записи little-endian. Затем идут 32 байта – ASCII символы контрольной суммы (в шестнадцатиричной системе счисления) в записи big-endian.

Также по окончании процесса копирования и если принтер подключен будет распечатана одна этикетка. При необходимости можно распечатать дополнительные этикетки нажатием на соответствующую кнопку на передней панели изделия.

Режим дублирования

Данный режим отличается от вышеописанного только количеством дисков-приемников и, соответственно, картинкой на индикаторе изделия. В остальном он полностью ему аналогичен. При этом запись служебной информации осуществляется на оба диска. Этикетка печатается также одна шт.

Режим записи образа

Перевод изделия в данный режим осуществляется нажатием на кнопку «Клон/образ» лицевой панели. Работа в данном режиме будет возможна только в том случае, если подключен только один диск-приемник. Количество дисков-источников в этом режиме может быть любым и ограничивается количеством свободных портов в изделии.

В режиме записи образа изделие осуществляет перенос всех секторов исходного диска в файл, хранящийся на диске-приемнике. Этот файл называется образом исходного диска. Непосредственно перед началом записи образа изделие проверяет наличие достаточного свободного места в файловой системе диска-приемника для хранения образа исходного диска.

Для корректной работы изделия в этом режиме необходимо заранее подготовить диск-приемник. На нем необходимо создать один раздел размером во весь диск и отформатировать его в подходящую файловую систему. На данный момент изделие поддерживает файловые системы FAT32, NTFS, ext2, ext3. В дальнейшем планируется добавить поддержку ext4.

При записи образа изделие выбирает имя файла-образа следующим образом. На диске-приемнике ищутся файлы с именами вида image_n.iso, где n является числом (т.е., например, image_1.iso). После этого для вновь создаваемого образа выбирается имя image_(n+1).iso (т.е., например, image_2.iso). При необходимости изделие само создаст первый файл с именем image_1.iso.

Для дальнейшей проверки целостности файлов-образов изделие записывает на диск-приемник специальный текстовый файл «images.log». Этот файл содержит список всех ранее записанных образов. Каждой строке в файле соответствует один файл образа. О каждом файле хранится следующая информация: имя файла, полный размер исходного диска (он совпадает с размером файла-образа), значение контрольной суммы md5 исходного диска.

Лабораторная работа № 1.3.3: Выявление данных о работе с сетевыми ресурсами.

Целью лабораторной работы является: получение навыков по выявление данных о работе с сетевыми ресурсами, обнаружению данных о работе в сети "inteernet".

В результате выполнения лабораторной работы должны быть закреплены знания полученные на лекциях и практических занятиях по теме 1.3 тематического модуля №1; работа должна способствовать привитию навыков поиска, обобщения и изложения учебного материала; активизировать мышление и познавательную деятельность курсантов при изучении учебной дисциплины; добиться твердого усвоения обучаемыми учебного материала по теме. Закрепить на практике теоретические сведения по теме №1.3 “Специальные знания при расследовании преступлений в сфере информационных технологий.”

Время: 2 часа