Блокировщики записи - Введение
Цифровые доказательства - наша главная проблема в судебно-медицинской экспертизе. Судебные следователи должны быть абсолютно уверены в том, что данные, которые они получают в качестве цифровых доказательств, не изменяются во время сбора, анализа и контроля. В зале суда все, включая адвокатов, судей и присяжных, должны быть уверены, что цифровые доказательства не были подделаны и являются законными. Как вы можете быть уверены, что цифровые доказательства не подделаны?
Согласно Национальному институту стандартов и технологий NIST , исследователь следует определенному набору правил и процедур, чтобы предотвратить выполнение любой программы, которая может изменить содержимое диска. Некоторые из этих процедур:
- Используйте операционную систему и другое программное обеспечение, которому доверено не записывать что-либо на диск без каких-либо явных инструкций.
- Используйте инструменты блокировки записи на жесткий диск, чтобы предотвратить любую запись на жесткий диск.
- По возможности устанавливайте аппаратную перемычку, чтобы сделать диск доступным только для чтения.
In this article we will be discussing the following key areas:
- What are Write Blockers?
- What are the Types of Write Blockers?
- What to look for in a Write Blocker?
Что такое блокировщики записи?
Блокировщик записи - это инструмент, предназначенный для предотвращения любого доступа для записи на жесткий диск, тем самым разрешая доступ только для чтения к устройствам хранения данных без нарушения целостности данных. Блокировка записи при правильном использовании может гарантировать защиту цепочки поставок. NIST выпустил набор общих рекомендаций по требованиям к блокировке записи:
- Инструмент блокировки записи не должен позволять заменять защищенный диск.
- Средство блокировки записи не должно препятствовать выполнению каких-либо операций с незащищенным диском.
- Инструмент блокировки записи не должен препятствовать получению какой-либо информации с любого диска или о нем.
Какие существуют типы блокировщиков записи?
Блокировщики записи в основном бывают двух типов: аппаратный блокировщик записи и программный блокиратор записи. Оба типа блокировщиков записи предназначены для одной и той же цели, а именно для предотвращения любой записи на устройства хранения. Давайте подробно обсудим каждый тип блокировщика записи.
Аппаратный блокировщик записи:
Аппаратные блокираторы записи используются для перехвата и блокировки любой команды изменения, когда-либо достигающей устройства хранения. Некоторые из его функций включают:
- Они предлагают мониторинг и фильтрацию любой активности, которая передается или принимается между его интерфейсными соединениями с компьютером и запоминающим устройством.
- Они предоставляют встроенные интерфейсы для ряда устройств хранения.
- Аппаратные блокираторы записи могут подключаться к другим типам хранилищ с помощью адаптеров.
- Аппаратные устройства, записывающие блок, также обеспечивают визуальную индикацию работы с помощью светодиодов и переключателей. Это упрощает их использование и делает функциональные возможности понятными для пользователей.
Проблемы использования аппаратных блокировщиков записи:
Давайте обсудим некоторые проблемы использования аппаратных блокировщиков записи.
- Аппаратные устройства блокировки записи очень дороги.
- Их неудобно использовать, поскольку они требуют физического подключения и разных разъемов для каждого типа интерфейса для IDE, SCSI, USB и т. Д.
- Аппаратные блокираторы записи работают сравнительно медленнее, поскольку им необходимо выполнять преобразование протоколов.
Программный блокировщик записи:
Программные блокираторы записи устанавливаются на рабочую станцию криминалистов. Согласно спецификации NIST на программное обеспечение Write Blocker, программное средство блокировки записи работает, отслеживая и фильтруя команды ввода-вывода накопителя, отправленные из приложения или ОС через заданный интерфейс доступа. Они предоставляют возможность одновременно записывать в блок столько дисковых устройств, сколько подключено к компьютеру, без необходимости использования нескольких дорогостоящих аппаратных устройств блокировки записи. Некоторые из функций, предоставляемых различными инструментами блокировки записи:
- Пользователь может управлять политиками автоматической блокировки записи для фиксированных и / или съемных дисков.
- У пользователя может быть инструмент блокировки записи, который запоминает заблокированное или незаблокированное состояние каждого фиксированного устройства для простоты использования на носителе, многократно используемом на рабочей станции / портативном компьютере.
- Некоторые инструменты блокировки записи предоставляют графический интерфейс, который позволяет пользователю блокировать и разблокировать любой диск или устройство флэш-памяти.
Преимущества использования программных блокировщиков записи:
Использование программных блокировщиков записи вместо аппаратных блокировщиков записи дает некоторые преимущества.
- Они обеспечивают более быструю визуализацию, чем использование аппаратных блокировщиков записи.
- Программные блокираторы записи более доступны по цене, чем аппаратные, поскольку им не нужен отдельный физический разъем для подключения к устройству для блокировки записи.
Что искать в блокировщике записи?
При покупке блокиратора записи требуемые функции зависят от ваших конкретных потребностей. Однако следует помнить о некоторых общих моментах, которые мы рекомендуем клиентам:
- Рекомендуется использовать аппаратные блокираторы записи вместо программных блокировщиков записи, даже если аппаратные блокираторы записи дороги и медленны. Это связано с тем, что аппаратные блокираторы записи работают независимо от вашей компьютерной системы. С другой стороны, программные средства блокировки записи могут зависеть от обновлений ОС и многих других переменных.
- Аппаратные блокираторы записи или внешние блокировщики записи имеют больше визуальных индикаторов, таких как красный / зеленый свет и текстовый экран, чтобы проверить, что ваши данные защищены.
- Убедитесь, что блокировщик записи совместим с дисками расширенного формата. Имейте в виду, что при выборе блокировщика записи поддерживается наиболее распространенный тип расширенного формата 512e (эмуляция 512 байт).
- Некоторые блокировщики записи позволяют переключаться между режимами только для чтения и чтения / записи. Выберите блокировщик записи, который позволяет переключаться для удобства в случаях, когда вам нужно подключиться к дискам SATA или IDE.
Ссылки: - https://en.wikipedia.org/wiki/Forensic_disk_controller
Вниманию читателя! Не прекращайте учиться сейчас. Получите все важные концепции теории CS для собеседований SDE с курсом теории CS по доступной для студентов цене и будьте готовы к отрасли.