Podstawy informatyki śledczej
3. Procedury pozyskiwania dowodów cyfrowych
3.1. Procedura sterylizacji
Procedury sterylizacji mają na celu zapewnienie, że nasze urządzenie docelowe jest gotowe do odbioru oryginalnej informacji. Sterylizacja ma na celu zapisanie wszystkich bitów naszego dysku zbiorczego z wartością 0 (zero), co zapewnia, że żadna wcześniejsza informacja nie jest na nim obecna.
Po sterylizacji zawsze konieczna jest walidacja, sprawdzająca czy sterylizacja przebiegła w prawidłowy sposób. Po tej walidacji możemy przystąpić do formatowania dysku na odpowiedni system plików.
Istnieje wiele programów, które pozwalają na przeprowadzenie tej procedury sterylizacji dysku i sformatowania go do pożądanego systemu plików. Tutaj zademonstrujemy ten proces używając narzędzi obecnych w większości dystrybucji Linuksa, lsblk,fdisk i dc3dd.
Pierwszym krokiem jest identyfikacja tarczy przeznaczonej do sterylizacji. Bardzo ważne jest, aby ta identyfikacja była jednoznaczna i potwierdzona tyle razy, ile jest to konieczne. Wysterylizowany dysk nie może być odzyskany.
3.1.1. Identyfikacja urządzenia
Identyfikacja urządzenia odbywa się za pomocą serii poleceń. W pierwszej kolejności należy określić jakie woluminy zainstalowane są na komputerze, który ma być użyty. Dobrą praktyką jest używanie komputera z podłączonym tylko dyskiem do sterylizacji, uruchamiając system operacyjny z płyty liveCD lub pamięci USB. Zmniejsza to możliwość wystąpienia błędów w identyfikacji dysku:
$ lsblk | grep sd*
To polecenie wyświetli listę wszystkich urządzeń pamięci masowej rozpoznawanych przez system operacyjny. Wyświetlone zostaną wszystkie dyski, a także ich rozmiar i partycje. Polecenie to pomaga nam jedynie dowiedzieć się, jak nazywa się nasz dysk w komputerze.
W razie wątpliwości możemy jeszcze użyć polecenia (Rysunek 14)
fdisk -l /dev/sd*
Rysunek 14 - identyfikacja urządzenia
To polecenie daje nam więcej informacji o pożądanym dysku.
3.1.2. Sterylizacja dysku docelowego
Proces sterylizacji to nic innego jak zapisanie całego dysku wartością 0 (zero), czyli zmuszenie wszystkich bitów dysku twardego do nabrania wartości zero.
Do tego zadania można użyć takich narzędzi jak Live-CD DBAN (www.dban.org) lub w systemie Windows the Eraser (eraser.heidi.ie).
W systemie Linux możemy użyć poleceń (Rysunek 15)
dc3dd wipe=/dev/sdd verb=on corruptoutput=on
lub
dcfldd if=/dev/zero of=/dev/sdb bs=8k conv=noerror,sync
Rysunek 15 - Sterylizacja dysku docelowego
Polecenie to wykonuje zapis wszystkich bitów dysku twardego, więc będzie to trwało tym dłużej, im większy jest dysk twardy. W naszym przykładzie urządzenie o pojemności zaledwie 123mb potrzebowało 18 sekund na zapis, jednak dysk twardy o pojemności 1 TB, może zająć ponad 8 godzin. Należy również pamiętać, że w zależności od technologii dysku twardego, czas ten może być wyższy lub niższy, w zależności od jego prędkości zapisu.
W systemie Microsoft Windows, sterylizacja dysku docelowego, może być wykonana poprzez polecenie diskpart.
Przeprowadzenie identyfikacji dysku docelowego przez:
LIST DISK (identyfikacja urządzenia)
LIST VOLUME (identyfikacja głośności)
SELECT DISK 1 (wybierz dysk, który ma być sterylizowany)
Przeprowadzenie sterylizacji (Rysunek 16)
CZYSTE WSZYSTKO
Rysunek 16 - Sterylizacja dysku docelowego w systemie Windows
3.1.3. Weryfikacja sterylizacji
Na koniec należy sprawdzić, czy zapis na dysku twardym był skuteczny, w tym celu wykonujemy polecenie:
cat /dev/sdb |od
Jeśli zapis zakończył się sukcesem, wyjściem polecenia będzie 0000000, co oznacza, że na dysku twardym zapisano same zera (Rysunek 17).
Rysunek 17 - weryfikacja sterylizacji
Polecenie "cat" wyświetli zawartość urządzenia, natomiast argument "|od" przekonwertuje tę zawartość na bazę ósemkową, dzięki czemu wyświetlone zostaną tylko zera, gdy sterylizacja zakończyła się sukcesem.
Oprócz przedstawionych procedur istnieją inne metody i różne polecenia, które można wykorzystać, takie jak wyświetlanie w formacie szesnastkowym lub inne.
3.1.4. Formatowanie
Po sterylizacji konieczne jest sformatowanie dysku, umożliwiające odbieranie danych.
Formatowanie to można jeszcze wykonać za pomocą programu Diskpart, w następujący sposób:
Tworzenie partycji podstawowej (Rysunek 18)
Rysunek 18 - Tworzenie partycji głównej
Formatowanie NTFS (.Rysunek 19)
Rysunek 19 - Formatowanie
Ze środowiska graficznego można korzystać z aplikacji Zarządzanie dyskami poprzez polecenie DISKMGMT.MSC (Rysunek 20).
Rysunek 20 - Zarządzanie dyskami
Kliknij prawym przyciskiem myszy na wybrany dysk i wybierz "Formatuj", następnie wskaż nazwę i żądany system plików. Można wybrać szybkie formatowanie, ponieważ dysk został wcześniej wysterylizowany (Rysunek 21).
Rysunek 21 - Formatowanie przy użyciu Zarządzania dyskami