При работе на выезде определяющим фактором зачастую является время, затраченное на поиск и анализ улик. В то же время важно обеспечить чистоту собранных в процессе анализа данных с правовой точки зрения. При создании образов дисков необходимо обеспечить как неизменность изначальных данных и доказательное соответствие снятого образа оригиналу, так и неизменность самого образа в процессе его хранения и обработки. Новые функции Elcomsoft System Recovery облегчат достижение этих целей.

Сохранение криминалистической чистоты собранных улик начинается с первого звена цепочки. Именно по этой причине стандартная методика предписывает отключение компьютера и изъятие жёстких дисков (а также снятие образа оперативной памяти). Elcomsoft System Recovery предлагает альтернативный способ доступа к данным, позволяющий сэкономить время и усилия во время работы на выезде. Программа поможет преодолеть проблему доступа к заблокированной системе загрузкой с внешнего накопителя, обеспечивая возможность исследования компьютеров в полевых условиях и позволяя снять образ дисков компьютера, найти зашифрованные тома и зашифрованные виртуальные машины. Благодаря новому функционалу Elcomsoft System Recovery можно рекомендовать в качестве замены  специализированным аппаратным комплексам для снятия образов дисков с функцией блокировки записи.

Доступ в режиме «только для чтения»

Обеспечение целостности и неизменности данных на исследуемом компьютере — важнейшая часть процесса криминалистического анализа. В ESR 8.0 появился новый режим, позволяющий монтировать накопители исследуемого компьютера в режиме «только для чтения». В этом режиме любые попытки записи на исследуемый компьютер блокируются, гарантируя неизменность исследуемых данных. В этом режиме можно создавать образы дисков (на внешний накопитель), извлекать метаданные шифрования и исследовать файлы и папки. Такие функции, как сброс пароля к учётной записи Windows, в этом режиме недоступны, т.к. для них требуется возможность записи.

Новый режим включается умолчанию. Для его отключения потребуется вручную отключить соответствующую настройку в момент запуска Elcomsoft System Recovery.

Подписанные образы дисков

Для создаваемых образов диска теперь доступны функции создания контрольных сумм с использованием хэш-функций MD5, SHA1 и SHA-256, а также поддержка формата образов дисков .E01, который был разработан специально для нужд судебно-криминалистической экспертизы и поддерживается большинством криминалистических программ. Создание подписанных образов позволит экспертам правильно оформлять извлечённые данные, гарантируя целостность и неизменность снятых образов дисков в ходе следственных действий.

Пара контрольных сумм MD5 и SHA1 создаётся автоматически при снятии образа диска для всех поддерживаемых форматов (RAW/DD/.E01); хэш SHA-256 можно включить дополнительно. Обратите внимание: при создании образа в формате RAW/DD контрольная сумма вычисляется автоматически в процессе создания, в то время как данные в образах .E01 сжимаются; соответственно, для образов в формате .E01 контрольная сумма вычисляется в самом конце и занимает дополнительное время.

С технической точки зрения контрольные суммы с использование хэш-функций MD5, SHA1 и SHA-256 не являются полноценными цифровыми подписями и требуют соответствующего документального оформления.

certutil -hashfile FILENAME md5|sha1|sha256

MD5 hash of disk.e01: 0d8a7ca3d87bf6c202c26dc363983836
CertUtil: -hashfile command completed successfully

Для создания образа дисков с гарантией неизменности данных на исследуемом компьютере проделайте следующую последовательность действий:

1. Скачайте и запустите Elcomsoft System Recovery 8.0 или более новой версии на вашем компьютере (не на том, который будет исследоваться).
2. Подготовьте загрузочный накопитель. Инструкции — в статье Elcomsoft System Recovery: загрузочный накопитель для исследования компьютеров.
3. На исследуемом компьютере измените очерёдность загрузки, разрешив загрузку с USB накопителя.
4. Загрузите исследуемый компьютер с накопителя с установленным Elcomsoft System Recovery.
5. В момент презентации лицензионного соглашения будет доступен выбор режима «только для чтения». Этот пункт отмечен по умолчанию; нажмите Next, чтобы продолжить работу.
6. В режиме «только для чтения» можно снять образы дисков. Рекомендуем сохранять создаваемые диски в специализированном формате .E01, который поддерживает сжатие данных. Проверка целостности данных обеспечивается контрольными суммами.
   

В некоторых случаях Elcomsoft System Recovery не сможет подключить некоторые диски в режиме «только для чтения». Такое возможно при следующих обстоятельствах:

1. Elcomsoft System Recovery загружается с накопителя, доступного только для чтения (например, с CD или DVD диска, USB накопителя или внешнего SSD с блокировкой записи), либо на загрузочном накопителе недостаточно свободного места. Рекомендуем устанавливать Elcomsoft System Recovery на внешний накопитель без защиты от записи и с достаточным объёмом свободного дискового пространства.
2. Накопитель обозначен буквой «X». В режиме «только для чтения» можно смонтировать все накопители, кроме тех, которые обозначены как «диск X:», что является ограничением подсистемы Windows PE.

В этих случаях произойдёт следующее:

1. Если Elcomsoft System Recovery не сможет смонтировать диски в режиме «только для чтения», программа предупредит об ошибке.
2. Под опцией «только для чтения» появится надпись, поясняющая дальнейшие действия. Вы сможете либо прекратить использование Elcomsoft System Recovery, либо продолжить работу в стандартном режиме (доступ к дискам на чтение-запись).

В режиме «только для чтения» недоступен ряд функций Elcomsoft System Recovery, включая функции сброса паролей к учётным записям Windows. При попытке их использования выводится сообщение об ошибке.

Дополнительная информация

Зашифрованные диски BitLocker будут смонтированы в режиме «только для чтения», если этот режим был активирован изначально. Режим «только для чтения» отключается автоматически при штатном выходе из Elcomsoft System Recovery. В нештатных ситуациях (отключение питания, перезагрузка компьютера) диски остаются смонтированными в режиме «только для чтения», что делает невозможной корректную загрузку компьютера. Для восстановления работоспособности компьютера необходимо смонтировать диски в стандартном режиме, для чего нужно снова загрузить компьютер в Elcomsoft System Recovery, после чего программа выдаст сообщение с предложением смонтировать диски в стандартном режиме.

О продукте Elcomsoft System Recovery

Elcomsoft System Recovery — портативный инструмент компьютерной криминалистики для анализа компьютеров на выезде. Продукт создавался в качестве надёжного инструмента для сбора цифровых улик и проведения судебной экспертизы. Загрузочная среда на основе Windows обеспечивает быстрый доступ к цифровым уликам и совместима со всеми файловыми системами Windows и широким спектром аппаратных платформ.

Elcomsoft System Recovery работает поверх лицензированной среды Windows PE, и включает в себя набор инструментов для создания образов дисков и управления пользователями системы. В состав продукта вошёл удобный двухпанельный файловый менеджер, предоставляющий возможность удобной навигации по файловой системе. Elcomsoft System Recovery — идеальный инструмент для быстрого извлечения улик в полевых условиях, с помощью которого можно быстро, безопасно и надёжно исследовать компьютеры, загружая систему с портативного USB-накопителя.

Заключение

Новые функции Elcomsoft System Recovery превращают продукт из набора программ для системного администратора в универсальный инструмент для криминалистов, экспертов по безопасности и сетевых администраторов. Блокировка записи и вычисление контрольных сумм для образов дисков позволяют рекомендовать Elcomsoft System Recovery в качестве замены специализированным аппаратным комплексам для снятия образов дисков с функцией блокировки записи.