Snelste manier van acquiren op locatie

[libris]

Wat is de snelste manier van acquiren op locatie? en natuurlijk de makkelijkste..

Mij lijkt hardware-matig acquiren het snelst, maar welk apparaat is dan het snelst?

Eigenlijk wel intressant om te weten... want soms heb je gewoon niet de tijd om bv een dikke server te acquiren met vele gigs en je wilt je apparatuur ook het liefst niet alleen laten... of je kan het niet alleen laten omdat je het onopvallend wilt doen..

Heeft iemand iets nuttigs te vertellen over dit onderwerp ? ik vind hem wel intressant... is het mogelijk om eigen apparatuur te maken om zo snel mogelijk te acquiren? en waar zou je dan beginnen.. het liefst hardware matig zodat je zonder software zit te kloten (tenminste zo min mogelijk)...

[themaster]

ik weet dat je met zon 1-op-1 copy kit je binnen het uur een paar GB hebt ge kopiet.
Maar het probleem is vaak de doorvoer snelheid en die is niet te veranderen.
2 sata disks zullen sneller klaar zijn dan 2 IDE disks natuurlijk.
Dus denk dat SAS naar SAS het snelste gaat kwa interface dus zul je die snelheid moeten pakken en daar een apparaat bij vinden.
hardware gaat altijd sneller dan software imho

[libris]

Logicube bedoel je ? Wij hebben er 1 op school, zo'n logicube.

[themaster]

logicube idd of welke versie je hebt denk niet dat het als je in de forensic proof reeksen pakt het veel uitmaakt.

[jlutz]

Het is wel een dure oplossing maar wij doen het met de Trecorder. Die doet drie schijven tegelijkertijd en dat scheelt.

[jeroen(digital)]

wij gebruiken hardcopy II op school die doet 5,5 GB per minuut, dus dat gaat lekker snel. als je hem aansluit op de computer maakt hij er ook een mooi document van. met alle stappen die het apparaat ondernomen heeft.
maar die Trecorder als die 3 tegelijk doet neem het kopieer snelheid wel behoorlijk af ofnie? of kopieert hij net zo snel 3 als 1?

[libris]

TIM is software pakket wat gratis bij de tableau geleverd word, wel kan het natuurlijk alleen met een tableau werken. Maar het is wel heel snel vergelijken met encase of ftk imager ofzo. ook heeft het een makkelijke opties om gewoon meerdere tableau's aan te sluiten en dan gewoon alle images in een wachtrij te zetten, dan gaat hij ze om de beurt imagen

[Roeldm]

Als de computer of server af mag -> schijven er uit en via onzein flightcase ingebouwde computer met daarop ofwel CAINE of UBUNTU en Guymager de kopie

Draaiende server in bedrijfsomgevingen die absoluut niet afkunnen: USB convertor er in en via FTK imager een kopie maken. (Heel leuk is het als de serverhardware de USB convertor niet ziet -> convertor aan een pc in hetzelfde domein hangen, drive mappen op server en zo over het netwerk kopiëren. Pokke traag maar het werkt )

[themaster]

Hmmz roel hoe wil je ooit kunnen bewijzen dat die data die via een drive map gemaakt is niet verandert is dat is niet te doen dus niet op een forensische manier gedaan helaas

[Roeldm]

Grmbll, had een heel antwoord getyped en dan knalt de browser dicht, nog een poging
---------------------------------------------------------------------------------------

De meeste van jullie doen onderzoek in privé opdracht denk ik? Waar ik van spreek is situatie die wij als politiedienst meemaakten bij een HZ bij een middelgroot bedrijf. Heel belangrijk is ook altijd de finaliteit van je opdracht. Ik schets de hele situatie:


Onze opdracht was bijstand bij een HZ in een bedrijf, 2 gebouwen, kantoren en een voedselproductieruimte, specifiek naar het nemen van forensische DD's van een op voorhand onbekend aantal desktops en laptops. En het bekomen van de inhoud van verschillende mailboxen en het boekhoudprogramma.


Na aankomst om 08.00 u., een eerste rondgang en overleg met de onderzoekers blijkt het te gaan over 15 desktops en laptops en over 2 servers. Met een forensisch ICT team van 6 man is het dan organiseren.

- 4 personen -> kopiëren van de desktops en laptops (hadden 4 koffers mee)
- 1 persoon -> servers
- 1 persoon -> steun HZ, datadrager gerelateerd.

Je zit ook met een tijdsdruk. Tijdens jouw werk vinden er andere HZ en verhoren plaats,ligt een deel van het werk stil, ...... Kopiëren van de desktop en laptops is geen probleem. Het grote probleem zat dus bij de servers.


Op de beide servers draaiden programma’s en processen die het productieproces aanstuurden. We kregen van de OR en PK geen toestemming om het productieproces stil te leggen aangezien dit te grote kosten zou meebrengen in verhouding met de feiten.


De servers hadden elk een RAID set van 4 disks. Op 1 server liep Exchange als mailserver en op de andere een boekhoud / CRM / ERP programma.


Beheer van de servers zat bij een extern bedrijf die we enkel aan te telefoon te pakken kregen. Er was geen exchange of echte serverspecialist beschikbaar. De enige persoon die we te pakken konden krijgen had een “ZEER” basis beheerskennis. Exporteren van mailboxen (exmerge) etc zat er dus niet in. Het enige dat hij kon was tijdelijk de toegangen voor de gebruikers tot de mailserver en de server van het boekhoudprogramma blokkeren.

Dan heb je verschillende “opties”. Je kan zeggen, ah dan komen we later wel eens terug als er een admin is om alles te exporteren maar vanuit politioneel standpunt begrijp je zelf wel dat dit geen optie is . Je gaat de andere partij de kans niet geven om gegevens te wissen.

Omdat we het systeem niet mochten stoppen is er toen beslist om een Live DD te nemen van het logische volume dat opgebouwd was op de RAID disks. Dus naar hashwaarden etc -> heb je niets want buiten de boekhoudsoftware en exchange (finaliteit) worden er constant bestanden aangepast door andere processen en programma’s.

Volgend probleem: onze USB bridge werd maar op 1 van de 2 servers herkend. Eerst hebben we daarvan, de server met Exchange, een kopie gemaakt met FTK imager.

Ondertussen even overleg met als resultaat de hiervoor beschreven oplossing voor het kopieëren van de server met de boekhouding op. (niet de perfecte, wel een werkende):

1) Inloggen op een lokale machine, via de USB bridge een schijf aansluiten en delen
2) Inloggen op de server, de gedeelde map op de desktop mappen
3) Met FTK imager een live kopie maken met als bestemming de gemapte drive. (pokke traag )

Je kan dit wat vergelijken met het maken van een DD over netcat. Dit is ook niet gecrypteerd (tenzij je cryptcat gebruikt ) We hebben trouwens ook de tapebackups van de servers in beslag genomen.


Ik denk dat de hele actie om 23.00 u. gedaan was. Was het de perfecte manier, nee. Was het met de middelen en toestemmingen (niet stilleggen productieomgeving) die we hadden een werkbare manier, ja.


Latere exploitatie:
- Exchange: EDB files -> FTK -> exporteren van mails.
- Boekhouding: installeren van programma op een lokale machine, koppeling met de databank van de
DD en exploitatie.

Uiteindelijk is het aan de rechter om nadien te beslissen over de rechtsgeldigheid van de verkregen gegevens.