精通
英语
和
开源
,
擅长
开发
与
培训
,
胸怀四海
第一信赖
精通
英语
和
开源
,
擅长
开发
与
培训
,
胸怀四海
第一信赖
正如我们所知道的,获取证据之前首先要创建EnCase启动盘。而EnCase启动盘是在Windows系统下无法获取证据时,才在DOS下安全地获取数字介质信息的。
要知道,16位的操作系统DOS是支持不需要专用硬件设备的可行证据获取。在DOS环境下,软件写保护是存在的。不管是预览还是获取,在DOS中计算机取证的调查员都需要一个EnCase启动盘。
为共享desktop.ini文件和回收站,Windows会在它所检测到的任何本地磁盘驱动器上写入数据。因此,最后一次访问数据的时间和日期将会被改变,从而破坏了目标驱动器证据的完整性。想要证据获取在Windows下,就必须采用专用的硬件设备。
EnCase启动软盘可以同时启动存储计算机和目标计算机到DOS的安全版本。这个特别修改的启动软盘在整个取证过程中都会被用到。(注意:实际上有两种形式的EnCase启动盘,第二种形式的启动盘是EnCase网络启动盘。这一启动盘可能是大多数取证调查者更好的解决方案。)
运行Windows版EnCase并选择TOOLS...Create boot disk
将一张系统磁盘转换成EnCase启动软盘
1. 首先确定计算机启动时是不是启动到C盘
在开机的时候先拔除硬盘驱动器,然后开机运行BIOS设置程序以确定计算机是否设置成了A盘启动或从软驱。不要忘了访问BIOS设置程序,在打开电源的时候要不断按特定的热键<F1>或<DELETE>。注意如果是康柏计算机要使用<F10>。可以检查一下计算机的使用文档。在开机的一瞬间,通常会闪过一个消息告诉你通过哪个按键可以进入BIOS设置。一旦进入了BIOS,找到“Boot order”这一部分。
2. 创建EnCase启动盘的时是否要快速擦除预先格式化了的磁盘
可以擦除,快速擦除一张预先格式化了的磁盘花不了多少时间但却有完全格式化一样的效果。
3. EnCase启动盘要不要在开机的时阻止写硬盘
阻止。创建ENCASE启动盘时,IO.SYS和COMMAND.COM中的所有指向C:\的引用都改向了A:\,以便防止启动的时C盘文件被访问。从启动DOS版ENCASE开始,就要防止任何对硬盘的意外访问。
EnCase网络启动盘同时支持自动侦测网卡和允许用户指定加载任意网卡的驱动。如果用户选择手动模式,就必须指定目标计算机使用的网卡。ENBD将会加载合适的DOS驱动程序,来运行DOS下的EnCase。如果选择自动方式,ENBD将自动侦测网卡,加载合适的DOS驱动程序,以服务器模式运行DOS版EnCase。