Forensisk diskkontroller
En kriminalteknisk diskkontroller eller hårdvaruskrivblocksenhet är en specialiserad typ av datorhårddiskkontroller gjord i syfte att få skrivskyddad åtkomst till datorns hårddiskar utan risk för att skada enhetens innehåll. Enheten kallas forensic eftersom dess vanligaste applikation är för användning i utredningar där en dators hårddisk kan innehålla bevis. En sådan kontroller har historiskt gjorts i form av en dongel som passar mellan en dator och en IDE- eller SCSI -hårddisk, men med intåget av USB och SATA har kriminaltekniska diskkontroller som stöder dessa nyare teknologier blivit utbredda. Steve Bress och Mark Menz uppfann hårddiskskrivblockering (US Patent 6 813 682).
En enhet som installeras mellan ett lagringsmedium som undersöks och en utredares dator kallas ett " bryggpaket ". Bryggsatsen har en kontakt för lagringsmediet och en annan kontakt för utredarens dator. Det tillåter utredaren att läsa, men inte ändra enheten som undersöks.
United States National Institute of Justice driver ett CFTT-program (Computer Forensics Tool Testing) som formellt identifierar följande verktygskrav på högsta nivå:
En hårdvaruskrivblocksenhet (HWB) ska inte överföra ett kommando till en skyddad lagringsenhet som modifierar data på lagringsenheten.
En HWB-enhet ska returnera de data som begärs av en läsoperation.
En HWB-enhet ska utan ändringar returnera all åtkomstviktig information som begärs från frekvensomriktaren.
Alla feltillstånd som rapporteras av lagringsenheten till HWB-enheten ska rapporteras till värden.
Beskrivning
Kriminaltekniska diskkontroller fångar upp skrivkommandon från värdoperativsystemet och hindrar dem från att nå enheten. Närhelst värdbussarkitekturen stöder det rapporterar styrenheten att enheten är skrivskyddad. Diskkontrollern kan antingen neka alla skrivningar till disken och rapportera dem som fel, eller använda inbyggt minne för att cachelagra skrivningarna under sessionens varaktighet.
En diskkontroller som cachar skrivningar i minnet visar operativsystemet att enheten är skrivbar och använder minnet för att säkerställa att operativsystemet ser ändringar i de enskilda skivsektorerna som det försökte skriva över. Den gör detta genom att hämta sektorer från disken om operativsystemet inte har försökt ändra dem, och hämta den ändrade versionen från minnet för sektorer som har ändrats.
Används
Kriminaltekniska diskkontroller är oftast förknippade med processen att skapa en diskavbildning , eller förvärv, under rättsmedicinsk analys . Deras användning är att förhindra oavsiktlig modifiering av bevis.
Att använda hårdvara för att skydda hårddisken från skrivningar är mycket viktigt av flera anledningar. För det första kan många operativsystem, inklusive Windows , skriva till vilken hårddisk som helst som är ansluten till systemet. Åtminstone kommer Windows att uppdatera åtkomsttiden för alla tillgängliga filer och kan skriva saker till disken oväntat - som att skapa dolda mappar för papperskorgen eller sparad hårdvarukonfiguration. Virusinfektioner eller skadlig programvara på systemet som används för analys kan försöka infektera disken som inspekteras. Dessutom NTFS- filsystemet försöka utföra eller återställa oavslutade transaktioner och/eller ändra flaggor på volymen för att markera den som "används". I värsta fall kan oönskade filer allokera och skriva över raderat utrymme på hårddisken, vilket potentiellt kan förstöra bevis i form av tidigare raderade filer.
Att skydda en bevisenhet från skrivningar under utredningen är också viktigt för att motverka potentiella anklagelser om att innehållet i enheten har ändrats under utredningen. Naturligtvis kan detta påstås hur som helst, men i avsaknad av teknik för att skydda en enhet från skrivningar, finns det inget sätt för ett sådant påstående att vederläggas.