多くのユーザーは、コンピューターで行ったことを追跡することは非常に難しく、時には単に不可能であると単純に信じています。 一部のオフィスユーザーは、フラッシュドライブからおもちゃや「禁止」プログラムを実行したり、リムーバブルメディアから映画を観たり、音楽を聴いたり、管理者が突然何かを疑い、コンピューターをチェックすることに決めた場合、「不要な」ドキュメントを編集して、何も見つけられないと考えています。 壁、パーティション、または距離でボスから身を守ることができますが、Windowsのような敵対的なシステムから隠すことはできません!!! 彼女は常にあなたをスパイします!!! 警戒してください!!!
ビル・ゲイツでさえ、おそらくWindowsのすべてのアクションを知らないでしょう。エンドユーザーは言うまでもありません。 そして、毎秒数十のあいまいな操作を実行し、一時ファイルのヒープを作成し、誰がいつ、何を起動し、どのデバイスを接続したかなどを書き込みます。
ユーザーが残す痕跡とそれらを探す場所を説明するために、複数の投稿が必要になります.......しかし、最初に、ハードドライブの正確なビット単位のコピーを作成する方法を教えたいと思いました(ストレージメディアのコピーを作成できるのと同じ方法で)。 もちろん、ディスク自体を調べることもできますが、多くの場合、これにより多くの問題が発生します。
- コンピューターへのアクセスは数時間しか利用できません(この時間中に完全な調査を実施することは困難です)。
- 調査中に、ハードドライブに変更を加えることができますが、これはユーザーに気付かれることはありません。
- コンピューターが密閉されているか密閉されている場合、ケースを開けることはできません。
Acronis True Image、Norton Ghost、または同様のものを使用してイメージを作成する場合、すべてのデータがハードディスクから保存されるわけではありません(「詳細」モードを使用しない場合)、原則として、削除された(論理的な)ファイルはなく、一時的なファイルもありません。非表示のディスクパーティションはスキップされる場合があります。 ディスクの完全なビット単位のコピーについては、私の意見では、最も簡単な方法は、任意のLinuxディストリビューション-ddで使用可能なユーティリティを使用することです。 (ところで、Windows用もあります)。 プログラムは良好ですが、コピーされたブロック、残りのブロック、およびエラーのあるブロックに関する統計は表示されません。 このdcfldd、dd_rescue、ddrescueの欠如。 コマンドの構文はほぼ同じです。
そこで、Unixシステムを備えたLiveCDをコンピューターにロードし、外部ハードドライブを接続して、正確なビットマップを作成します。
1)hda.imgファイルの現在のディレクトリにセクターごとのイメージを作成します
#dd if = / dev / hda of = <マウントされた外部ドライブのディレクトリ> /hda.img conv = noerror、sync
conv = noerror、syncは、ドライブで不良セクタが検出された場合でも、ddに情報の読み取りを続行するよう指示します。
FAT-32システムにイメージファイルを書き込むとき、このファイルシステムは4Gbファイルのみをサポートし、NTFSはデフォルトで読み取り専用としてマウントされることを忘れないでください。たとえば、書き込み用にマウントする必要があります。
#mount –t ntfs-3g / dev / sdb / mnt / sdb –o force
2)ディスクの別のハードドライブへの正確なコピーを作成する(クローン作成)
#dd if = / dev / hda of = / dev / sdb conv = noerror、sync
3)ネットワーク経由でコンピューターにディスクの正確なコピーを作成する
まれですが、USB 1.0を搭載したコンピューターがまだ存在するため、このインターフェースでの情報のコピーには多くの時間(10時間)がかかるため、ネットワーク経由で画像をコピーする方が便利で高速です。
ネットワークに接続されたコンピューター(ip:192.168.1.100)(イメージのコピー先)で、Netcatプログラムを実行します。このプログラムはUnixベースのシステムとWindowsの両方に存在します(管理者権限が望ましい:
#nc -L –p 5555> ./hda.img
netcatプログラムは、ポート5555で接続が開くのを待ちます。ネットワーク経由で受信したデータは、現在のディレクトリのhda.imgファイルに送られます。
イメージをネットワーク経由でコピーするコンピューターで、次のコマンドを記述します
#dd if = / dev / hda bs = 1M | nc 192.168.1.100 5555
ネットワークを介してコピーする場合、netcatがネットワークを適切に詰まらせることを考慮する必要があります。
画像が取得されたので、安全に情報を調べて作業の痕跡を検索することができます...
研究の継続は続きます....