אחת מהבעיות העיקריות בביצוע תהליך FORENSIC הוא לאחר ביצוע תהליך שיכפול ה - Harddisk (על פי כל התקנים של שיכפול ביט אחרי ביט), היא לבצע מחקר על מחשב חיי.
כאשר החומרה זהה וניתן לקחת את כל המחשב המשימה דיי קלה, אבל המציאות מושכת אותנו לא מעט פעמים לפיתרונות שדורשים יצירתיות.
לאחרונה נתקלתי בתהליך Forensic שנכנסתי אליו בשלב מתקדם כלומר הלקוח חשד שיש לו אירוע, שיכפל את ה - HD שחשב שהם נגועים והביא לנו לחקירה(הלקוח הוא לקוח בינלאומי)
בבחינה שערכתי אל מול הלקוח לא היה ניתן לקבל את ה - Hardware (הברזלים) של אותו מחשב מכיוון שמרבית המחשבים לא קיימים למכירה, והמחשב "הנגוע" היה בשימוש ולא היה ניתן לקבל אותו, אך עדיין רציתי לעלות את המחשב ולבצע חקירה מעמיקה.
במידה ונעלה את המחשב על חומרה חדשה ניתקל בבעיה חמורה מאוד של דרייברים , ומרבית המקרים אף לא נוכל לעלות אותו עקב בעיה זו.
הפתרון:
עם זה שידוע לי שהפיתרון הנ"ל לא מושלם, הוא עדיין נותן מענה לבעיה באופן דיי טוב לטעמי, אתם בטח שואלים את עצמכם מה הפיתרון ולמה לא נותן מענה מלא, אנסה לפרט זאת למטה.
הפיתרון הוא לאחר ביצוע תהליך שיכפול ה - Harddisk ביט אחרי ביט , יש לבצע גיבוי של ה - Harddisk הנ"ל על ידי תוכנת Acronis True Image ל - HD חדש.
לאחר יצירת ה - IMAGE יש לשפוך את ה - IMAGE ל - HD חדש ולהשתמש בפונקציית ה - Universal Restore, פונקציה זו תיקח מ - Disk on key את כל ה - Drivers (במקרה שלנו זה היה מחשב DELL) הנחוצים על מנת לעלות את המערכת באופן תקין ללא כל בעיה.
והמערכת תעלה לנו מהחשב החדש כאילו הייתה תמיד מותקנת שם :)
בעייה נוספת שנתקלתי היא שרציתי לעלות את מערכת ההפעלה בפרופיל של המשתמש על מנת להבין אם משהו הושתל ייעודית על הפרופיל שלו אך למרבה הצער לא סיפקו לנו את שם המשתמש והסיסמא של המשתמש (בעיה נוספת).
על מנת לפתור את הבעיה הנ"ל העלתי את המחשב עם KONBOOT ונכנסתי לפרופיל של המשתמש.
אין ספק שפיתרון זה לא אידאלי כי במידה והסוס טוריאני מזהה מרכיבים כגון Drivers(שעד כמה שאני מכיר לא ראיתי סוס כזה) או לחילופין מבין שהוא לא בסביבה הטיבעית שלו הוא יכול למחוק את עצמו.
אך עם זאת ביצוע בדיקות נוספות כגון ביצוע בדיקה סטאטית או ביצוע בדיקה על המחשב המקורי יכולים לעזור במידה ועולה חשד נוסף.
מקווה שעזרתי לילה טוב :)