㈠ 過大文件無法復制
過大文件無法復制(u盤過大文件無法復制)在取證工作中,案件數據通常以案例文件夾的方式存儲,內含成千上萬的小文件。在案件移交時,往往需要花費數小時甚至一整天的時間才能完成,耗時久拖慢辦案進程。
同時在一些對安全保密要求比較嚴格的應用場景中,原始案例文件夾無電腦法進行加密處理和只讀設置,安全性低。
電腦
原始案例數據傳輸效率低
針對以上實踐過程中遇到的痛點問題,美亞柏科憑借多年的技術深耕與積累,攻關實現全新的案例鏡像格式——M01案例鏡像格式。
電腦電腦
M01案例鏡像格式:原案例文件夾包含海量小文件,傳輸速度慢。M01實現在取證過程中對案例文件的實時聚合,形成一個大文件,拷貝速度可提升近10倍,案例文件越多效果越顯著。僅取證大師等取證軟體才可打開此特定格式的案例。支持增加案例訪問密碼(可選),未設置密碼也可以正常使用。
M01案例鏡像格式的率先發布,解決了困擾電子數據取證行業多年的痛點。目前取證大師V6.1.99587版本已經支持該技術,歡迎更新版本進行體驗。除了取證大師,接下來手機大師、雲勘大師、物聯大師、MYReader等取證軟體中也將集成該項核心技術。
作為國內電子數據取證行業龍頭企業,未來,美亞柏科將持續投入技術研發,堅持自主創新,力爭攻關突破更多行業痛點難點,為電子數據取證行業的高質量發展貢電腦獻力量。
電腦
㈡ 電腦系統鏡像軟體
計算機系統鏡像軟體(計算機系統鏡像軟體有哪些)使用場景
HDClone 其專業功能是創建1-1的物理和邏輯克隆和文件鏡像,因此在復制和拯救故障介質方面具有特殊的優勢。HDClone 無需考慮分區機制、文件系統或操作系統,磁碟可以復制或保存在鏡像中。因此,HDClone 可准確復制整個系統的安裝環境,甚至專有文件系統。同時,基於萬能復制技術,HDClone 還提供多種其他應用功能。以下內容介紹 HDClone 主要應用場景。
註:HDClone 數據可以在可識別的介質中任意復制,甚至可以在不同類型的磁碟之間復制。
磁碟
升級和操作系統遷移
HDClone 支持所有文件系統格式和操作系統,將整個系統安裝環境(包括已安裝的操作系統)遷移到另一個磁碟。該功能特別適用於將現有的安裝環境遷移到一個新的磁碟中,因此無需重新安裝操作系統和應用程序。對於此類應用程序需求,最合適的功能選項是對整個硬碟進行處理 SmartCopy (或 FullCopy)。使用 PartitionSelect 克隆由特定分區製成。
註:請確保在復制和啟動操作系統之前只連接一個硬碟。硬碟應插入原硬碟所在的插槽位置。因此,有兩種選擇:移除復制板,或將其安裝到原始板的位置。
未使用的磁碟空間
可以利用fdisk工具或 Windows 計算機管理工具(C:\WINDOWS\system32\compmgmt.msc),將目標盤中的閑置磁碟空間轉換為分區 Windows 用作額外的驅動器。
較小的目標板
可以從較大的源盤復制到較小的目標板。在復制過程中,HDClone 可自動縮減 NTFS 和 FAT 分區大小。對於其他文件系統,用戶可以使用適當的第三方工具適的第三方工具來減少源盤中分區的大小。
數據拯救
對於有故障區域的硬碟,在執行任何恢復操作之前,將其數據保存到完整的介質中尤為重要。否則,在恢復過程中,由於內部暴露,可能會對介質造成進一步的損害。當然,使用 HDClone 硬碟導致硬碟暴露。然而,物理復制的線性操作(即磁頭的線性移動)比任何其他應用程序都少得多。另外,選項SafeRescue將暴露程度始終保持在最低限度。在非常嚴重的情況下,也可以選擇單個分區,以減少對介質的暴露。從故障硬碟中拯救數據後,數據恢復操作可以在不進一步損壞的情況下進行。
重要:數據拯救時,首先為整個硬碟創建一個 FullCopy 或 BitCopy(或 FullImage 或 BitImage)。這個克隆可以用來恢復數據,不用擔心對原始數據造成任何風險。
警告:即使故障區域有邏輯錯誤,也只有物理復制才能拯救所有數據(除非不可恢復的區域)。所以,絕對不要用 SmartCopy 模救數據的模式。
提示:另外,可以創建一個BitImage,或者物理鏡像。然後,將鏡像恢復到一個好的磁碟中,或者將鏡像掛載一個虛擬磁碟,直接根據鏡像恢復數據。
備份安裝程序
HDClone本地備份也可以為整個系統的安裝環境創建。如有必要,只要從備份分區進行簡單的恢復操作,系統安裝環境就可以恢復到原來的狀態——以前不會有任何程序或病毒。除系統分區外,再創建一個空閑分區,其大小至少與備份分區相同。然後創建文件鏡像,以恢復原始系統。
提示:在恢復備份分區之前,保存系統分區中的文件和其他數據,或將其保存到其他地方,以免隨後被覆蓋。
批量復制
HDClone 企業版的主要特點是可以同時創建多達16份副本。該功能特別適用於工業復制預安裝軟體(如硬碟或CF卡),或創建多個相同的操作系統安裝(Master Installations)。
註:復制Windows在安裝過程中,我們建議在克隆前運行Microsoft工具sysprep。
專有格式
HDClone 任何硬碟格式都可以復制。特別是對於安裝在專有系統中的硬碟,除系統軟體外,通常沒有其他程序可以讀取這些介質中的數據。HDClone它可以很容易地拯救這些數據,並將其轉移到新盤中。此時,最好的方法是將源盤復制到相同大小或更大的目標盤中。不能使用低於源盤的目標盤,否則不能保證所有相關用戶數據的遷移。
註:整個源盤應始終復制未知或專有格式(非標准格式)。只有確定分區顯示正常時,才能復制個別分區。
取證檢查
HDClone當需要從磁碟中復制所有數據(包括可能隱藏或刪除的數據)時,也適用於證據收集。常規文件系統機制無法讀取這些數據。因此,建議在仔細取證檢查受保護磁碟之前,BitCopy在模式中,或以原始鏡像模式創建副本。這樣,副本可以在不改變或危及介質原始內容的情況下進行分析。
註:當取證檢查備份數據時,可以在介質的任何位置檢測到隱藏和刪除的文件。此時,通常需要創建整個介質的副本,並將其復制到相同或更大的目標盤中。絕對不能在當前的應用場景中使用SmartCopy模式。
鏡像文件
HDClone物理和邏輯鏡像的使用與物理和邏輯備份的基本邏輯相同,直接從一個存儲介質到另一個存儲介質。文件鏡像具有以下功能特點:
可選的壓縮選項可以簡單地存儲和管理文件系統,以便復制到最小所需的訪問保護空間AES任何存儲介質都可以復制到
網路或Internet當擬磁碟不需要物理介質,虛擬機可以訪問某些具體文件HotCopy & LiveImage
HDClone 支持在 Windows 運行時,對 Windows 甚至是驅動器 Windows 創建克隆或鏡像的系統分區本身。使用此功能時,無需執行任何其他操作。使用此功能時,無需執行任何其他操作。 HDClone/W 會自動激活 HotCopy&LiveImage 適當的機制。
鴻萌是 HDClone 該軟體的授權代理廣大用戶提供可靠權威的官方正版軟體,保障用戶權益。歡迎垂詢。
㈢ 【遠程取證篇】遇到站庫分離時,該如何快速取證
遇到站庫分離的情況時,取證工作需要格外謹慎。美亞柏科技術專家在近期的一起案件中,遇到網站鏡像無法訪問,因為資料庫部署在另一台伺服器。他們通過分析發現,這是站庫分離的典型部署模式,關鍵在於及時識別並定位資料庫伺服器。
站庫分離是指網站程序和資料庫分別部署在不同伺服器上,以提升性能和安全性。取證過程中,首先在網站伺服器上查找Nginx服務和配置文件,然後分析配置信息確定資料庫連接。美亞柏科的雲勘大師支持自動搜索配置文件,快速識別資料庫位置和連接信息。
取證資料庫時,可選擇直接導出RDS數據或導出為SQL腳本。例如,通過mysqlmp命令行或資料庫連接工具如Navicat,根據獲取的資料庫配置信息進行操作。值得注意的是,站庫分離取證與傳統取證類似,關鍵在於找到網站源碼中的資料庫配置,然後對資料庫伺服器進行數據固定。
作為專業的遠程取證工具,雲勘大師在站庫分離取證中扮演重要角色,它能快速固定遠程伺服器文件,提取系統、網站和資料庫信息,顯著提升取證效率,是網路空間安全和社會治理領域的得力助手。