㈠ 过大文件无法复制
过大文件无法复制(u盘过大文件无法复制)在取证工作中,案件数据通常以案例文件夹的方式存储,内含成千上万的小文件。在案件移交时,往往需要花费数小时甚至一整天的时间才能完成,耗时久拖慢办案进程。
同时在一些对安全保密要求比较严格的应用场景中,原始案例文件夹无电脑法进行加密处理和只读设置,安全性低。
电脑
原始案例数据传输效率低
针对以上实践过程中遇到的痛点问题,美亚柏科凭借多年的技术深耕与积累,攻关实现全新的案例镜像格式——M01案例镜像格式。
电脑电脑
M01案例镜像格式:原案例文件夹包含海量小文件,传输速度慢。M01实现在取证过程中对案例文件的实时聚合,形成一个大文件,拷贝速度可提升近10倍,案例文件越多效果越显著。仅取证大师等取证软件才可打开此特定格式的案例。支持增加案例访问密码(可选),未设置密码也可以正常使用。
M01案例镜像格式的率先发布,解决了困扰电子数据取证行业多年的痛点。目前取证大师V6.1.99587版本已经支持该技术,欢迎更新版本进行体验。除了取证大师,接下来手机大师、云勘大师、物联大师、MYReader等取证软件中也将集成该项核心技术。
作为国内电子数据取证行业龙头企业,未来,美亚柏科将持续投入技术研发,坚持自主创新,力争攻关突破更多行业痛点难点,为电子数据取证行业的高质量发展贡电脑献力量。
电脑
㈡ 电脑系统镜像软件
计算机系统镜像软件(计算机系统镜像软件有哪些)使用场景HDClone 其专业功能是创建1-1的物理和逻辑克隆和文件镜像,因此在复制和拯救故障介质方面具有特殊的优势。HDClone 无需考虑分区机制、文件系统或操作系统,磁盘可以复制或保存在镜像中。因此,HDClone 可准确复制整个系统的安装环境,甚至专有文件系统。同时,基于万能复制技术,HDClone 还提供多种其他应用功能。以下内容介绍 HDClone 主要应用场景。
注:HDClone 数据可以在可识别的介质中任意复制,甚至可以在不同类型的磁盘之间复制。
磁盘升级和操作系统迁移HDClone 支持所有文件系统格式和操作系统,将整个系统安装环境(包括已安装的操作系统)迁移到另一个磁盘。该功能特别适用于将现有的安装环境迁移到一个新的磁盘中,因此无需重新安装操作系统和应用程序。对于此类应用程序需求,最合适的功能选项是对整个硬盘进行处理 SmartCopy (或 FullCopy)。使用 PartitionSelect 克隆由特定分区制成。
注:请确保在复制和启动操作系统之前只连接一个硬盘。硬盘应插入原硬盘所在的插槽位置。因此,有两种选择:移除复制板,或将其安装到原始板的位置。
未使用的磁盘空间可以利用fdisk工具或 Windows 计算机管理工具(C:\WINDOWS\system32\compmgmt.msc),将目标盘中的闲置磁盘空间转换为分区 Windows 用作额外的驱动器。
较小的目标板可以从较大的源盘复制到较小的目标板。在复制过程中,HDClone 可自动缩减 NTFS 和 FAT 分区大小。对于其他文件系统,用户可以使用适当的第三方工具适的第三方工具来减少源盘中分区的大小。
数据拯救对于有故障区域的硬盘,在执行任何恢复操作之前,将其数据保存到完整的介质中尤为重要。否则,在恢复过程中,由于内部暴露,可能会对介质造成进一步的损害。当然,使用 HDClone 硬盘导致硬盘暴露。然而,物理复制的线性操作(即磁头的线性移动)比任何其他应用程序都少得多。另外,选项SafeRescue将暴露程度始终保持在最低限度。在非常严重的情况下,也可以选择单个分区,以减少对介质的暴露。从故障硬盘中拯救数据后,数据恢复操作可以在不进一步损坏的情况下进行。
重要:数据拯救时,首先为整个硬盘创建一个 FullCopy 或 BitCopy(或 FullImage 或 BitImage)。这个克隆可以用来恢复数据,不用担心对原始数据造成任何风险。
警告:即使故障区域有逻辑错误,也只有物理复制才能拯救所有数据(除非不可恢复的区域)。所以,绝对不要用 SmartCopy 模救数据的模式。
提示:另外,可以创建一个BitImage,或者物理镜像。然后,将镜像恢复到一个好的磁盘中,或者将镜像挂载一个虚拟磁盘,直接根据镜像恢复数据。
备份安装程序HDClone本地备份也可以为整个系统的安装环境创建。如有必要,只要从备份分区进行简单的恢复操作,系统安装环境就可以恢复到原来的状态——以前不会有任何程序或病毒。除系统分区外,再创建一个空闲分区,其大小至少与备份分区相同。然后创建文件镜像,以恢复原始系统。
提示:在恢复备份分区之前,保存系统分区中的文件和其他数据,或将其保存到其他地方,以免随后被覆盖。
批量复制HDClone 企业版的主要特点是可以同时创建多达16份副本。该功能特别适用于工业复制预安装软件(如硬盘或CF卡),或创建多个相同的操作系统安装(Master Installations)。
注:复制Windows在安装过程中,我们建议在克隆前运行Microsoft工具sysprep。
专有格式HDClone 任何硬盘格式都可以复制。特别是对于安装在专有系统中的硬盘,除系统软件外,通常没有其他程序可以读取这些介质中的数据。HDClone它可以很容易地拯救这些数据,并将其转移到新盘中。此时,最好的方法是将源盘复制到相同大小或更大的目标盘中。不能使用低于源盘的目标盘,否则不能保证所有相关用户数据的迁移。
注:整个源盘应始终复制未知或专有格式(非标准格式)。只有确定分区显示正常时,才能复制个别分区。
取证检查HDClone当需要从磁盘中复制所有数据(包括可能隐藏或删除的数据)时,也适用于证据收集。常规文件系统机制无法读取这些数据。因此,建议在仔细取证检查受保护磁盘之前,BitCopy在模式中,或以原始镜像模式创建副本。这样,副本可以在不改变或危及介质原始内容的情况下进行分析。
注:当取证检查备份数据时,可以在介质的任何位置检测到隐藏和删除的文件。此时,通常需要创建整个介质的副本,并将其复制到相同或更大的目标盘中。绝对不能在当前的应用场景中使用SmartCopy模式。
镜像文件HDClone物理和逻辑镜像的使用与物理和逻辑备份的基本逻辑相同,直接从一个存储介质到另一个存储介质。文件镜像具有以下功能特点:
可选的压缩选项可以简单地存储和管理文件系统,以便复制到最小所需的访问保护空间AES任何存储介质都可以复制到网络或Internet当拟磁盘不需要物理介质,虚拟机可以访问某些具体文件HotCopy & LiveImageHDClone 支持在 Windows 运行时,对 Windows 甚至是驱动器 Windows 创建克隆或镜像的系统分区本身。使用此功能时,无需执行任何其他操作。使用此功能时,无需执行任何其他操作。 HDClone/W 会自动激活 HotCopy&LiveImage 适当的机制。
鸿萌是 HDClone 该软件的授权代理广大用户提供可靠权威的官方正版软件,保障用户权益。欢迎垂询。
㈢ 【远程取证篇】遇到站库分离时,该如何快速取证
遇到站库分离的情况时,取证工作需要格外谨慎。美亚柏科技术专家在近期的一起案件中,遇到网站镜像无法访问,因为数据库部署在另一台服务器。他们通过分析发现,这是站库分离的典型部署模式,关键在于及时识别并定位数据库服务器。
站库分离是指网站程序和数据库分别部署在不同服务器上,以提升性能和安全性。取证过程中,首先在网站服务器上查找Nginx服务和配置文件,然后分析配置信息确定数据库连接。美亚柏科的云勘大师支持自动搜索配置文件,快速识别数据库位置和连接信息。
取证数据库时,可选择直接导出RDS数据或导出为SQL脚本。例如,通过mysqlmp命令行或数据库连接工具如Navicat,根据获取的数据库配置信息进行操作。值得注意的是,站库分离取证与传统取证类似,关键在于找到网站源码中的数据库配置,然后对数据库服务器进行数据固定。
作为专业的远程取证工具,云勘大师在站库分离取证中扮演重要角色,它能快速固定远程服务器文件,提取系统、网站和数据库信息,显著提升取证效率,是网络空间安全和社会治理领域的得力助手。