數位鑑識之磁碟複製篇

數位鑑識在近一、兩年來，在國內有越來越熱門的趨勢，今年因應個資法上路，未來可以想像到的就是發生資訊安全事件，例如：機敏資料外洩時，必須透過一套可以被信任且標準的處理流程，首先介紹在事件調查過程中，經常會使用的磁碟複製設備(Talon)，這個設備主要用來將需要採證的目標主機上的磁碟進行複製，這個是最重要的處理流程之一，除了必須確保資料可以完全且完整的複製之外，還需要符合法證上需要的不可否認性的要求，這個也就是這類型的設備價位偏高的原因之一，因為在設備本身硬體的設計上，就需要避免原始的證物遭到污染的可能性，以往進行磁碟複製時，往往會使用DD之類的工具，不過因為這樣的複製方式，必須先將磁碟與運作中的系統連結，除了可能會讓原本想要複製的磁碟遭到資料上的異動外，也可能無法做為未來法庭上的證據，再來就是複製磁碟的時間太久，因為目前的磁碟容量越來越大，超過1TB的磁碟已是相當常見的，採用軟體的方式來處理，最令人無法接受的，就是需要相當久的時間，才能夠完成磁碟的複製，這些都不是可以被接受的。

可攜式的硬碟複製設備，經常就需要帶著前往出事的地點，直接在現場進行受害主機的硬碟複製，因此需要相當快的處理速度，以目前使用的設備而言，每分鐘目前可以達到資料擷取6 Giga Bytes以上的處理速度，可以大量的節省現場取證時製作映像檔的時間，將想要進行採證的硬碟接上設備後，首先必須先確定是否可以被識別。

一般來現場之前，都會先準備好夠大的硬碟準備進行資料的複製，如果還沒完成這個程序，就需要先將目標硬碟進行抹寫(Wipe)的處理程序，以避免原本的目標硬碟上，有殘存之前的證物。

進行抹寫(Wipe)之前，需要先輸入工作日誌的檔案名稱，一般我們會以當天的日期，再加上序號或工作編號之類的方式，以方便日後可以快速的依據事發的時間，進行資料的查詢。

雖然已經是專用的設備了，進行目標資料的抹寫，還是需要許多的時間，所以這個程序最好在出發前就先做好，或是平時先準備好幾顆已完成處理的硬碟備用，可以縮短在事發地點作業的時間。

接著介紹一下這個設備的外觀與相關的界面，從正面來看主要是設備上的鍵盤，可以提供我們輸入一些簡單的資料，左方有三個簡單的按鍵，以確定執行或是進行功能的設定，而右方是目前設備狀態的置號，而中央的液晶螢幕，則是主要的觸控式操作界面，功能選單的操作，都是直接在螢幕上以觸控的方式操作。

設備本身在界面上的設計，就必須思考到各種可能性，以及目前電腦常見的連接界面，包括Serial、1394、USB等，當然還需要有電源的連接埠。

另外也支援一些常見的儲存媒體的型式，各種不同的記憶卡，在設備的下方也可以找到相對應的插槽。

對於硬碟的複製設備而言，硬碟界面的支援當然是最重要的，分別以S1與S2代表不同的資料來源，在界面上也同時能夠支援目前常見的硬碟界面與電源接頭。

把設備打開，就可以看到目標硬碟的界面，分別以D1與D2來識別，在這必須選擇與來源硬碟容量相同或是容量更大的硬碟，當做複製後的硬碟。

採證是進行事件調查相當重要的一個步驟，必須能夠確保複製後的資料與原本的一模一樣，也必須避免因為作業上的錯誤，造成原始硬碟資料的損壞，這些都是在採證中需要特別留意的。