Cyber-Einblick, 20200727
Vier Situationen, in denen der Computer des Verdächtigen während der Computerforensik direkt gelesen werden muss
1. Laptops oder Festplatten, die nicht einfach zu entfernen sind: Wenn die Festplatte nicht mit einem Flachbandkabel verbunden werden kann, muss die Festplatte direkt gelesen werden. Diese Situation kann jedoch immer mehr vermieden werden, und die Festplatte für Laptops kann bereits extern angeschlossen werden .
2. Netzwerkspeichergeräte: Zum Beispiel öffentliche Cloud oder private Cloud. Auf solche großen Speichergeräte muss normalerweise vom Clientcomputer aus zugegriffen und nach dem Booten mit der Netzwerkfestplatte verbunden werden. Zu diesem Zeitpunkt ist es unvermeidlich, den Computer des Verdächtigen für den Betrieb zu verwenden.
3. RAID-Laufwerk: Ein Festplatten-Array, das zusammen mit allen Array-Festplatten im Computerraum am Ort des Falls verwendet werden muss. Wenn es schwierig ist, es einzeln zu verwenden, wird der Computer des Verdächtigen verwendet.
4. Altes Modell: Zum Beispiel ein Computer, der ein Diskettenlaufwerk verwendet. Dadurch wird die Vollständigkeit der Geräte in der forensischen Workstation geprüft. Wenn kein geeignetes Lesegerät vorhanden ist, kann der Computer des Verdächtigen verwendet werden.
Four situations where the suspect’s computer needs to be directly read during computer forensics
1. Laptops or hard drives that are not easily removable: When the hard drive cannot be connected with a ribbon cable, it is necessary to read the hard drive directly, but this situation can be avoided more and more now, and the hard drive for laptops can already be externally connected .
2. Network storage equipment: For example, public cloud or private cloud. Such large storage equipment usually must be accessed from the client computer and connected to the network disk after booting. At this time, it is inevitable to use the suspect's computer to operate.
3. RAID Disk Drive: A disk array that must be used together with all the array hard disks in the computer room at the scene of the case. If it is difficult to use individually, the suspect’s computer will be used.
4. Old model: For example, a computer that uses a floppy disk drive. This tests the completeness of the equipment in the forensic workstation. If there is no suitable reading device, the suspect’s computer may be used.
电脑鉴识时需直接读取犯罪嫌疑人电脑的四种情况
一、 笔记型电脑或不易拆卸之硬碟:无法使用带状电缆连接硬碟时,就需要直接读取硬碟,但是这个情况现在越来越可以避免,笔记型电脑用的硬碟已可以外接。
二、 网路储存设备:例如公有云或私有云,这种大型储存设备通常必须从客户端电脑开机后连接网路磁碟的方式存取,这时就不可避免要使用犯罪嫌疑人电脑操作。
三、 RAID磁碟机:一种磁碟阵列,必须要配合案件现场机房内所有阵列硬碟一起使用,个别使用有困难,此时就会用到犯罪嫌疑人电脑。
四、 旧机型:例如使用软碟机运作的电脑,这考验鉴识工作站里设备的齐全度,如果没有合适的读取设备,就可能要使用犯罪嫌疑人电脑。
