Побитовое копирование жесткого диска
Привет, друзья. В этой публикации поговорим об операции клонирования жёсткого диска, и поговорим конкретно об одном из двух её типов – посекторном клонировании. Если вы являетесь юным читателем нашего сайта, ну или просто пока ещё не столкнулись с необходимостью переноса данных со старого диска на новый, не переживайте, вы с этим обязательно столкнётесь. Жёсткие диски когда-то выходят из строя. Плюс к этому, сейчас у нас, так сказать, активная фаза эпохи смены жёстких дисков старого типа HDD на современный тип твердотельных накопителей SDD. Так что потенциальный повод получить опыт клонирования диска и разновидностей его методов есть. Ниже рассмотрим, что такое в принципе посекторный тип клонирования жёстких дисков, в каких ситуациях его стоит предпочесть типу быстрого клонирования, и как происходит эта операция с использованием бесплатной программы HDClone.
Выводы
Если в компании случился значимый инцидент информационной безопасности, проводить расследование необходимо. Благо, для этого сейчас существует широкий спектр методов.
Создание криминалистических копий носителей информации — важный этап реагирования на инциденты в сфере информационной безопасности. Именно поэтому важно знать, как именно создаются криминалистические копии носителей информации, а также какие для этого применяются аппаратные и программные средства. В статье мы подробно рассмотрели процесс создания криминалистической копии жесткого диска ноутбука с помощью универсальной утилиты Belkasoft Acquisition Tool и аппаратного блокиратора WiebeTECH Forensic UltraDock V5.
Подписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Главная проблема во время смены жесткого диска – необходимость установки и настройки операционной системы и программ с нуля. Это занимает много времени и сил.
Решение проблемы – автоматическое клонирование диска (HDD, SSD) с использованием специального софта.
AOMEI Backupper
AOMEI Backupper — удобный софт для клонирования, а также создания бэкапов винчестеров и отдельных разделов. Стандартная версия программы доступна бесплатно, однако она, как и Renee Becca, клонирует только несистемные разделы и диски. Функция миграции операционной системы С HDD на SSD и наоборот, с SSD на SSD, а также с HDD на HDD доступна только в коммерческих выпусках. Стоимость самой бюджетной лицензии составляет $49.95.
Чтобы воспользоваться инструментом клонирования:
Посекторное клонирование диска
У нас есть два диска: старый с Windows и небольшим пользовательским разделом, в управлении дисками значится как Диск 0, и новый неразмеченный даже, значится как Диск 1. Старый диск будем клонировать на новый. Новый диск немного больше по размеру, чем старый, поэтому в нашем случае на нём не нужно удалять никаких разделов, чтобы операция посекторного клонирования была возможна.
В интерфейсе HDClone выбираем «Клонировать диск».
На этапе настройки операции просто жмём «Далее». Здесь в бесплатной редакции программы нам мало что доступно, а из доступных опций значимые применение выравнивания разделов и подборка драйвера активны по умолчанию.
На этапе настройки разделов можем при необходимости подкорректировать, как лучше распределить лишнее пространство на новом диске. Либо же можем ничего не трогать и жать «Далее», по умолчанию у нас будет активна опция пропорционального изменения размеров разделов.
Запускаем клонирование.
Прогресс проведения операции сможем наблюдать в окне программы.
В конце HDClone предложит провести автоматическую подстройку загрузочных данных на новом диске. Вот это, друзья, ещё один положительный момент использования программы HDClone в операциях клонирования диска, на котором установлена Windows. Не во всех бесплатных программах есть такая вот интеллектуальная функция, которая адаптирует загрузчик клонированной Windows. Жмём «Автоматически».
И вот всё: HDClone выдаст нам отчёт о проделанной операции, после ознакомления с ним можем его закрыть, как и закрыть саму программу.
Ну и далее можем приступать к тестированию запуска Windows на новом диске.
Многие пользователи наивно полагают, что отследить чем они занимались за компьютером очень сложно, а иногда и просто невозможно. Некоторые офисные пользователи запускают игрушки или «запрещенные» программы с флешек, смотрят со съемных носителей фильмы, слушают музыку редактируют «нежелательные» документы думая, что если руководство вдруг что-то заподозрит и решит проверить компьютер, ничего на нем не найдет. Можно отгородится от начальника стеной, перегородкой или расстоянием, но от такой враждебной системой как Windows не спрятаться. Она постоянно шпионит за тобой. Будь бдителен.
- доступ к компьютеру имеется только на пару часов (провести полное исследование за это время сложновато);
- при исследовании можно внести изменения в жесткий диск, что не останется незамеченным для пользователя;
- компьютер опломбирован или опечатан, вскрыть корпус невозможно.
Так что загружаем компьютер c LiveCD c Unix-овой системой, подключаем внешний жесткий диск и создаем на нем точный побитовый образ.
1) создаем посекторный образ в текущем каталоге в файле hda.img
2) создаем точную копию диска на другой жесткий диск (клонирование)
3) создаем точную копию диска на компьютере по сети
Достаточно редко, но еще встречаются компьютеры с USB 1.0, копирование информации по такому интерфейсу потребует много времени (десятки часов), так что удобнее и быстрее скопировать образ по сети.
На компьютер подключенном к сети (ip:192.168.1.100)(на который будем копировать образ) запускаем программу Netcat, данная программа существует как для Unix-систем так и для Windows (права желательно админские:
Программа netcat будет ожидать открытия соединения на порту 5555. Данные принятые по сети будут попадать в файл hda.img, в текущем каталоге.
На компьютере, чей образ будем копировать по сети пишем команду
При проведении копирования по сети необходимо учитывать, что netcat прилично забивает сеть.
Образ получен, теперь смело можно приступать к изучению информации на нем и поиску следов работы…
В статье рассказывается об основах создания криминалистических копий носителей информации. Приводится пошаговая инструкция: как извлечь жесткий диск из ноутбука и сделать его криминалистическую копию с помощью доступного специализированного программного обеспечения.
Виды криминалистических копий носителей информации
Существуют два основных метода криминалистического копирования носителей информации:
- «Диск в диск» — при этом способе данные жесткого диска-источника переносятся на другой диск.
- «Диск в файл» — в этом случае данные с жесткого диска-источника переносятся в файл, расположенный на другом диске. При этом создается посекторная копия исследуемого жесткого диска. Как правило, этот файл имеет формат DD (RAW) или Encase (E01, ранее данный формат назвался Expert Witness Compression Format). Формат DD — это файл, содержащий копию данных исследуемого жесткого диска и имеющий размер, соответствующий размеру жесткого диска. Однако часто жесткий диск не заполнен файлами даже наполовину. Поэтому при использовании файлов DD нужно иметь резерв жестких дисков для хранения созданных файлов, что ведет к дополнительным финансовым расходам на проводимое расследование. Чаще всего при создании криминалистических копий жестких дисков используется файл формата Encase. При этом скопированные данные из диска-источника подвергаются сжатию (например, размер файла — криминалистической копии жесткого диска бухгалтерского компьютера может быть меньше размера диска-источника в 9 раз). Криминалистические копии в формате Encase позволяют существенно экономить дисковое пространство на компьютере специалиста по расследованию инцидентов или компьютерного эксперта. Кроме всего перечисленного, данные в файле формата Encase защищены от изменения. Это достигается следующим образом: для первого блока данных этого файла размером 64 Кбайт рассчитывается хеш, который используется для шифрования следующего блока размером 64 Кбайт. После этого для последнего блока данных размером 64 Кбайт рассчитывается новый хеш, который используется для шифрования следующего блока данных, и т. д. Такой метод кодирования данных позволяет в последующем подтвердить целостность данных, извлеченных из диска-источника, или выявить факт внесения изменений в криминалистический образ. В случае обнаружения факта внесения изменений скомпрометированная часть данных может быть локализована и исключена из исследования. При этом другие части криминалистического образа будут доступны для исследования и не утратят своего доказательственного значения.
Macrium Reflect
Основное преимущество Macrium Reflect – простой и удобный интерфейс. Также программа бесплатна для домашнего использования.
Во время работы утилиты отключите тяжелые приложения, так как программа требовательна к ресурсам компьютера.
Чтобы сделать клон носителя информации, нужно:
EASEUS Disk Copy
EaseUS Disk Copy – функциональная утилита для клонирования HDD и SSD без потери данных. Для работы с ней придется приобрести постоянную лицензию за $59.90 или оформить временную подписку по цене от $19.90. Пробная версия программы, к сожалению, предназначена только для ознакомления.
- Запустите программу. Ее интерфейс утилиты выполнен в стиле «минимализм».
- На выбор доступно два режима работы: Disk Mode – режим клонирования целых дисков и Partition Mode – режим клонирования отдельных разделов. Нам понадобится «Disk Mode».
- Выберите исходный диск и нажмите «Next». При желании можно отметить галочкой пункт «Sector by sector copy» — это позволяет создавать полный клон диска путем копирования каждого сектора.
- Выберите исходный диск, на который будет перенесена вся информация. Нажмите «Next». Запустится процесс клонирования.
- Для успешного завершения копирования данных перезагрузите систему.
Утилиты клонирования
Представляем вашему вниманию лучшие, на наш взгляд, утилиты для клонирования жестких дисков.
Введение
Цифровые устройства являются неотъемлемой частью нашей жизни. Поэтому доказательства, полученные из различных цифровых устройств, используются при проведении расследований в корпоративной, гражданской или общеуголовной сферах.
Цифровые доказательства, к сожалению, легко повредить или уничтожить. Часто это происходит непреднамеренно: скажем, при попытках технического персонала восстановить работоспособность компьютера после инцидента (например, в области дистанционного банковского обслуживания).
Типовым носителем цифровых доказательств является жесткий диск, в статье мы пошагово рассмотрим процесс создания криминалистической копии именно жесткого диска на конкретном примере.
Подготовка к клонированию
Перед началом клонирования убедитесь, что процессу ничего не помешает:
- Если используете ноутбук, зарядите аккумулятор;
- Устраните неполадки, приводящие к перезагрузкам и самоотключениям компьютера (если они есть).
Также желательно сделать резервные копии важных данных.
Подключите диск-приемник по любому доступному интерфейсу. Процесс пойдет быстрее, если оба носителя подсоединены к разъемам SATA 6 Gb или более скоростным, но если такой возможности нет, используйте, например, USB (адаптеры USB-SATA продаются в компьютерных магазинах).
Время клонирования жесткого диска зависит от следующих факторов:
- Возможности программы.
- Объем диска. Чем он больше, тем дольше утилита переносит файлы, разделы и структуру.
- Скорость и тип исходного и принимающего накопителя: при работе с SSD (твердотельными носителями) процесс идет быстрее, чем с HDD (магнитными жесткими дисками).
Создание криминалистической копии жесткого диска
При создании криминалистических копий носителей информации используются аппаратные или программные блокираторы записи. Это делается для того, чтобы исключить возможность случайного изменения данных на них. Воспользуемся аппаратным блокиратором WiebeTECH Forensic UltraDock V5. Для корректной работы в среде Windows этот блокиратор эмулирует функции записи, переноса, удаления файлов на подключенном жестком диске. На самом деле никакие данные на диске-источнике не изменяются.
Рисунок 4. Внешний вид блокиратора записи
Данный блокиратор имеет следующие преимущества перед другими:
- Он автоматически детектирует и производит разблокировку таких областей жесткого диска, как Device Configuration Overlay (DCO) и Host Protected Area (HPA).
- Если доступ к данным жесткого диска заблокирован ATA-паролем, он выводит соответствующую информацию на свой дисплей.
К данному блокиратору можно подключить жесткие диски с интерфейсами SATA и IDE. Если в ноутбуке используются жесткие диски SSD, то для их подключения потребуется соответствующий адаптер.
Рисунок 5. Адаптеры для SSD-дисков
Для создания криминалистической копии воспользуйтесь программой Belkasoft Acquisition Tool, она бесплатна. Belkasoft Acquisition Tool является универсальной утилитой, позволяющей создавать криминалистические копии жестких дисков, мобильных устройств, извлекать данные из облачных хранилищ.
Подключите извлеченный жесткий диск с помощью блокиратора записи к компьютеру и запустите Belkasoft Acquisition Tool. В основном окне программы будет предложено выбрать источник данных: жесткий диск, мобильное устройство или облачное хранилище.
Рисунок 6. Основное окно программы
Кликните по иконке Drive. После этого откроется окно, где будет предложено выбрать устройство, которое необходимо скопировать; указать место, где будет создаваться криминалистическая копия; задать имя файла и его формат и т. д.
Рисунок 7. Окно выбора накопителя для создания его криминалистической копии и установки ее параметров (месторасположения, имени, формата и т. д.)
Как видно на рисунке 7, жесткий диск, криминалистическая копия которого будет создаваться, подключен как PHYSICALDRIVE2. При этом будет создан файл с именем image.E01, для которого рассчитан хеш функции SHA-1 и MD5.
Расчет хешей необходим для того, чтобы подтвердить подлинность криминалистической копии с момента ее создания до момента использования доказательств, полученных из нее.
Кликните по кнопке Next, чтобы запустить процесс создания криминалистической копии жесткого диска.
Рисунок 8. Отображение процесса создания криминалистической копии жесткого диска
Что такое клонирование диска
Клонирование – это процесс посекторного переноса операционной системы, программного обеспечения и личных файлов пользователя с одного диска на другой. В отличие от резервного копирования или создания образа диска (ISO), клонирование создает 100% копию исходного носителя: сохраняются основные разделы, структуру и программное обеспечение.
Новый клонированный диск получается почти идентичным старому. Это значит, вам не придется заново настраивать рабочую среду, активировать систему и восстанавливать лицензии ПО. Различие между ним и оригинальным носителем заключается в том, что с операционной системы снимается привязка к железу компьютера, но также становится недоступным откат системы до первоначальных настроек с сохранением пользовательских данных и переустановка в режиме обновления.
Программы, проводящие операцию посекторного клонирования дисков
Программ, проводящих операцию клонирования дисков, друзья, много. На нашем сайте есть мануалы проведения этой операции с использованием Acronis True Image, Macrium Reflect, EaseUS Disk Copy, AOMEI Partition Assistant, AOMEI Backupper. Но в этих мануалах мы либо не использовали тип посекторного копирования, либо попросту не заостряли внимание на методе копирования. И ни одну из этих программ мы не будем использовать в этой статье для клонирования диска с акцентом на посекторном методе копирования. Почему? Ну, во-первых, некоторые из этих программ являются платными или предусматривают функцию клонирования диска в числе платных функций поверх базовых бесплатных. Во-вторых, многие программы, предлагающие функцию посекторного клонирования дисков, обычно ставят такое условие для её выполнения: диск назначения должен быть по объёму не меньше диска-исходника. Можно больше, но никак не меньше. Связано это, соответственно, со спецификой посекторного копирования.
Так что, друзья, если ваш диск назначения – новый диск, куда вы хотите скопировать разметку и данные, должен быть или такого же размера, или больше, чем исходный диск, т.е. ваш старый диск, с которого вы переносите информацию. В противном случае программа вам может отказать в проведении операции посекторного клонирования. Так делает, например, AOMEI Partition Assistant: для выполнения операции посекторного копирования эта программа требует наличия в качестве диска назначения носитель информации с не меньшим, чем у исходного, дисковым пространством, включая нераспределённое. Тогда как предлагаемая мной для проведения этой операции программа HDClone не учитывает нераспределённый объём. Мы можем удалить ненужные разделы и оставить на исходном диске только важные разделы, суммарный объём которых будет соответствовать месту на диске назначения.
Ну а теперь давайте приступим непосредственно к делу: клонируем посекторным методом один диск на другой.
Handy Backup
Handy Backup – простая в использования программа для создания физических и логических копий дисков. Утилита создает точную копию HDD полностью сохраняя его структуру.
Клонирование выполняется в автоматическом режиме: вам не нужно вручную чистить мусор, переносить файлы, устранять сбои реестра.
Для постоянной работы с этим ПО нужно приобрести лицензию. 30-дневная пробная версия доступна бесплатно. Ее достаточно для выполнения основных функций. Интерфейс переведен на русский язык.
Как пользоваться Handy Backup:
HDClone
HDClone – еще один универсальный инструмент для клонирования жесткого диска, который позволяет работать с накопителями объемом от 130 ГБ и более.
Бесплатная версия приложения (free) имеет некоторые ограничения. Например, с ее помощью вы не сможете перенести данные на диск меньшей емкости, чем исходный. Чтобы получить возможность клонировать любые данные на любые накопители от 130 ГБ, придется приобрести как минимум базовую версию HdClone за €19.90.
Извлечение жесткого диска
Для примера будет рассмотрено создание криминалистической копии жесткого диска ноутбука FUJITSU SIEMENS Amilo M3438G.
Рисунок 1. Внешний вид ноутбука FUJITSU SIEMENS
Извлечь жесткий диск из ноутбука бывает непросто. Поэтому, чтобы не повредить компьютер, рекомендуется предварительно найти в интернете видео, в котором показано, как разобрать конкретную модель ноутбука. Как правило, такое видео может быть найдено по запросу: how to disassemble ‘модель ноутбука’.
Рисунок 2. Результаты поискового запроса how to disassemble M3438G
Обычно модель ноутбука указана на этикетке, расположенной на нижней стенке ноутбука или в батарейном отсеке.
При извлечении следует помнить о том, что жестких дисков в ноутбуке может быть больше одного. Есть модели, в которых установлено 4 жестких диска. Кроме того, дополнительный жесткий диск может быть установлен в отсек DVD-привода.
При вскрытии ноутбука, использованного в качестве примера, обнаружен всего один жесткий диск.
Рисунок 3. Извлеченный жесткий диск
Что такое посекторное клонирование диска
Итак, друзья, посекторное клонирование диска. Это операция переноса разметки и содержимого жёстких дисков, выполненная методом посекторного копирования. Этот метод копирования применяется различными программами при резервном копировании или клонировании данных. И это один из методов, их, как упоминалось, два:
Быстрое – когда программы копируют в образ резервной копии или на другой диск только непосредственно данные. И эти данные при копировании или восстановлении из резервной копии физически занимают новые сектора на диске назначения;
Посекторное – когда программы копируют в образ резервной копии или на другой диск данные в соответствии с занимаемыми ими секторами на исходном диске. И при копировании или восстановлении из резервной копии мы из диска назначения получаем точный клон исходного диска.
Не всегда программы, содержащие в числе своего функционала операцию клонирования данных, и жёстких дисков целиком в частности, могут предлагать оба метода. Но мощные функциональные бэкаперы и менеджеры управления дисковым пространством обычно предусматривают оба эти метода. И быстрое, и посекторное копирование – это копирование всех свойств исходного диска. Копируется стиль разметки (MBR или GPT), все разделы, свойства и атрибуты этих разделов, их файловые системы. Вся разница этих двух методов – только в механизме копирования самих данных. Посекторное копирование – это низкоуровневое копирование, при этом методе копируются и сектора с информацией, и пустые сектора разделов.
В чём преимущество посекторного клонирования диска? Оно длится по времени немного дольше, чем быстрое, и если на исходном диске есть проблемы типа сильной фрагментации данных, то эти проблемы наследует диск назначения. Но всё это условности. Если клонируемый объём данных большой, в любом случае операцию запускать нужно в удобный для её проведения момент, не стеснённый временем. Ну и перед клонированием можно осуществить дефрагментацию. Но посекторное клонирование может стать решением, если по итогам быстрого клонирования мы столкнёмся с проблемами запуска клонированной Windows на диске назначения, работы Recovery-функционала, определения диска назначения в приоритете загрузки UEFI, а также при использовании прочих функций. Да, друзья, такого рода проблемы могут возникнуть при быстром клонировании диска. Возможно, в редких случаях, тем не менее такая вероятность имеет место быть. Плюс к этому, посекторное клонирование обеспечивает на диске назначения точный клон Windows, и у нас с большей долей вероятности не возникнет проблем с активацией клонированной операционной системы и установленного платного ПО. Поскольку посекторное копирование сохраняет идентификацию оборудования на системном уровне.
Norton Ghost
Norton Ghost – популярная утилита для клонирования и создания бэкапов, но, к сожалению, она перестала поддерживаться разработчиками еще в 2009 году. Из-за этого загрузить ее можно только со сторонних сайтов.
- Чтобы сделать клонирование, в интерфейсе приложения перейдите в раздел «Tools». Запустите инструмент «Copy My Hard Drive».
- Выберите исходный диск и укажите целевой носитель.
- После клонирования перезапустите компьютер.
HDD Raw Copy Tool - инструмент для низкоуровневого, посекторного копирования жесткого диска и создания образов. Утилита делает точную копию жесткого диска SATA, IDE, SAS, SCSI или SSD. Также она работает с любыми USB и FIREWIRE внешними накопителями, а также с носителями SD, MMC, MemoryStick и CompactFlash.
Программа работает с HDD/SSD-накопителями разных производителей (Intel, OCZ, Samsung, Kingston, Maxtor, Hitachi, Seagate, Samsung, Toshiba, Fujitsu, IBM, Quantum, Western Digital и пр.), умеет работать с большими дисками (LBA-48), поддерживаются интерфейсы S-ATA (SATA), IDE (E-IDE), SCSI, SAS, USB, FIREWIRE.
Приложение также поддерживает низкоуровневое дублирование карт FLASH (SD/MMC, MemoryStick, CompactFlash, SmartMedia, XD) с помощью карт-ридера.
Ключевые возможности HDD Raw Copy Tool:
- Создание копий поврежденного диска.
- Восстановление данных: копирование поврежденного жесткого диска и пропуск поврежденных секторов.
- Миграция: полный переход с одного жесткого диска на другой.
- Создание точной копии жесткого диска.
- Резервное копирование: создание образа флэш-карты USB и копирование/восстановление в любой момент времени.
- Восстановление жестких дисков ОС в любой момент из сжатого образа.
- Дублирование/клонирование/сохранение образа любого типа носителя.
CrystalDiskInfo - одно из лучших приложений для проверки состояния жестких дисков, которые.
Victoria - программа для тестирования жесткого диска. Проводит диагностику и выдает полную.
Бесплатная программа для низкоуровневого форматирования накопителей различных.
Acronis Disk Director - комплекс мощных инструментов для управления дисками и разделами. Включает в.
Partition Assistant - мощное приложение для полного управления разделами жестких дисков на компьютере.
HP USB Disk Storage Format Tool - небольшая утилита для форматирования и создания загрузочного USB-диска.
Отзывы о программе HDD Raw Copy Tool
imperialregent про HDD Raw Copy Tool 1.10 [22-05-2020]
Неплохая программка, юзал ее еще на заре ее появления. Особых отличий от первых версий не нашел.
| 4 | Ответить
Посекторное клонирование диска программой HDClone
Acronis True Image
Особенностью Acronis True Image является то, что созданные в ней копии можно хранить не только на своем компьютере, а также в облачном хранилище Acronis Cloud. При сохранении данных в облаке доступ к копии диска возможен с любого устройства, подключенного к Интернету. Для защиты данных программа использует шифрование AES-256.
Чтобы пользоваться всеми возможностями утилиты, нужно оформить годовую подписку по цене от €49,99 или купить постоянную лицензию за €59,99. Имеется ознакомительная версия на 30 дней.
Renee Becca
Renee Becca – удобный инструмент для простого клонирования дисков, папок и отдельных разделов системы. Ее главное преимущество – простота использования. Перенести информацию с одного физического накопителя на другой можно за несколько простых шагов:
- Установите Renee Becca на компьютер и запустите ее.
- В интерфейсе утилиты перейдите в раздел «Клон». Выберите инструмент «Клон жесткого диска».
- В открывшемся окне укажите источник клона и пункт назначения. Источник – это исходный диск, клонирование которого вы планируете выполнить.
- Чтобы запустить рабочий процесс приложения, нажмите «Клон».
Кнопка «+ Больше» откроет меню дополнительных функций. Здесь вы можете отметить пункт копирования всех секторов.
Это позволяет создать 100% клон диска, правда, увеличится время выполнения задачи.
Пробная версия Renee Becca позволяет клонировать только несистемные накопители. Для доступа ко всему функционалу программы необходима лицензия, которая стоит $29.95.
Читайте также: