Dane do analizy śledczej

Złośliwe działania na komputerze mogą być wykonywane przez wirusy, złośliwe oprogramowanie i oprogramowanie wymuszające okup. Innym przypadkiem, który może wymagać zbadania, jest kradzież lub zmiana danych na komputerze za pomocą różnych programów. Takie działania mogą wymagać zbadania, ale jest to możliwe tylko wtedy, gdy na komputerze są przechowywane dowody cyfrowe na potrzeby prac dochodzeniowych. Niestety, dowody (pliki, ślady itd.) mogą zostać usunięte lub komputer może przestać być dostępny.

Opcja tworzenia kopii zapasowej o nazwie Dane do analizy śledczej umożliwia zbieranie dowodów cyfrowych, które można wykorzystać w dochodzeniach śledczych. Jako dowód cyfrowy mogą posłużyć następujące elementy: migawka nieużywanego miejsca na dysku, zrzuty pamięci oraz migawka uruchomionych procesów. Funkcja Dane do analizy śledczej jest dostępna tylko w przypadku tworzenia kopii zapasowej całego komputera.

Obecnie opcja Dane do analizy śledczej jest dostępna tylko w przypadku komputerów z systemem Windows w następujących wersjach:

• Windows 8.1, Windows 10
• Windows Server 2012 R2 — Windows Server 2019

Uwaga Po zastosowaniu do komputera planu ochrony przy użyciu modułu Kopia zapasowa nie będzie można zmodyfikować ustawień danych do analizy śledczej. Jeśli zechcesz użyć innych ustawień takich danych, utwórz nowy plan ochrony.

Obsługiwane lokalizacje kopii zapasowych na potrzeby analizy śledczej:

• Chmura
• Folder lokalny

  Uwaga
  1. Folder lokalny jest obsługiwany tylko na zewnętrznym dysku twardym podłączonym przez port USB.
  2. Lokalne dyski dynamiczne nie są obsługiwane jako lokalizacja kopii zapasowych na potrzeby analizy śledczej.

• Folder sieciowy

Kopie zapasowe na potrzeby analizy śledczej są automatycznie notaryzowane. Tworzenie kopii zapasowych na potrzeby analizy śledczej pozwoli prowadzącym dochodzenie na analizę tych obszarów dysku, które zwykle nie są uwzględniane w jego zwykłej kopii zapasowej.

Proces tworzenia kopii zapasowej na potrzeby analizy śledczej

Podczas tworzenia kopii zapasowej na potrzeby analizy śledczej system wykonuje następujące czynności:

1. Zapisuje surowy zrzut pamięci i listę uruchomionych procesów.
2. Automatycznie uruchamia ponownie komputer przy użyciu nośnika startowego.
3. Tworzy kopię zapasową, która zawiera zarówno zajmowane, jak i niealokowane miejsce.
4. Notaryzuje dyski uwzględniane w kopii zapasowej.
5. Uruchamia się ponownie w trybie systemu operacyjnego na żywo i kontynuuje wykonywanie planu (np. replikację, przechowywanie, sprawdzenie poprawności i inne).

Aby skonfigurować zbieranie danych do analizy śledczej

1. W konsoli usługi przejdź do sekcji Urządzenia > Wszystkie urządzenia. Plan ochrony można też utworzyć na karcie Plany.
2. Wybierz urządzenie i kliknij Chroń.
3. W planie ochrony w ustawieniach modułu Kopia zapasowa włącz moduł Kopia zapasowa.
4. W polu Elementy uwzględniane w kopii zapasowej wybierz Cały komputer.
5. W sekcji Opcje tworzenia kopii zapasowych kliknij Zmień.
6. Znajdź opcję Dane do analizy śledczej.
7. Włącz Zbierz dane do analizy śledczej. System automatycznie pobierze zrzut pamięci i utworzy migawkę uruchomionych procesów.

   Uwaga Pełny zrzut pamięci może zawierać poufne dane, na przykład hasła.

8. Podaj lokalizację.
9. Kliknij Uruchom teraz, aby niezwłocznie utworzyć kopię zapasową z danymi do analizy śledczej, lub poczekaj na utworzenie kopii zapasowej zgodnie z harmonogramem.
10. Przejdź do sekcji Panel > Działania i sprawdź, czy kopia zapasowa z danymi do analizy śledczej została pomyślnie utworzona.

W wyniku tych działań kopie zapasowe będą zawierały dane do analizy śledczej, które będzie można pobrać i przeanalizować. Kopie zapasowe z danymi do analizy śledczej są oznaczone i można je wyfiltrować spośród innych kopii zapasowych w sekcji Magazyn kopii zapasowych > Lokalizacje za pomocą opcji Tylko z danymi do analizy śledczej.

Jak pobrać dane do analizy śledczej z kopii zapasowej?

1. W konsoli usługi przejdź do sekcji Magazyn kopii zapasowych i wybierz lokalizację z kopiami zapasowymi zawierającymi dane do analizy śledczej.
2. Zaznacz odpowiednią kopię zapasową z danymi do analizy śledczej i kliknij Pokaż kopie zapasowe.
3. Kliknij Odzyskaj w wierszu właściwej kopii zapasowej.
   • Aby odzyskać tylko dane do analizy śledczej, kliknij Dane do analizy śledczej.

     

     System wyświetli folder z danymi do analizy śledczej. Wybierz plik zrzutu pamięci lub dowolny inny plik przeznaczony do analizy śledczej i kliknij Pobierz.

     

   • Aby odzyskać całą kopię zapasową z danymi do analizy śledczej, kliknij Cały komputer. System odzyska kopię zapasową bez trybu startowego. Dzięki temu będzie można sprawdzić, czy dysk nie został zmieniony.

Dostępny zrzut pamięci można poddać dogłębniejszym analizom za pomocą kilku programów do analizy śledczej innych firm, na przykład programu Volatility Framework: https://www.volatilityfoundation.org/.