Система и способ создания образа цифровой памяти
Изобретение относится к созданию образа цифровой памяти, а именно к созданию образа цифровой памяти для применения в области компьютерной криминалистики. Технический результат – повышение скорости извлечения данных. Система создания образа цифровой памяти для создания образа цифровой памяти целевого компьютера содержит несколько съемных устройств хранения данных, каждое из которых выполнено с возможностью соединения с целевым компьютером, устройство создания образа, выполненное с возможностью создавать образ цифровой памяти целевого компьютера, устройство вывода для вывода образа цифровой памяти в виде последовательности блоков данных на два или более съемных устройств хранения данных и устройство распределения, выполненное с возможностью распределять каждый блок данных образа цифровой памяти на выбранное съемное устройство хранения данных согласно системе управления очередью, отличающееся тем, что каждое съемное устройство хранения данных имеет очередь данных, подлежащих сохранению, которую постоянно отслеживают. 2 н. и 9 з.п. ф-лы, 3 табл., 5 ил.
Настоящее изобретение относится к системе и способу создания образа цифровой памяти. В частности, настоящее изобретение относится к системе для создания образа цифровой памяти для применения сотрудниками полиции, правоохранительных органов, разведывательных служб и войск и имеет особое применение в области компьютерной криминалистики.
Расследования сотрудниками полиции, правоохранительных органов, разведывательных служб и войск часто требует скрытого получения данных путем создания образа цифровой памяти, причем полученные данные часто используют в качестве доказательств в последующем судопроизводстве. Процесс создания образа создает образ данных «бит-в-бит»; например, с жесткого диска. Известно хранение образа цифровой памяти на съемном запоминающем устройстве (СЗУ), таком как флеш-диск USB. Однако съемное запоминающее устройство имеет ограниченный размер памяти, и часто одного устройства недостаточно для необходимого процесса создания образа. Если образ цифровой памяти больше, чем размер СЗУ, не все необходимые данные можно извлечь. Также было обнаружено, что создание образа данных на съемном запоминающем устройстве гораздо более медленное, чем считывание цифровой памяти, что может производить «узкое место» в процессе создания образа, из-за чего необходимые доказательства не могут быть получены, или скрытая природа создания образа попадает под угрозу.
При попытке создать образ жесткого диска на одном USB устройстве, пользователю необходимо убедиться, что на USB устройстве имеется достаточно пространства для хранения всего образа диска. Например, для создания образа жесткого диска объемом 80 Гб необходимо 80 Гб свободного пространства, независимо от того, все ли 80 Гб свободного пространства использованы целевым жестким диском. Это объясняется тем, что процесс создания образа создает образ всех файлов на целевом диске в дополнение ко всему свободному пространству. Таким образом, при расследованиях является обычным недостаток времени или объем памяти для создания образа необходимого целевого диска.
Известные инструменты для криминалистического создания образа ПК/ноутбука на USB-устройстве являются неэффективными и медленными. Обычные инструменты, такие как "FTK" Forensic Toolkit® Imager от AccessData® Group или EnCase® Forensic Imager от Guidance Software Inc. основаны на системе создания образа, выполняемой с USB-устройства, на котором затем создают образ данных через единый USB-порт. Известные инструменты создания образа также работают из «загрузочной среды», с помощью которой целевую машину, образ которой необходимо создать, необходимо загрузить с помощью CD-ROM или USB-устройства, содержащего измененную версию операционной системы, чтобы позволить устройству создания образа получить доступ к внутренним дискам целевой машины. Известные диски CD-ROM загрузочной среды включают «Helix-3» от e-fense Security Solutions и загрузочный CD-диск Paladin (RTM). Недостаток скорости и неэффективность таких известных систем негативно влияют на скрытую природу расследований и часто означают, что образ всех необходимых данных не может быть создан, особенно когда имеется лишь весьма ограниченное время, доступное для получения данных.
В дополнение к неэффективности известных систем создания образов, жесткие диски в настоящее время больше, что означает, что для создания образа необходимых данных на USB-устройствах требуется все больше времени. Известно прикрепление целевого жесткого диска к специальному устройству создания образов, такому как «Tableau TD1 Forensic Duplicator» от Guidance Software Inc., который позволяет быстрее создавать образ жесткого диска. Однако осуществлять необходимое снятие и замену жесткого диска с машины, по которой проводят расследование, чтобы позволить создавать образ с помощью устройства TD1, - затратно по времени и неудобно. Если имеется время и возможность снять жесткий диск во время расследования, это обычно может занимать от 20 минут до нескольких часов, в дополнение ко времени, необходимому для повторной установки жесткого диска после создания образа. Таким образом, когда следственные действия необходимо провести в ограниченных временных рамках, часто можно только получить частичный образ жесткого диска, и важные улики упускаются. Кроме того, все более обычной становится невозможность снятия жесткого диска для осуществления создания образа этими известными устройствами. Например, жесткий диск располагают за экраном/экранами или прячут в электронных компонентах самого компьютера. Жесткий диск также может быть прикреплен к компьютеру или иметь клейкие этикетки безопасности, сигнализирующие, когда происходило вмешательство в работу диска. Это не только делает снятие сложным и затратным по времени, но и создает риск раскрытия скрытой операции, когда важно, чтобы компьютер оставался в таком же состоянии, так чтобы исследование компьютера было невозможно обнаружить.
Публикация патента США №2006/0164743 раскрывает способ для копирования среды хранения данных в режиме «один ко многим», при этом исходные данные на жестком диске копируют на несколько жестких дисков по очереди. Такие способы хорошо известны для предоставления последовательного считывания и сохранения всего жесткого диска в персональном компьютере на каждом из ряда жестких дисков. Цель таких способов состоит в предоставлении нескольких копий исходного или целевого жесткого диска. Для применения в расследованиях основная цель такого способа состоит в одновременном создании одной копии для хранения в качестве «доказательной копии», а другие копии распространяют на одного или нескольких сотрудников среди команд. Таким образом, данные образа доступны множеству людей для проведения расследования и анализа, так что скорость процесса расследования возрастает. Кроме того, способ, раскрытый в US №2006/0164743 уменьшает недостаток проблем аппаратного обеспечения на жестких дисках, на которых создают образы данных, что является наиболее вероятной точкой неудачи в процессе копирования жесткого диска. В скрытой операции такое прямое копирование на самом деле является затратным по времени и неэффективным. Если пользователь требует, чтобы жесткий диск был скопирован только один раз настолько быстро и точно насколько можно, этот способ не обеспечивает приемлемого решения. Способ, представленный в US №2006/0164743, также требует снятия жесткого диска с компьютера, что приводит к недостаткам, описанным выше.
Кроме того, для завершения процесса создания образа любой цифровой памяти часто требуется значительный период времени, например, несколько последовательных часов. Скрытая природа расследования часто делает маловероятным наличие этого необходимого периода времени. Существующие системы создания образов цифровой памяти, которые не предназначены для скрытого расследования, являются такими, что, если полное необходимое время недоступно, то создание образа цифровой памяти успешно выполнить невозможно. Например, если пользователь хочет создать образ жесткого диска размером 80 Гб, но его прерывают по прошествии части времени, необходимого для получения полного образа 80 Гб, то пользователь не сможет забрать никакие данные образа.
Патентная публикация США №2007/0043967 раскрывает автоматическое повторное подключение и повторное получение в системе компьютерного расследования. Система предназначена для применения в компьютерной сети. Когда соединение потеряно во время получения данных из сети, инспектирующий компьютер может автоматически пытаться повторно соединиться с системой расследования, и, как только соединение повторно установлено, целевая машина продолжает получение из промежуточного состояния, т.е. с того момента, когда соединение было потеряно. Система, представленная в US №2007/0043967, не подходит для применения в скрытых расследованиях, поскольку она требует предварительного разрешения для пользователя подключиться к компьютерной сети и иметь разрешенный доступ. Эта система подходит только для получения данных из сети (и когда целевой компьютер в открытой форме выполняет клиентское программное обеспечение создания образа), а не для создания образа цифровых данных непосредственно на съемном запоминающем устройстве, таком как USB.
Настоящее изобретение описывает уменьшение недостатков, указанных выше, путем предоставления системы и способа создания образа цифровой памяти с увеличенной эффективностью, что обеспечивает быстрое и безопасное извлечение данных.
В одном аспекте настоящее изобретение предусматривает систему создания образа цифровой памяти для создания образа цифровой памяти целевого компьютера, содержащую:
несколько съемных устройств хранения данных, каждое с возможностью соединения с целевым компьютером;
устройство создания образа, выполненное с возможностью создавать образ цифровой памяти целевого компьютера;
устройство вывода для вывода образа цифровой памяти в виде последовательности блоков данных на два или более съемных устройств хранения данных; и
устройство распределения, выполненное с возможностью распределять каждый блок данных образа цифровой памяти на выбранное съемное устройство хранения данных согласно системе управления очередью, причем каждое съемное устройство хранения данных имеет очередь данных, подлежащих сохранению, которую постоянно отслеживают.
Путем разделения хранилища цифровой памяти среди нескольких съемных устройств хранения данных скорость и эффективность системы значительно повышается.
Необходимо понимать, что цифровая память целевого компьютера включает любое из жесткого диска; флеш-памяти; или оперативной памяти (ОЗУ). Было показано, что настоящее изобретение быстро создает образ цифровой памяти целевого компьютера, в частности для твердотельных накопителей (SSD) без необходимости снимать диск с целевого компьютера. Таким образом, настоящее изобретение позволяет пользователю создавать образ крупной целевой цифровой памяти без риска прерывания и/или обнаружения во время скрытой операции; например, когда доступен только короткий период времени и когда требуется не оставлять никаких свидетельств, что был осуществлен доступ к целевому компьютеру.
Предпочтительно, несколько съемных устройств хранения данных содержат любое сочетание USB; внешнего диска eSata; карты SD; карты micro SD; диска FireWire (RTM); диска Thunderbolt (RTM).
Более предпочтительно, чтобы устройство распределения выполнялось с возможностью распределять каждый блок данных образа цифровой памяти с учетом свободной памяти, доступной на каждом съемном устройстве хранения данных, и/или скорости съемного устройства хранения данных.
Распределение образа данных согласно объему данных, который каждому съемному устройству хранения данных необходимо прочитать и сохранить, и/или скорости съемного устройства хранения данных, создает систему динамического управления очередью. Система управления очередью гарантирует, что эффективность и скорость системы создания образа оптимизированы.
Предпочтительно, система создания образа цифровой памяти дополнительно содержит устройство отображения.
Устройство отображения позволяет пользователю отслеживать систему создания образа. Например, пользователь может смотреть, какое из съемных устройств хранения данных доступно для использования, когда образ данных необходимо преобразовать в файл образа. Это устройство отображения также может уведомлять пользователя, когда требуется замена съемного запоминающего устройства, и таким образом избегать любой нехватки объема памяти для образа.
Предпочтительно, система создания образа цифровой памяти дополнительно содержит устройство маркировки, чтобы маркировать каждый блок образа данных заголовком, содержащим любое сочетание порядкового номера; длины блока данных; адреса источника; значения сжатия; метки времени; уникального идентификатора.
Благодаря маркировке блоков данных система может точно и эффективно перекомпоновывать и проверять подлинность образа цифровой памяти.
Предпочтительно, система создания образа цифровой памяти дополнительно содержит устройство сохранения, причем устройство сохранения реагирует на прерывание создания образа цифровой памяти, чтобы сохранять полученный образ цифровой памяти в точку прерывания.
Устройство сохранения (удержания) позволяет системе сохранять часть цифровой памяти целевого компьютера, если систему прерывают, и позже возобновлять создание образа цифровой памяти с точки прерывания. Это позволяет пользователю получать ценную часть данных цифровой памяти во время скрытой операции, если не может быть выделено достаточно времени для создания образа всей целевой цифровой памяти.
Во втором аспекте изобретение предусматривает способ создания образа цифровой памяти для создания образа цифровой памяти целевого компьютера, включающий этапы:
подключения нескольких съемных устройств хранения данных к целевому компьютеру;
создание образа цифровой памяти целевого компьютера;
вывод образа цифровой памяти в виде последовательности блоков данных на два или более съемных устройства хранения данных;
распределения каждого блока данных образа цифровой памяти на выбранное съемное устройство хранения данных согласно системе управления очередью, причем каждое съемное устройство хранения данных имеет очередь данных, подлежащих сохранению, которую постоянно отслеживают.
Предпочтительно, способ включает этап распределения каждого блока данных образа цифровой памяти с учетом свободной памяти, доступной на каждом съемном устройстве хранения данных, и/или скорости съемного устройства хранения данных.
Предпочтительно, способ создания образа цифровой памяти дополнительно включает этап отображения информации о ходе выполнения, относящейся к системе создания образа.
Предпочтительно, способ создания образа цифровой памяти дополнительно включает этап маркировки каждого блока данных образа заголовком, содержащим любое сочетание порядкового номера; длины блока данных; адреса источника; значения сжатия; метки времени; уникального идентификатора.
Предпочтительно, способ создания образа цифровой памяти дополнительно включает этап сохранения образа цифровой памяти в точке прерывания.
С целью ясности и краткости описания, признаки описаны в данном документе как часть одного или отдельных вариантов осуществления; однако будет понятно, что объем изобретения может включать варианты осуществления, имеющие сочетания всех или некоторых описанных признаков.
Эти и другие признаки настоящего изобретения будут более полно понятны со ссылкой на последующее подробное описание в сочетании с приложенными графическими материалами, на которых:
Фиг. 1 – структурная схема примера системы создания образа цифровой памяти, построенная согласно настоящему изобретению;
Фиг. 2a – блок-схема последовательности выполнения способа создания образа цифровой памяти согласно первому варианту осуществления настоящего изобретения;
Фиг. 2b – блок-схема последовательности выполнения динамического управления очередью, осуществляемого способом создания образа цифровой памяти согласно первому варианту осуществления настоящего изобретения;
Фиг. 3 – блок-схема последовательности выполнения способа создания образа цифровой памяти согласно альтернативному варианту осуществления настоящего изобретения; и
Фиг. 4 – график, представляющий испытание, подробно изложенное в Приложении 2, показывающий зависимость скорости передачи от размера буфера считывания для различных размеров буфера записи в типичной системе «среднего уровня».
Графические материалы, описанные в данном документе, на которых подобные части везде обозначены подобными номерами ссылок, представляют иллюстративные варианты осуществления системы и способа создания образа цифровой памяти согласно настоящему изобретению. Хотя настоящее изобретение будет описано со ссылкой на иллюстративные варианты осуществления, представленные на графических материалах, следует понимать, что настоящее изобретение может быть осуществлено во многих альтернативных формах.
Обращаясь к фиг.1 и примеру системы создания образа цифровой памяти, целевой компьютер 1 может принимать несколько съемных устройств хранения данных, включая любое сочетание дисков 3 USB 1.0, USB 2.0 и 3.0; внешних дисков 5 eSata; SD и micro SD карт 7; дисков 9 FireWire (RTM); дисков 11 Thunderbolt (RTM) и внешних дисков 13 PCI Express. Под целевым компьютером понимают персональный компьютер, ноутбук, планшетный компьютер или любое подобное устройство, способное подключаться к съемному устройству хранения данных.
Пользователь, имеющий доступ к целевому компьютеру 1, вводит систему создания образа цифровой памяти в целевой компьютер 1 с помощью диска 3 USB 1.0, 2.0 или 3.0 или подобного устройства 5, 7, 9, 11, 13. Диск 3 USB подключается к целевому компьютеру 1 и действует как "ведущее" устройство, чтобы позволить выполнить способ создания образа цифровой памяти.
Обращаясь к фиг.2а, в предпочтительном варианте осуществления способа создания образа цифровой памяти, систему создания образа цифровой памяти подключают к целевому компьютеру на этапе 200, и способ создания образа цифровой памяти начинается. На этапе 201 система обнаруживает устройства хранения данных, т.е. физические, фиксированные устройства (диски) цифровой памяти, на которых необходимо создать образ цифровой памяти целевого компьютера. Например, на этапе 201, система обнаруживает, что в целевой компьютер вставлены три устройства USB 2.0; два устройства USB 3.0 и одна карта PCIe USB 3.0. На этапе 203 система исключает ведущее устройство хранения; например, USB 2.0, USB 3.0 или подобное съемное запоминающее устройство, на котором хранится система создания образа. Таким образом, в вышеуказанном примере система обнаруживает, что одно устройство USB 2.0 содержит систему создания образа цифровой памяти и что остальные два устройства USB 2.0, два устройства USB 3.0 и одна карта PCIe USB 3.0 должны быть использованы для создания образа жесткого диска (цифровой памяти) целевого компьютера. Понятно, что ссылка на жесткий диск включает любую форму цифровой памяти, такую как флеш-память или оперативную память (ОЗУ). Одновременно на этапе 205, система обнаруживает логические диски, т.е. цифровую память целевого компьютера.
На этапе 207 система сопоставляет и отображает устройства и диски, которые были обнаружены ранее. Например, информация отображается на экране целевого компьютера. На этапе 209 пользователь отдает команду системе начинать создание образа целевой цифровой памяти.
Тогда система начинает создание образа целевой цифровой памяти путем считывания памяти последовательно в больших блоках данных. Размер блока данных является предопределенным, чтобы гарантировать оптимальную производительность для обычных типов устройств. Было обнаружено, что блок размером 8 Мб обеспечивает оптимальный баланс между объемом памяти компьютера, осуществляющего способ, и длиной очереди для сохранения блоков данных на нескольких съемных запоминающих устройствах. Например, небольшой персональный компьютер имеет память объемом приблизительно 512 Мб, и блок размером 8 Мб является достаточно маленьким, чтобы не перегружать целевой компьютер с памятью такого размера, в то же время блок данных размером 8 Мб является достаточно большим, так что использование центрального процессора (ЦП) представляет собой преимущественно время ядра, так что обработка является настолько эффективной, насколько возможно.
Обращаясь к этапам 211, 213, 215, система работает так, что каждый блок данных считывают с целевой цифровой памяти на этапе 211, создают его образ и распределяют для сохранения на одном из обнаруженных съемных запоминающих устройств (СЗУ). Распределение определяют согласно иерархической системе управления очередью. Каждое съемное запоминающее устройство имеет очередь данных, подлежащих сохранению. Блок данных предпочтительного размера 8 Мб выбирают для совместимости с длиной очереди, чтобы избежать холостой хода вывода. На этапе 213 каждый блок данных, который считан, распределяют в самую короткую очередь СЗУ. Каждый блок данных, таким образом, распределяют на СЗУ, в настоящее время имеющее наименьший объем данных для сохранения, и/или СЗУ с наибольшей скоростью. Это гарантирует максимальную эффективность сохранения среди нескольких съемных запоминающих устройств. Система управления очередью является динамической, благодаря чему очередь каждого съемного запоминающего устройства постоянно отслеживают.
Обращаясь к фиг.2b, распределение каждого блока данных начинается на этапе 222 до того, как система считывает блок данных на этапе 224. На этапе 226 система выбирает следующее устройство СЗУ вывода и на этапе 228 спрашивает, имеет ли это устройство самую короткую очередь. Если на этапе 230 обнаруживают, что устройство имеет самую короткую очередь, блок данных добавляют в эту очередь, т.е. на хранение на это СЗУ. Однако если СЗУ не имеет самую короткую очередь на этапе 228, система переходит к этапу 226, чтобы выбрать следующее СЗУ в списке и снова спросить, на этапе 228, имеет ли это устройство самую короткую очередь.
Когда система повторила необходимые этапы, чтобы прийти к СЗУ с самой короткой очередью, на этапе 230 она проверяет, является ли очередь достаточно короткой, чтобы позволить эффективное сохранение блока данных. Если очередь не является достаточно короткой, и добавление блока данных, вероятно, навредит эффективности системы, добавление блока данных откладывают на этапе 232. Если очередь является достаточно короткой, блок данных добавляют к очереди выбранного СЗУ, на этапе 234. На этапе 236 система динамического управления очередью продолжает распределять каждый блок данных таким же образом, пока не будет создан и сохранен образ всех данных, и способ завершается, на этапе 238.
Обращаясь к фиг.2a, считывание, создание образа и сохранение цифровой памяти целевого компьютера продолжают, пока больше не остается данных для считывания, и на этапе 215 обнаруживают конец файла (EOF). Таким образом, процесс создания образа продолжается, пока не создан образ всей целевой памяти, и способ завершается на этапе 220.
Одновременно с процессом считывания и сохранения образа, 211, 213, 215, система обнаруживает на этапе 217, заполнено ли какое-либо из устройств хранения данных (СЗУ). Про обнаружение заполненного устройства хранения данных пользователя уведомляют через системное устройство отображения. Это дает пользователю возможность снять заполненное устройство и заменить новым СЗУ, имеющим память для сохранения. Система также обнаруживает на этапе 217, вставлено ли новое устройство хранения данных, или снято или отключено ли заполненное устройство хранения данных от целевого компьютера. Система не ограничивает число снятий/отключений или вставок/подключений устройств хранения данных в одном процессе создания образа. Таким образом, нет ограничения на объем данных, образ которых может быть создан системой настоящего изобретения.
Как представлено на фиг.2a, процесс создания образа продолжается, пока не создан образ всей цифровой памяти целевого компьютера. Во время создания образа, объем данных, образ которых был создан, и остающейся части данных, образ которых предстоит создать, отслеживают, чтобы избежать любой нехватки объема памяти или любого последующего падения в скорости передачи данных. В дополнительных вариантах осуществления изобретения «дросселирование считывания» и «сборку мусора» начинают в промежутках во время процесса создания образа, когда такие процессы показали себя наиболее эффективными. Дросселирование считывания начинают всякий раз, когда самая короткая из очередей вывода СЗУ содержит 20 элементов. Сборку мусора выполняют в то же время, когда новый буфер не может быть выделен операционной системой.
На этапе 220, когда процесс создания образа завершен, данные, которые были собраны, будут преобразованы в файл образа. Интерфейс пользователя обеспечивает подходящие визуальные представления для запроса начала преобразования у пользователя.
Обращаясь к фиг.2a и этапу 211, целевые данные, образ которых необходимо создать, считывают в блоках. Каждый блок данных содержит заголовок размером 4096 байт, за которым следует сегмент данных, образ которых необходимо создать. Заголовок содержит информацию в виде строки текста со следующими полями:
i) Порядковый номер блока данных: (0, 1, 2, 3....n);
ii) Длина данных: количество байтов сегмента данных;
iii) Значение сжатия: если это значение равно нулю, то данные не сжаты. Если оно не равно нулю, оно относится к способу, использованному для сжатия сегмента данных. В предпочтительных вариантах осуществления настоящего изобретения сжатие выполняют алгоритмом «gzip»;
i) Адрес источника: адрес на целевом запоминающем устройстве, с которого был извлечен блок данных;
ii) Метка времени: указывает, когда началось создание образа данных;
iii) Уникальный идентификатор хода сбора данных: 16-байтный глобально уникальный идентификатор (GUID), сгенерированный в начале процесса сбора данных.
Порядковый номер и значение сжатия применяют при повторном объединении данных образа на этапе 220 для формирования файла образа целевой цифровой памяти. Метка времени и уникальный идентификатор позволяют подтверждать подлинность данных образа.
В альтернативном варианте осуществления настоящего изобретения, если пользователь не имеет доступа к «ведущему» устройству, содержащему систему создания образа цифровой памяти, способ включает дополнительный этап перед этапом 201, на котором пустое USB устройство подключают к целевому компьютеру и систему создания образа цифровой памяти загружают через Интернет. Указания о том, как загружать систему, предоставляют отдельно на USB, или, альтернативно, краткие указания предоставляют на USB относительно доступа к загрузке. Предусматривается, что, в предпочтительном варианте осуществления, пользователю будет разрешено получать доступ к системе или ему будет дано разрешение загружать систему с помощью лицензии, предоставленной на USB устройстве. Пользователь затем будет иметь возможность проверять несколько съемных устройств хранения данных согласно их требованиям.
Как показано результатами испытаний, представленными в Приложении 1, скорость создания образа увеличивают путем эффективного разделения процесса создания образа между несколькими устройствами хранения данных, подключенными к целевой машине. Устройства хранения данных могут быть вставлены в каждый из следующих портов в любом сочетании: USB 1.0; USB2.0; USB3.0; PCIe; разъемы карт; разъемы карт SD; Apple (RTM) FireWire (RTM) и Apple (RTM) Thunderbolt (RTM). С несколькими устройствами хранения данных, подключенными к целевой машине, образ диска эффективно разделяют между различными портами, а значит и различными каналами шины материнской карты. Это увеличивает скорость и эффективность создания образа, а также позволяет разделять размер целевого диска между несколькими устройствами хранения данных.
Обращаясь к фиг.3 и альтернативному варианту осуществления системы создания образа согласно настоящему изобретению, вышеописанный способ может быть выполнен в течение нескольких сессий, поскольку способ включает возможность выбора запускать и останавливать процесс по требованию. Альтернативный вариант осуществления, представленный на фиг.3, позволяет пользователю останавливать и сохранять результаты создания образа перед возобновлением способа создания образа, т.е. систему переводят в режим ожидания. На этапе 300 процесс создания образа начинается, и на этапе 301 система создает журнальный файл, соответствующий текущему адресу, образ которого создается, и адрес сохраняют в журнальном файле. На этапе 302 система создает главный файл образа, в котором будут сохранены данные образа. На этапе 303, перед началом создания образа, текущий адрес цифровой памяти устанавливают в начало.
На этапе 304 процесс создания образ начинает создавать образ цифровой памяти целевого компьютера, и результаты образа сохраняют в рабочий файл. В ходе выполнения создания образа адрес цифровой памяти увеличивают и индексируют, и журнальный файл обновляют. Например, в среде Windows каждый байт на дисковом устройстве или твердотельном накопителе (SSD) индексируют как порядковый номер от нуля, с порядковыми номерами в нескольких отдельных диапазонах, используемыми для индексирования каждого байта в ОЗУ. На этапе 305 система отслеживает, прерывают ли процесс создания образа. Если происходит прерывание, на этапе 306 система отслеживает, был ли возобновлён процесс. После прерывания, на этапе 307, когда процесс возобновляют, журнальный файл используют для указания системе возобновить процесс создания образа с точки прерывания.
Способ создания образа продолжается, пока, рабочий файл образа на этапе 308 не станет полным. На этапе 309 рабочий файл добавляют к главному файлу образа, и рабочий файл образа очищают. Этап 310 приращивает адрес цифровой памяти, и рабочий файл соответственно обновляют. Этот процесс обновления рабочего файла и проверки на прерывания продолжается, пока, на этапе 311, система не достигает конца целевой цифровой памяти или пользователь не останавливает процесс. Процесс завершается на этапе 312. Если пользователь останавливает процесс, результат образа в текущем рабочем файле игнорируют, и пользователь получит образ только части целевой цифровой памяти. Если требуется, могут быть использованы несколько главных файлов образа, и, когда главный файл образа достигает предопределенного размера, создают новый главный файл образа. Это позволяет пользователю собирать часть цифровой памяти в любой сессии и создавать образ всей цифровой памяти в течение нескольких сессий.
Вышеописанные варианты осуществления были даны только в качестве примера, и специалист в данной области техники естественно поймет, что в них могут быть осуществлены многие изменения, не отходя от объема формулы изобретения.
Любые значения, указанные в данном документе, являются иллюстративными и никоим образом не ограничивающими настоящее изобретение. По прочтении настоящего описания, специалист в данной области техники поймет широкий ряд других параметров, которые могут быть использованы для реализации системы и способа создания образа цифровой памяти. Все такие альтернативы и модификации предусмотрены в рамках объема настоящего изобретения, как определено пунктами формулы изобретения.
Многочисленные модификации и альтернативные варианты осуществления настоящего изобретения будут очевидны специалистам в данной области техники в свете предшествующего описания. Соответственно, это описание необходимо понимать только как иллюстративное и как данное с целью представления специалистам в данной области техники наилучшего варианта осуществления настоящего изобретения. Детали изобретения могут существенно различаться, не отходя от существа настоящего изобретения, и резервируется исключительное использование всех модификаций, которые попадают в рамки объема прилагаемой формулы изобретения. Подразумевается, что настоящее изобретение должно быть ограничено только до степени, требуемой прилагаемой формулой изобретения и применимыми правовыми нормами.
Также необходимо понимать, что следующие пункты формулы изобретения должны покрывать все общие и специфические признаки изобретения, описанного в данном документе, и все утверждения объема изобретения, о которых, с языковой точки зрения, можно сказать, что они попадают в его рамки.
Приложение 1
Для сравнения, чтобы продемонстрировать улучшенные скорость и эффективность настоящего изобретения, в Таблице 1 представлены экспериментальные данные времени, использованного для создания образа целевого жесткого диска с помощью одного USB порта с применением известной технологии создания образов, FTK Imager v3 1.3.2 Forensic Toolkit® Imager от AccessData® Group, при этом диск подключен к Tableau TD1 Forensic Duplicator от Guidance Software, Inc.
| Ноутбук | Жесткий диск | ЦП | ОЗУ (Гб) | Tableau TD1 Drive Imager | FTK Imager (USB 2.0) | FTK Imager (USB 2.0) | |||
| Время создания образа (мин) | Скорость (Гб/мин) | Время (мин) | Скорость (Гб/мин) | Время (мин) | Скорость (Гб/мин) |
||||
| Испытание 1 | |||||||||
| Dell Latitude (RTM) E6230 |
Hitachi HTS7250 32A7E63 0 320 Гб 7200 об/мин |
Core i5 3380M Processor | 4 | 76 | 4,211 | 230,05 | 1,391 | 82,13 | 3,896 |
| Испытание 2 | |||||||||
| Dell Alienware M18x | Samsung PM830 256 Гб SSD |
Core i7 3920X M Processor @ 3.1 GHz | 16 | 50,55 | 5,064 | Нет портов USB 2.0 | 40,85 | 6,267 | |
| Испытание 3 | |||||||||
| Dell Vostro 3450 |
Samsung HM320HJ 320 Гб 7200 об/мин |
Core i5 2410M Processor @2.3 GHz |
4 | 77,80 | 4,113 | 224 | 1,429 | 84,58 | 3,783 |
Таблица 1
Таблица 2 представляет экспериментальные данные времени, использованного для создания образа целевого жесткого диска с помощью системы и способа создания образа цифровой памяти согласно настоящему изобретению, с различными используемыми портами, чтобы использовать сочетание устройств хранения данных, подключенных к целевой машине.
| Ноутбук | Жесткий диск | ЦП | ОЗУ (Гб) | Производительность при включенном ноутбуке | Производительность при выключенном ноутбуке | |||
| Время создания образа (мин) |
Скорость (Гб/мин) | Время (мин) | Скорость (Гб/ мин) | Используемые порты | ||||
| Испытание 1 | ||||||||
| Dell | Hitachi | Core | 4 | 75,98 | 4,212 | 69,52 | 4,604 | 1 х |
| Latitude | HTS7250 | i5 | USB2.0 | |||||
| (RTM) | 32A7E63 | 3380M | 2 x | |||||
| E6230 | 0 | Proces | USB3.0 | |||||
| 320 Гб | sor | |||||||
| 7200 об/мин | ||||||||
| Испытание 2 | ||||||||
| Dell | Samsung | Core i7 | 16 | 11,33 | 22,59 | 13,52 | 18,94 | 2 x |
| Alienwa | PM830 | USB3.0 | ||||||
| re M18x | 256 Гб | 3920X | 1 х | |||||
| SSD | M | eSATA | ||||||
| Proces | ||||||||
| sor @ | ||||||||
| 301GHz | ||||||||
| Испытание 3 | ||||||||
| Dell | Samsung | Core | 4 | 58,52 | 5,469 | 73,00 | 4,385 | 2 x |
| Vostro | HM320HJ | i5 | USB2.0 | |||||
| 3450 | 320 Гб | 2410M | 2 x | |||||
| 7200 об/мин | Proces | USB3.0 | ||||||
| sor | 1 x PCIe | |||||||
| @2.3GHz | USB3.0 | |||||||
| Card |
Таблица 2
Обсуждение результатов испытания
Можно видеть, что настоящее изобретение повышает скорость и сокращает время, используемое при создании образа данных.
В случае твердотельных накопителей (SSD) повышение скорости создания образа, предлагаемое настоящим изобретением, является существенным. Испытания, изложенные в данном документе, показывают скорость создания образа, которая приблизительно в 4-5 раз выше, чем у известных устройств.
Со ссылкой на Испытание 2, проведенное для диска SSD, система TD1 имеющегося уровня техники создала образ диска за 50 минут 33 секунды со скоростью 5,064 Гб/мин; система имеющегося уровня техники FTK создала образ диска за 40 минут 51 секунду со скоростью 6,267 Гб/мин. Система создания образа настоящего изобретения создала образ диска за 11 минут и 20 секунд с гораздо более высокой скоростью 22,59 Гб/мин.
Увеличение скорости создания образа является дополнением к сэкономленному времени, поскольку настоящее изобретение не требует снятия диска с целевого компьютера, т.е. система согласно настоящему изобретению позволяет создавать образ цифровой памяти целевого компьютера с диском SSD, остающимся на своем месте в компьютере. Чтобы позволить создание образа крутящегося диска, т.е. не SSD диска, система TD1 имеющегося уровня техники требует снятия жесткого диска с целевого компьютера и установки на устройство создания образа TD1 для осуществления создания образа. Снятие обычно занимает по меньшей мере 20 минут в дополнение к требующемуся времени создания образа. Диск затем необходимо вернуть на место, не оставляя признаков его снятия/возврата. В некоторых компьютерных системах жесткие диски расположены за экранами или расположены в других недоступных областях, или даже с печатями защиты от несанкционированного вскрытия и т.п., что делает снятие/возврат невозможным в скрытых расследованиях.
Со ссылкой на Испытание 3, выполненное для не SSD, дискообразного накопителя, система TD1 имеющегося уровня техники создала образ диска за 77 минут 48 секунд со скоростью 4,113 Гб/мин, и потребовалось 40 минут для снятия и возврата диска с целевого компьютера. Настоящее изобретение создало образ диска за 58 минут 31 секунду со скоростью 5,469 Гб/мин без необходимости снимать диск с целевого компьютера.
Испытание 3 также показывает, что добавление дополнительной карты PCIe Express увеличивает производительность USB 3.0 и повышает скорость создания образа, а значит и эффективность извлечения данных с целевого устройства.
В заключение, было показано, что система и способ создания образа согласно настоящему изобретению предлагают существенно более высокую скорость создания образа, так что требуется существенно меньше времени для создания образа.
Приложение 2
Чтобы оптимизировать создание образа целевой цифровой памяти, на обычной системе среднего уровня было выполнено испытание скорости передачи для изменяющегося размера буфера считывания и размера буфера записи. Система имела 8 Гб памяти, диск Western Digital "Green" 5400 RPM и четыре порта USB 2.0. Каждое испытание было проведено на одной и той же машине только с изменяющимся размером буфера между испытаниями. Результаты этого испытания обобщены в Таблице 3.
Таблица 3
Обсуждение результатов испытания
По итогам испытания был сделан вывод, что при условии, что размер буфера считывания кратен размеру буфера записи, скорость передачи является удовлетворительной.
1. Система создания образа цифровой памяти для создания образа цифровой памяти целевого компьютера, содержащая
несколько съемных устройств хранения данных, каждое из которых выполнено с возможностью соединения с целевым компьютером;
устройство создания образа, выполненное с возможностью создавать образ цифровой памяти целевого компьютера;
устройство вывода для вывода образа цифровой памяти в виде последовательности блоков данных на два или более съемных устройств хранения данных; и
устройство распределения, выполненное с возможностью распределять каждый блок данных образа цифровой памяти на выбранное съемное устройство хранения данных согласно системе управления очередью, отличающаяся тем, что каждое съемное устройство хранения данных имеет очередь данных, подлежащих сохранению, которую постоянно отслеживают.
2. Система создания образа цифровой памяти по п. 1, отличающаяся тем, что несколько съемных устройств хранения данных содержат любое сочетание USB; внешнего диска eSata; карты SD; карты micro SD.
3. Система создания образа цифровой памяти по п. 1, отличающаяся тем, что устройство распределения выполнено с возможностью распределять каждый блок данных образа цифровой памяти с учетом свободной памяти, доступной на каждом съемном устройстве хранения данных, и/или скорости съемного устройства хранения данных.
4. Система создания образа цифровой памяти по п. 1, отличающаяся тем, что дополнительно содержит устройство отображения.
5. Система создания образа цифровой памяти по п. 1, отличающаяся тем, что дополнительно содержит устройство маркировки, чтобы маркировать каждый блок образа данных заголовком, содержащим любое сочетание порядкового номера; длины блока данных; адреса источника; значения сжатия; метки времени; уникального идентификатора.
6. Система создания образа цифровой памяти по п. 1, отличающаяся тем, что дополнительно содержит устройство сохранения, причем устройство сохранения реагирует на прерывание создания образа цифровой памяти, чтобы сохранять полученный образ цифровой памяти в точку прерывания.
7. Способ создания образа цифровой памяти для создания образа цифровой памяти целевого компьютера, включающий этапы
подключения нескольких съемных устройств хранения данных к целевому компьютеру;
создания образа цифровой памяти целевого компьютера;
вывода образа цифровой памяти в виде последовательности блоков данных на два или более съемных устройства хранения данных; и
распределения каждого блока образа цифровой памяти на выбранное съемное устройство хранения данных согласно системе управления очередью, причем каждое съемное устройство хранения данных имеет очередь данных, подлежащих сохранению, которую постоянно отслеживают.
8. Способ создания образа цифровой памяти по п. 7, отличающийся тем, что каждый блок данных образа цифровой памяти распределяют с учетом свободной памяти, доступной на каждом съемном устройстве хранения данных, и/или скорости съемного устройства хранения данных.
9. Способ создания образа цифровой памяти по п. 7, отличающийся тем, что дополнительно включает этап отображения информации о выполнении, относящейся к системе создания образа.
10. Способ создания образа цифровой памяти по п. 7, отличающийся тем, что дополнительно включает этап маркировки каждого блока данных образа заголовком, содержащим любое сочетание порядкового номера; длины блока данных; адреса источника; значения сжатия; метки времени; уникального идентификатора.
11. Способ создания образа цифровой памяти по п. 7, отличающийся тем, что дополнительно включает этап сохранения образа цифровой памяти в точке прерывания.
