Publicatie:Workflow voor het capteren van harde schijven

Uit Meemoo Kennisbank
Naar navigatie springen Naar zoeken springen


Samenvatting

Dit document beschrijft de opstelling en een stap-voor-stap handleiding om de workflow voor het capteren van harde schijven te doorlopen. Harde schijven zijn dragers die intern aanwezig zijn in computers of die extern aangesloten kunnen worden voor extra opslag. Ze werden in 1956 ontwikkeld door IBM en zijn sindsdien de meest dominante toepassing voor de opslag van data. In deze handleiding wordt er gefocust op harde schijven die een SATA- en IDE-interface hebben.

Externe harde schijven hebben vaak een externe behuizing die het mogelijk maakt om via USB de harde schijf aan de computer aan te sluiten. Je kan ze best uit de behuizing halen en deze workflow volgen. Capteren via SATA en IDE gaat immers sneller dan via USB. Meestal kan je de behuizing openen door een aantal vijsjes los te schroeven.

Voor M.2 SATA SSD’s kan je deze handleiding niet gebruiken. Hiervoor zal in de toekomst een aparte workflow opgesteld worden.


Referentie
Titel Workflow voor het capteren van harde schijven (Voorkeurstitel)
Locatie
Uitgever
Jaar van uitgave 2023
Rechten CC-BY-SA
Persistent ID


Hardware

Optie 1: SATA/IDE write blocker

Bij deze optie heb je enkel een write blocker nodig om de harde schijf te verbinden met het werkstation.

Model Tableau Forensic SATA/IDE Bridge T35u

write blocker met SATA en IDE interface

Dragers
  • Iedere drager met SATA-interface
  • Iedere drager met IDE-interface
Interface
Connector USB 3.0
Kabel Aansluiting met werkstation via blauwe USB 3.0 kabel (USB 3.0 type B naar type A)
USB-3.jpg
Power Via een 5-pin DIN connector
Power-5-pin.jpg

Optie 2: Docking station met USB write blocker (enkel SATA)

Met deze optie kan je meteen vier harde schijven aansluiten aan het werkstation

Docking station

Model 4-Bay USB 3.0 SATA 2.5"/3.5" SSD/HDD Docking Station
Dragers
  • 2,5 inch SATA HDD
  • 3,5 inch SATA HDD
  • 2,5 inch SATA SDD
  • 3,5 inch SATA SDD
Interface USB
Connector USB 3.0
Kabel USB 3.0 type B naar type A
Power via DC pin

Write blocker

Model Tableau Forensic USB 3.0 Bridge T8U
Write blocker.JPG
Interface USB
Connector USB 3.0
Kabel Aansluiting met werkstation via blauwe USB 3.0 kabel (USB 3.0 type B naar type A)
USB-3.jpg
Power Via een 5-pin DIN connector
Power-5-pin.jpg

Werkstation

Een computer met de Bitcurator omgeving als besturingssysteem (wij gebruiken een dual boot Dell XPS).

Software

Optie 1: Guymager

Guymager wordt gebruikt om disk images te maken van harde schijven. Daarbij wordt een identieke kopie van de harde schijf gemaakt.

Voordelen:

  • Je hebt een identieke kopie waarbij ook de originele omgeving van de harde schijf bewaard wordt, zoals de historiek van de bestanden, metadata en het bestandssysteem. Oude bestandssystemen van Mac gebruikten bijvoorbeeld geen extensies, maar bewaarde de gegevens van bestanden in metadata op het bestandssysteem.
  • Minder kans op infecties door virussen omdat de inhoud van de harde schijf niet ingelezen wordt en geen individuele files geëxporteerd worden.
  • Om dezelfde reden als het voorgaande puntje, is er ook geen kans op het per ongeluk verwijderen of wijzigen van een bestand op de harde schijf.
  • Doordat de harde schijf niet ingelezen hoeft te worden, kan je ook kopieën maken van harde schijven die beschadigd zijn, waarvan het bestandssysteem niet compatibel is met het werkstation of waar je geen leesrechten op hebt.

Nadelen:

  • Disk images van harde schijven resulteren in grote bestanden. Doordat een integrale kopie gemaakt wordt, wordt ook alle lege ruimte weggeschreven in het bestand. Ook als je een 3TB harde schijf hebt waar slechts 50MB van gebruikt is, zal je een disk image hebben van 3TB

We raden deze workflow vooral aan voor harde schijven die gebruikt werden om computers waarvan het besturingssysteem obsoleet is (bv. Amiga) en voor Mac-computers. Als je in de toekomst emulatie wil gebruiken om bestanden te visualiseren, dan raden we ook deze methode aan.

Optie 2: Grsync

Grysnc is een GUI-alternatief voor het command line programma Rsync. Het wordt gebruikt om bestanden op een veilige manier te kopiëren van een computer naar een externe opslaglocatie of over een netwerk. (G)rsync controleert door middel van checksums of de bestanden correct overgezet werden en kan metadata, zoals bewerkingsdatum, ongewijzigd kopiëren.

Voordelen:

  • Je bewaart enkel de bestanden op de harde schijf. In tegenstelling tot bij disk images wordt lege ruimte niet mee opgenomen.
  • Daarom gaat het overzetten sneller dan bij het maken van disk images.
  • Het is meer configureerbaar. Zo kan je bv. een lijst van bestanden of bestandsformaten meegeven waarvan je niet wil dat ze overgezet worden (bv. systeembestanden).
  • Rsync is een command line tool en bijgevolg automatiseerbaar.

Nadelen:

  • De originele omgeving van de bestanden gaat verloren. Metadata die weggeschreven wordt in het bestandssysteem komen niet mee. Wanneer je met emulatie aan de slag wil gaan, is het mogelijk dat je belangrijke informatie verliest.
  • Je kan deze methode niet gebruiken als het bestandssysteem niet compatibel is met het bestandssysteem van het werkstation.
  • Wanneer een harde schijf beschadigd is en niet ingelezen kan worden door het werkstation, is deze methode ook niet bruikbaar.

Disk images maken draagt onze voorkeur weg, maar deze methode kan je gebruiken als je weinig tijd hebt en/of als je werkt met recente harde schijven waarvan het bestandssysteem compatibel is met het werkstation. We raden deze methode ten zeerste af voor harde schijven van computers met obsolete bestuurssystemen en harde schijven die gebruikt werden op Mac.

Workflow

Optie 1: Captatie met write blocker

Stap 1: koppel de harde schijf via de write blocker met het werkstation

Workflow SATA en IDE write blocker aansluiten

Opstelling voor de captatie van harde schijf met een IDE/SATA write blocker

Stap 2: Capteer de inhoud van de harde schijf

Maak een keuze of je een disk image wil maken van de volledige harde schijf of dat je enkel de bestanden op de harde schijf wil exporteren. Wij raden de disk image aan.

Afhankelijk van je keuze:

Stap 3: Verwijder de harde schijf

  • Indien de harde schijf gemount is, verwijder de harde schijf dan op een veilige manier.
  • Schakel de write blocker uit.
  • Ontkoppel de harde schijf van de write blocker.

Optie 2: Captatie met een docking station

Stap 1: koppel het docking station via de write blocker met het werkstation

Gebruik hiervoor de workflow USB write blocker aansluiten.

Stap 2: steek de harde schijf in het docking station

Je kan tot vier harde schijven in het docking station steken. Steek de harde schijven er zo in dat de aansluitingen van de harde schijf overeenkomen met die van het docking station. De harde schijven klikken er makkelijk in.

Opstelling harde schijf docking station.jpg

Stap 3: Capteer de inhoud van de harde schijf

Maak een keuze of je een disk image wil maken van de volledige harde schijf of dat je enkel de bestanden op de harde schijf wil exporteren. Wij raden de disk image aan.

Afhankelijk van je keuze:

Stap 4: Verwijder de harde schijf

  • Indien de harde schijf gemount is, verwijder de harde schijf dan op een veilige manier.
  • Schakel de write blocker uit.
  • Haal de harde schijf uit het docking station.