Publicatie:Workflow voor het capteren van harde schijven
Dit document beschrijft de opstelling en een stap-voor-stap handleiding om de workflow voor het capteren van harde schijven te doorlopen. Harde schijven zijn dragers die intern aanwezig zijn in computers of die extern aangesloten kunnen worden voor extra opslag. Ze werden in 1956 ontwikkeld door IBM en zijn sindsdien de meest dominante toepassing voor de opslag van data. In deze handleiding wordt er gefocust op harde schijven die een SATA- en IDE-interface hebben.
Externe harde schijven hebben vaak een externe behuizing die het mogelijk maakt om via USB de harde schijf aan de computer aan te sluiten. Je kan ze best uit de behuizing halen en deze workflow volgen. Capteren via SATA en IDE gaat immers sneller dan via USB. Meestal kan je de behuizing openen door een aantal vijsjes los te schroeven.
Voor M.2 SATA SSD’s kan je deze handleiding niet gebruiken. Hiervoor zal in de toekomst een aparte workflow opgesteld worden.
Titel | Workflow voor het capteren van harde schijven (Voorkeurstitel) |
Locatie | |
Uitgever | |
Jaar van uitgave | 2023 |
Rechten | CC-BY-SA |
Persistent ID |
Hardware
Optie 1: SATA/IDE write blocker
Bij deze optie heb je enkel een write blocker nodig om de harde schijf te verbinden met het werkstation.
Model | Tableau Forensic SATA/IDE Bridge T35u |
---|---|
Dragers |
|
Interface | |
Connector | USB 3.0 |
Kabel | Aansluiting met werkstation via blauwe USB 3.0 kabel (USB 3.0 type B naar type A) |
Power | Via een 5-pin DIN connector |
Optie 2: Docking station met USB write blocker (enkel SATA)
Met deze optie kan je meteen vier harde schijven aansluiten aan het werkstation
Docking station
Model | 4-Bay USB 3.0 SATA 2.5"/3.5" SSD/HDD Docking Station |
---|---|
Dragers |
|
Interface | USB |
Connector | USB 3.0 |
Kabel | USB 3.0 type B naar type A |
Power | via DC pin |
Write blocker
Model | Tableau Forensic USB 3.0 Bridge T8U |
---|---|
Interface | USB |
Connector | USB 3.0 |
Kabel | Aansluiting met werkstation via blauwe USB 3.0 kabel (USB 3.0 type B naar type A) |
Power | Via een 5-pin DIN connector |
Werkstation
Een computer met de Bitcurator omgeving als besturingssysteem (wij gebruiken een dual boot Dell XPS).
Software
Optie 1: Guymager
Guymager wordt gebruikt om disk images te maken van harde schijven. Daarbij wordt een identieke kopie van de harde schijf gemaakt.
Voordelen:
- Je hebt een identieke kopie waarbij ook de originele omgeving van de harde schijf bewaard wordt, zoals de historiek van de bestanden, metadata en het bestandssysteem. Oude bestandssystemen van Mac gebruikten bijvoorbeeld geen extensies, maar bewaarde de gegevens van bestanden in metadata op het bestandssysteem.
- Minder kans op infecties door virussen omdat de inhoud van de harde schijf niet ingelezen wordt en geen individuele files geëxporteerd worden.
- Om dezelfde reden als het voorgaande puntje, is er ook geen kans op het per ongeluk verwijderen of wijzigen van een bestand op de harde schijf.
- Doordat de harde schijf niet ingelezen hoeft te worden, kan je ook kopieën maken van harde schijven die beschadigd zijn, waarvan het bestandssysteem niet compatibel is met het werkstation of waar je geen leesrechten op hebt.
Nadelen:
- Disk images van harde schijven resulteren in grote bestanden. Doordat een integrale kopie gemaakt wordt, wordt ook alle lege ruimte weggeschreven in het bestand. Ook als je een 3TB harde schijf hebt waar slechts 50MB van gebruikt is, zal je een disk image hebben van 3TB
We raden deze workflow vooral aan voor harde schijven die gebruikt werden om computers waarvan het besturingssysteem obsoleet is (bv. Amiga) en voor Mac-computers. Als je in de toekomst emulatie wil gebruiken om bestanden te visualiseren, dan raden we ook deze methode aan.
Optie 2: Grsync
Grysnc is een GUI-alternatief voor het command line programma Rsync. Het wordt gebruikt om bestanden op een veilige manier te kopiëren van een computer naar een externe opslaglocatie of over een netwerk. (G)rsync controleert door middel van checksums of de bestanden correct overgezet werden en kan metadata, zoals bewerkingsdatum, ongewijzigd kopiëren.
Voordelen:
- Je bewaart enkel de bestanden op de harde schijf. In tegenstelling tot bij disk images wordt lege ruimte niet mee opgenomen.
- Daarom gaat het overzetten sneller dan bij het maken van disk images.
- Het is meer configureerbaar. Zo kan je bv. een lijst van bestanden of bestandsformaten meegeven waarvan je niet wil dat ze overgezet worden (bv. systeembestanden).
- Rsync is een command line tool en bijgevolg automatiseerbaar.
Nadelen:
- De originele omgeving van de bestanden gaat verloren. Metadata die weggeschreven wordt in het bestandssysteem komen niet mee. Wanneer je met emulatie aan de slag wil gaan, is het mogelijk dat je belangrijke informatie verliest.
- Je kan deze methode niet gebruiken als het bestandssysteem niet compatibel is met het bestandssysteem van het werkstation.
- Wanneer een harde schijf beschadigd is en niet ingelezen kan worden door het werkstation, is deze methode ook niet bruikbaar.
Disk images maken draagt onze voorkeur weg, maar deze methode kan je gebruiken als je weinig tijd hebt en/of als je werkt met recente harde schijven waarvan het bestandssysteem compatibel is met het werkstation. We raden deze methode ten zeerste af voor harde schijven van computers met obsolete bestuurssystemen en harde schijven die gebruikt werden op Mac.
Workflow
Optie 1: Captatie met write blocker
Stap 1: koppel de harde schijf via de write blocker met het werkstation
Workflow SATA en IDE write blocker aansluiten
Stap 2: Capteer de inhoud van de harde schijf
Maak een keuze of je een disk image wil maken van de volledige harde schijf of dat je enkel de bestanden op de harde schijf wil exporteren. Wij raden de disk image aan.
Afhankelijk van je keuze:
- Maak een disk image met Guymager;
- Exporteer je bestanden met Grsync. Als je vertrouwd bent met de command line en rsync, kan je ook rsync gebruiken. Gebruik dan de archive optie via
rsync -a
Stap 3: Verwijder de harde schijf
- Indien de harde schijf gemount is, verwijder de harde schijf dan op een veilige manier.
- Schakel de write blocker uit.
- Ontkoppel de harde schijf van de write blocker.
Optie 2: Captatie met een docking station
Stap 1: koppel het docking station via de write blocker met het werkstation
Gebruik hiervoor de workflow USB write blocker aansluiten.
Stap 2: steek de harde schijf in het docking station
Je kan tot vier harde schijven in het docking station steken. Steek de harde schijven er zo in dat de aansluitingen van de harde schijf overeenkomen met die van het docking station. De harde schijven klikken er makkelijk in.
Stap 3: Capteer de inhoud van de harde schijf
Maak een keuze of je een disk image wil maken van de volledige harde schijf of dat je enkel de bestanden op de harde schijf wil exporteren. Wij raden de disk image aan.
Afhankelijk van je keuze:
- Maak een disk image met Guymager;
- Exporteer je bestanden met Grsync. Als je vertrouwd bent met de command line en rsync, kan je ook rsync gebruiken. Gebruik dan de archive optie via
rsync -a
Stap 4: Verwijder de harde schijf
- Indien de harde schijf gemount is, verwijder de harde schijf dan op een veilige manier.
- Schakel de write blocker uit.
- Haal de harde schijf uit het docking station.