Publicatie:Write blockers gebruiken
In deze handleiding kom je te weten hoe je een write blocker kunt gebruiken bij het capteren van de inhoud van verouderde dragers.
| Titel | Write blockers gebruiken (Voorkeurstitel) |
| Locatie | |
| Uitgever | |
| Jaar van uitgave | 2020 |
| Rechten | CC-BY-SA |
| Persistent ID |
Wat?
Write blockers zijn hard- en software die het mogelijk maken om externe media te lezen zonder dat het besturingssysteem schrijft op de drager. Besturingssystemen schrijven soms in functie van performantie onzichtbare bestanden weg, denk aan het thumbs.db-bestand op Windows of DS_Store op Mac.
Een write blocker verzekert met andere woorden dat de inhoud van de drager authentiek en ongewijzigd blijft. In de publicatie Write blockers vind je meer informatie over write blockers.
Een write blocker gebruiken
Voor leestoestellen met USB-aansluiting
Write blocker
| Model | Tableau Forensic USB 3.0 Bridge T8U
|
|---|---|
| Compatibele leestoestellen |
|
| Interface | USB |
| Connector | USB 3.0 |
| Kabel | Aansluiting met werkstation via blauwe USB 3.0 kabel (USB 3.0 type B naar type A)
|
| Power | Via een 5-pin DIN connector
|
.jpg){kind=link}
Workflow
Stap 1: Sluit de write blocker aan met de voeding en zet hem aan met de power knop.
Stap 2: Connecteer het leestoestel met de write blocker. De write blocker heeft een device-kant (rechts) en een host-kant. Sluit het leestoestel met de USB-kabel aan aan de device-kant.
Stap 3: Connecteer de write blocker met het werkstation. Gebruik hiervoor de blauwe USB 3.0-kabel aan de host-kant (links) van de write blocker. Het groene lichtje bij host brandt nu.
Als je nu een drager in het leestoestel steekt, zie je na een paar minuten dat het leestoestel (de device) herkend wordt. Onder meer de naam en het aantal sectoren van de drager verschijnen op de display van de write blocker. Er brandt nu ook een groen lichtje bij Device. Wanneer de drager benaderd wordt door de computer, bijvoorbeeld als je de inhoud van de drager inspecteert of als je een disk image maakt, dan verschijnt er een rood lampje bij Activity. Dit betekent dat eventuele schrijfacties van het werkstation geblokkeerd worden.
Voor leestoestellen met IDE-aansluiting
Write blocker
| Model | Tableau Forensic SATA/IDE Bridge T35u
|
|---|---|
| Compatibele leestoestellen |
|
| Interface | |
| Connector | USB 3.0 |
| Kabel | Aansluiting met werkstation via blauwe USB 3.0 kabel (USB 3.0 type B naar type A)
|
| Power | Via een 5-pin DIN connector
|
Workflow
Stap 1: Connecteer het leestoestel of de harde schijf met de write blocker. De write blocker heeft een device-kant (rechts) en een host-kant. Sluit het leestoestel of de harde schijf aan met de SATA- of IDE-kabel aan de device-kant.
Stap 2: Connecteer de write blocker met het werkstation. Gebruik hiervoor de blauwe USB 3.0-kabel aan de host-kant (links) van de write blocker. Het groene lichtje bij host brandt nu.
Stap 3: Sluit de write blocker aan met de voeding en zet hem aan met de power knop.
Als je nu een drager in het leestoestel steekt, zie je na een paar minuten dat het leestoestel (de device) herkend wordt. Hetzelfde zie je als je geen leestoestel, maar een harde schijf aangesloten hebt. Onder meer de naam en het aantal sectoren van de drager verschijnen op de display van de write blocker. Er brandt nu ook een groen lichtje bij Device. Wanneer de drager benaderd wordt door de computer, bijvoorbeeld als je de inhoud van de drager inspecteert of als je een disk image maakt, dan verschijnt er een rood lampje bij Activity. Dit betekent dat eventuele schrijfacties van het werkstation geblokkeerd worden.