900 likes | 1.03k Views
DC-8200PRO 高速硬盘复制机. 简介. 该设备具备了四个强大的主要功能. 1. 硬盘对硬盘高速复制功能. 2. 只读锁功能. 3. 在线调查取证功能. 4. 苹果机不拆机复制功能. 功能特色. 理论复制速度为 6.0G 分钟 同时支持 IDESATASCSI 接口,主流硬盘接口一机搞定 支持一对二硬盘复制,提高复制效率 具有位对位复制功能,同时为了降低现场工作时间提供 快速复制 功能 独创的 单键式 操作,使用十分方便 超强 容错 能力 军用级专用箱,防潮、防水、抗冲击.. 数据传输率. 硬盘对硬盘复制区. 功能列表.
E N D
简介 • 该设备具备了四个强大的主要功能 1.硬盘对硬盘高速复制功能 2.只读锁功能 3.在线调查取证功能 4.苹果机不拆机复制功能
功能特色 • 理论复制速度为6.0G\分钟 • 同时支持IDE\SATA\SCSI接口,主流硬盘接口一机搞定 • 支持一对二硬盘复制,提高复制效率 • 具有位对位复制功能,同时为了降低现场工作时间提供快速复制功能 • 独创的单键式操作,使用十分方便 • 超强容错能力 • 军用级专用箱,防潮、防水、抗冲击.
功能列表 • 位对位复制(Copy) • 快速复制(Quick Copy) • 硬盘对比(Compare) • 硬盘检测(Verify) • 快速格式化硬盘(Quick Erase) • 硬盘擦除(Easy Erase) • 强力擦除(Strong Erase)
正常操作 • 可以在DC-8200PRO的盖子内看到该快速操作提示: 复制就这么简单和快捷.适合现场取证,不容易出错
注意 • 源硬盘与目标硬盘一定要区分清楚,不能接反.一旦接反,原始数据将遭到毁灭性破坏. • 开机后系统会自动置于复制(COPY)模式,而且不再有任何确认提示 • 按下“执行”按钮,程序即开始复制
基本操作—SCSI硬盘 DC-8200PRO支持各种类型SCSI硬盘的复制; DC-8200PRO提供各种SCSI转换器; SCSI 68 SCSI 80 SCSI 50 SCSI硬盘转换器
复制完成后的显示 源盘正常 目标盘正常 完成复制的时间 复制完成的容量 再次按“执行”键 证据数据的CRC32值 复制完成的扇区数
注意事项 • 不能在一个接口区上同时连接2块硬盘。 • 如:不能同在在目标盘接口1上同时连接IDE硬盘和SATA硬盘,在一个接口区内同时只能连接一个硬盘。否则复制机将不能正常工作。
注意事项 • 源硬盘与目标硬盘一定要区分清楚,不能接反.一旦接反,原始数据将遭到毁灭性破坏. 切记,切记
注意事项 • 源硬盘和目标硬盘需设置为主盘(Master). (只针对IDE硬盘) • 目标硬盘>=源硬盘 • 请确认硬盘已经完全连接好后再启动电源,若中途需要更换硬盘,也必须先断开电源. • 为了保证连接正确,IDE数据接口采用防呆设计。连接时请勿“霸王硬上弓”
经验总结 • 针对坏扇区可以选择跳过或不跳过,必须在操作之前事先设置,具体步骤是将系统设定切换到”skip read error”,设置相应的参数 yes—跳过 no—不跳过
经验总结 • 该复制机力求操作简便,因此无任何违规操作提示。 • 即使目标硬盘比源硬盘小,也不会报错。 • 平常使用要多注意细节。 • 建议平时多练习使用,确保在现场不会出现误操作。
经验总结 • 在目标硬盘比源硬盘大的情况下,复制完毕后的剩余部分有可能对分析造成干扰 • 所以在去现场前事先擦除目标硬盘是个不错的做法
常见问题解答 • 问:我在执行擦除操作的时候,为什么按下”执行”键后硬盘刚转起来,屏幕上就显示”power off”,然后操作就停止了? • 回答:复制机的源硬盘端口是受保护的,不允许执行对该端口上的硬盘数据进行修改的操作。出现上述情况是因为待擦除硬盘被接到源硬盘接口。把它接到目标硬盘接口上就可以了
常见问题解答 • 问:我想复制一块SCSI硬盘,但我没有另外一块SCSI硬盘作为目标硬盘,我可以用IDE硬盘代替吗? • 回答:当然可以,你只需要把SCSI硬盘接在SCSI源硬盘接口,把IDE硬盘接在IDE目标硬盘接口就可以复制了.反之亦然。
简介 • 该设备具备了四个强大的主要功能 1.硬盘对硬盘高速复制功能 2.只读锁功能 3.在线调查取证功能 4.苹果机不拆机复制功能
只读锁的司法意义 • 只读锁通过屏蔽写信号,确保不会修改犯罪嫌疑人的硬盘,这样就具有司法有效性 • 电子证据只读锁已经成为计算机取证的标准配置工具,其获取的证据的有效性已经被法庭采信
正常操作步骤-前提条件 总电源开关和只读锁电源开关都处于关闭状态 如果开关是处于“ON”状态,请将它拨到“OFF”状态
操作步骤 • 连接硬盘数据线和硬盘电源线 • 将只读开关切换到“只读”模式,接通只读电源开关 • 连接USB\1394A\1394B数据线、开关电源线、打开总开关
只读锁注意事项1 • 如果出现嫌疑硬盘上的文件的最后访问时间已经改为当前时间,请不用担心。 • 这是并不是只读锁不能正常工作。而是由于系统访问嫌疑人硬盘时把文件最后访问时间缓存在系统中,并未真正写入到硬盘中,将只读锁断电并重新连接后可以发现之前做过的修改都是无效的。
只读锁注意事项2 • 建议直接使用主板上或电脑机箱后面的USB接口。 --------有些电脑前面板的USB接口是通过USB延长线连接主板上的USB接口,就会造成USB的传输数率下降或者不可靠
简介 • 该设备具备了四个强大的主要功能 1.硬盘对硬盘高速复制功能 2.只读锁功能 3.在线调查取证功能 4.苹果机不拆机复制功能
离线取证 在线取证 系统特点 不拆机复制硬盘 支持硬盘阵列获取 DC-8200PRO 在线取证调查 分析系统 易丢失数据提取 个人关键信息提取 取证流程监管功能
设备连接 • 第1步:连接硬盘数据线和硬盘电源线; • 第2步:连接USB数据线、开关电源线;
设备连接 • 第3步:只读开关切换到“读写”模式,也就是不拆机复制模式,接通只读电源开关和总开关。
设备连接 • 第4步:将启动光盘放入对象计算机
两种工作模式 目标主机开机状态: 5种全部功能 流程监管 目标主机关机状态: 离线取证 2种功能: 特定数据获取 硬盘复制 在线取证系统
目标主机开机 • 目标计算机正在运行中启动电子数据获取平台 • 1.将硬盘通过DC-8200PRO连接到嫌疑计算机上。事先要把DC-8200PRO连接的硬盘分区并格式化 • 2、插入DC-8200PRO光盘 • 3.运行EDATAACQUIRE.exe ,进入电子数据获取平台。
易失数据 提取 加密文件 搜索 特定数据 获取 硬盘复制 功能 关键数据 获取 五大功能之易丢失数据提取
能够提取到的信息 • 当前进程信息 • 登陆用户信息 • 网络连接信息 • 网络配置信息 • 内存内容信息 • 系统硬件信息 • ARP表信息 • 剪贴板内容
当前进程信息 • 进程号 • 优先级 • 进程名称 • 父进程号 • 已运行时间 占用CPU时间 命令行路径 进程使用内存信息 调用的动态链接库信息
登陆用户信息 用户登陆历史信息 用户名称 登陆时间 • 当前登陆用户信息 用户名称 登陆时间
网络连接信息 • TCP协议连接信息 1.进程号 2.本地地址及端口 3.目标地址及端口 4.状 态 5.进程命令行 UDP协议连接信息: 1. 进程号 2.本地地址及端口 3.进程命令行 !!!网络连接各种数据统计信息
网络配置信息 • 网卡配置信息 1.网卡类型 2.MAC地址 3.IP、网关及DNS服务器地址 • 网络路由信息
系统硬件信息 • 系统内存信息 1.物理内存 2.虚拟内存 3.页面文件 • 系统硬盘SN信息
ARP表信息 • 对方IP地址 • 对方物理地址 • 访问类型
剪贴板内容 • 可以获取得到目标计算机中的剪贴板内容 • 注意:能获取到的内容是指: 文本内容及Bmp图片
加密文件 搜索 易失数据 提取 特定数据 获取 硬盘复制 功能 关键数据 获取 五大功能:特定数据提取
特定数据获取 • Office文档 • 图形文件 • 视频文件 • 邮件文件 • 上网记录 • QQ聊天记录 硬盘文件浏览功能 支持指定后缀名获取!
加密文件 搜索 易失数据 提取 特定数据 获取 硬盘复制 功能 关键数据 获取 五大功能:硬盘复制
硬盘复制界面 • 点击复制按钮开始复制过程
加密文件 搜索 易失数据 提取 特定数据 获取 硬盘复制 功能 关键数据 获取 五大功能:加密文件搜索
加密文件获取 • 支持对六种主流数据文档/文件进行获取 • Word 、Excel文档 • PDF文档 • RAR、 ZIP文件 • ARJ文件