DIGITAL FORENSICS:X-Ways Forensics Rebuild RAID

DIGITAL FORENSICS:X-Ways Forensics Rebuild RAID

วันนี้แนะนำการ Rebuild RAID ด้วยโปรแกรม X-Ways Forensics  หลายครั้งที่เรามีความจำเป็นต้องรับมืิอกับหลักฐานบนเครื่อง Server ,file share NAS เป็นต้น ซึ่งอุปกรณ์เหล่านี้มักมีการจัดเก็บข้อมูลแบบ Disk Raid ซึ่งผู้เชี่ยวชาญจำเป็นต้องมีความรู้และประสบการณ์เพื่อที่จะสามารถเก็บข้อมูลมาได้อย่างถูกต้องไม่เสียหาย

เครื่องมือ Tools
- Forensic workstations
- Harddisk Seagate  80 GB disk Raid
- X-Ways Forensics
- forensic duplicator tableau


1. เตรียม Harddisk    80 GB disk Raid สำหรับทำสำเนาหลักฐาน

 2. ใช้ forensic duplicator tableau tools ทำ disk image  ตั้งชื่อ  CF000-RD1-HD1 , CF000-RD1-HD2

forensic duplicator tableau

3. ใช้โปรแกรม X-Ways Forensics  ในการ Rebuild RAID

X-Ways Forensics

Support: Built-in interpretation of JBOD, RAID 0, RAID 5, RAID 5EE, and RAID 6 systems, Linux software RAIDs, Windows dynamic disks, and LVM2

4.Create new case CF-010 

5.Add disk Image > CF000-RD1-HD1.E01 , CF000-RD1-HD2.E01

6. Menu > Specialist > Reconstruct Raid System

Reconstruct Raid System

 Reconstruct Raid system > select >Level 0

 Double Click > Partition 2 >RAID 0: CF000-RD1-HD1+CF000-RD1-HD2

 7.ตรวจสอบข้อมูล  User

\User\User\Downloads

 \windwos\system32\config

สรุป

• การทำสำเนาหลักฐานข้อมูลที่เป็นDisk Raid ต้องสำรวจชนิดของ Raid ที่ใช้ เช่นเป็น 0 ,1,5 เป็น hardware หรือ software 
• ทำ forensic image Harddisk ทุกลูกที่เชื่อมต่อ Raid เท่าที่ทำได้เพื่อความสมบูณ์ของหลักฐาน
• เตรียมเครื่องมือสำหรับ Rebuild RAID Tools
• เตรียม adapter สำหรับรองรับ Harddisk เช่น IDE SCSII  SATA 
• โปรแกรม X-Ways Forensics สำหรับคนที่มไ่เคยใช้ อาจจะไม่คุ้นเคย

ที่มา:

http://www.x-ways.net/forensics

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud