Ga verder naar de inhoud

Digitale dragers capteren met Guymager

Dit is een handleiding voor het gebruik van Guymager. Guymager is forensische software waarmee disk images of schijfkopieƫn van gegevensdragers (harde schijf, floppy disk, optische schijf, USB flash drive, ...) gemaakt kunnen worden. Het maakt daarbij gebruik van checksums om te controleren of de schijfkopie identiek is aan de inhoud van de gegevensdrager.

Workflow

Guymager is open source software voor Linux die gebruikt wordt om (forensische) disk images te maken. Het maakt gebruik van checksums om te controleren of de disk image identiek is aan de inhoud van de gegevensdrager.

In deze handleiding gaan we ervan uit dat er reeds een gegevensdrager en een leestoestel aangesloten zijn aan het leestation en dat Guymager gebruikt wordt in de BitCurator omgeving.

Stap 1: Start Guymager

Maak eerst een map waarin je de gemaakte disk images tijdelijk zult bewaren.

Vervolgens navigeer je naar de map waar Guymager zich bevindt. In BitCurator is dat in de map Imaging and Recovery op de Desktop. Start Guymager door te dubbelklikken op het icoontje. Guymager heeft root access nodig om het leestoestel te vinden en een disk image te maken. Het zal daarom het root paswoord vragen voordat het kan starten. In BitCurator is dit paswoord normaal bcadmin.

500px

Stap 2: Zoek je leestoestel

Druk op de knop Rescan. Guymager gaat bij deze stap op zoek naar alle leestoestellen en partities die aanwezig zijn op de computer.

Zoek je leestoestel in de lijst. Kijk hiervoor in de tweede kolom Linux device.

  • Toestellen die aangesloten zijn via USB, zijn te herkennen aan /dev/sda
  • Met uitzondering van CD-, DVD- en BD-lezers. Deze hebben meestal /dev/sr0
  • Tapelezers hebben steeds /dev/nst0, maar deze worden normaal niet door Guymager herkend.

Een andere manier om je leestoestel te identificeren is door in de derde kolom Model te kijken. Hier wordt de naam (fabrikant) van je leestoestel of de kabel waarmee je leestoestel met het werkstation gekoppeld is, getoond.

Tot slot geeft ook de vijfde kolom nog een indicatie om je gegevensdrager en leestoestel te identificeren. Dit is de kolom Size. Als deze capaciteit overeenkomt met de maximumcapaciteit van je gegevensdrager, dan kan je zeker zijn dat je de juiste device gekozen hebt.

600px

Stap 3: Maak een image

Doe een rechtermuisklik op de rij met je leestoestel en selecteer Acquire image.

Image:Guymager_acquire.png

Doe vervolgens volgende aanpassingen in het venster:

  • Kies Linux dd raw image als bestandsformaat
  • Verwijder het vinkje naast Split image files
  • Selecteer bij Destination de map die je gemaakt hebt voor je disk images. Klik hiervoor op het knopje met ....
  • Vul een bestandsnaam in voor je disk image in het veld Image filename (without extension). Kies voor het ID van je drager.
  • Onder Hash calculation/verification vink Calculate MD5 (of het algoritme naar keuze) en Verify image after acquisition aan.

Druk vervolgens op start. De status van het device verandert van Idle naar Running

1000px

Stap 4: Controleer het resultaat

Als Guymager klaar is met het maken van de disk image, dan krijg je in de kolom State een groen bolletje te zien met de tekst Finished - Verified & ok.

1000px

Ga vervolgens naar de map waar je je disk images opgeslagen hebt. Daar zal je nu twee nieuwe bestanden zien: de disk image met .dd als extensie en een informatiebestand met .info als extensie.

Image:Guymager_results.png

Image:Guymager_info_file.png

Deze pagina is laatst aangepast op 19 juni 2024

Deze pagina aanvullen of corrigeren?

Heb je aanvullingen of wil je iets rechtzetten? Dan kan je deze pagina makkelijk bewerken via onderstaande knop.