Image MASSter Solo-IV取证系统.doc

Image MASSter Solo-IV取证系统 1、快速启动 （1）将IMSolo-IV取证系统放置于水平面。 （2）在系统的背面，DC Power-In端口处插入电源适配器，另一头连接电源。电压为110V或220V。电源适配器将自动调整电压。 （3）按下系统前面的开关按钮，屏幕上将会显示IMSolo-IV取证系统高级接口控制台界面。 （4）将ICS提供的SATA/SAS硬盘数据电源线插入系统的和SATA或SAS硬盘的相应接口处。PATA硬盘使用ICS SATA-to-PATA 适配器连接PATA数据线。 （5）从操作菜单下选择操作模式。 （6）从硬盘选择区域选择将要执行操作的硬盘。 （7）检测所有存在的应用设置，有选择的进入案件信息使用的案件日志界面功能。 这里建议开启目标哈希功能。选择目标哈希功能，将会在从源盘中读数据和向证据盘中写数据的过程中计算哈希值，并保存在证据盘中。 （8）选择START开始操作。操作过程中会显示操作的状态信息。 （9）操作完成后，硬盘将会自动断电，此时该盘可以被安全地移除。硬盘状态指示灯将同步显示，绿色为操作成功，红色为操作失败。日志文件将自动存储在内部，可通过系统背后的USB接口外接存储介质导出。 注释： 释放系统电源按钮，系统将会断电。 2、操作过程 （1）准备工作 这部分描述推荐当硬盘已经直接连接到系统时，你准备执行操作的遵循过程。这部分参照P-ATA硬盘安装，需要S-ATA-to-PATA适配器。 A、准备源盘 当使用PATA硬盘时，确保源盘跳转模块已被正确设置为“单/主”。而如果源盘是SAS或者SATA，则建议使用源盘的默认设置。 用SAS/SATA或者USB数据线将源盘连接到设备的左边面板。PATA硬盘在连接时需要使用SATA-PATA适配器进行转接。 根据需要，设备右边面板可供连接另一块源盘。 B、准备证据盘 用SAS/SATA或者USB数据线将源盘连接到设备的前方面板。PATA硬盘在连接时需要使用SATA-PATA适配器进行转接。 根据需要，设备右边面板可供连接另一块源盘。 证据盘在获取前需被确保已经查无病毒。 注：默认状态下，包括证据盘端口在内的所有端口都是写保护的。如果所选操作模式需要写证据盘，则所有针对证据盘的写保护特征都会被自动关闭。 C、配置系统设置 在高级接口控制面板的下拉菜单上选择所需操作，详见表二： D、移除硬盘 硬盘选择菜单为每个硬盘提供一个电源指示。灰色代表正在检测，绿色代表检测所需硬盘成功，红色代表检测失败或者操作过程有误。操作成功后，硬盘被自动断电、移除。当然，也可以在操作结束后从硬盘激活状态面板中手动移除硬盘。 （2）使用单独获取模式获取硬盘 接下来这节描述使用单独获取模式从硬盘中获取已经被笔记本或PC机删除的数据。 高级接口控制台在系统启动后出现在屏幕上。 按照“快速开始”和“准备获取”章节中的指导连接并配置硬盘。 从主界面操作下拉菜单中选择单独获取。 设置操作模式配置，此界面在操作主界面动态显示。详见表三： 验证设置界面中的常见设置。详见表二的推荐。 从主界面选择CASE INFO键入需要的信息。 在硬盘选择界面选择硬盘。 在硬盘选择界面选择硬盘操作。 从主界面选择START开始操作。显示请求的操作将及时验证检测驱动器中列出适当的硬盘状态。源盘必须在源盘目录中，证据盘在目标盘目录中。 如果从2个源盘中获取数据，打开另一个IMSolo-IV取证获取程序，然后按2-9步骤操作。 （3）使用LinuxDD获取模式获取硬盘 接下来这节描述使用LinuxDD获取模式从硬盘中获取已经被笔记本或PC机删除的数据。 按照“快速开始”和“准备获取”章节中的指导连接并配置硬盘。 从主界面操作下拉菜单中选择LinuxDD获取。 设置操作模式配置，此界面在操作主界面动态显示。详见表四： 选择File Name并键入文件名以形成LinuxDD分割文件的目录。 从Capture File Size下拉菜单中选择镜像文件分割单位大小。 验证设置界面中的常见设置。详见表二的推荐。 从主界面选择CASE INFO键入需要的信息。 在硬盘选择界面选择硬盘。 从主界面选择START开始操作。显示请求的操作将及时验证检测驱动器中列出适当的硬盘状态。源盘必须在源盘目录中，证据盘在目标盘目录中。 如果从2个源盘中获取数据，打开另一个IMSolo-IV取证获取程序，选择导航栏上的New Copy Session，然后按2-9步骤操作。 （4）审计日志信息转储 接下来这节描述如何将设备内部存储的审计文件和事件日志转储到USB存储设备上。 选择高级接口控制面板上的日志标签功能。 选择“Copy Logs to a Removable Device”。这时会弹出一条信息，提示用户接入USB设备。 在