Publicatie:Digitale dragers capteren met Guymager

Uit Meemoo Kennisbank
Naar navigatie springen Naar zoeken springen


Samenvatting

Dit is een handleiding voor het gebruik van Guymager. Guymager is forensische software waarmee disk images of schijfkopieën van gegevensdragers (harde schijf, floppy disk, optische schijf, USB flash drive, ...) gemaakt kunnen worden. Het maakt daarbij gebruik van checksums om te controleren of de schijfkopie identiek is aan de inhoud van de gegevensdrager.


Referentie
Titel Digitale dragers capteren met Guymager (Voorkeurstitel)
Locatie
Uitgever
Jaar van uitgave 2020
Rechten CC-BY-SA
Persistent ID


Workflow

Guymager is open source software voor Linux die gebruikt wordt om (forensische) disk images te maken. Het maakt gebruik van checksums om te controleren of de disk image identiek is aan de inhoud van de gegevensdrager.

In deze handleiding gaan we ervan uit dat er reeds een gegevensdrager en een leestoestel aangesloten zijn aan het leestation en dat Guymager gebruikt wordt in de BitCurator omgeving.

Stap 1: Start Guymager

Maak eerst een map waarin je de gemaakte disk images tijdelijk zult bewaren.

Vervolgens navigeer je naar de map waar Guymager zich bevindt. In BitCurator is dat in de map Imaging and Recovery op de Desktop. Start Guymager door te dubbelklikken op het icoontje. Guymager heeft root access nodig om het leestoestel te vinden en een disk image te maken. Het zal daarom het root paswoord vragen voordat het kan starten. In BitCurator is dit paswoord normaal bcadmin.

Guymager location.png

Stap 2: Zoek je leestoestel

Druk op de knop Rescan. Guymager gaat bij deze stap op zoek naar alle leestoestellen en partities die aanwezig zijn op de computer.

Zoek je leestoestel in de lijst. Kijk hiervoor in de tweede kolom Linux device.

  • Toestellen die aangesloten zijn via USB, zijn te herkennen aan /dev/sda
  • Met uitzondering van CD-, DVD- en BD-lezers. Deze hebben meestal /dev/sr0
  • Tapelezers hebben steeds /dev/nst0, maar deze worden normaal niet door Guymager herkend.

Een andere manier om je leestoestel te identificeren is door in de derde kolom Model te kijken. Hier wordt de naam (fabrikant) van je leestoestel of de kabel waarmee je leestoestel met het werkstation gekoppeld is, getoond.

Tot slot geeft ook de vijfde kolom nog een indicatie om je gegevensdrager en leestoestel te identificeren. Dit is de kolom Size. Als deze capaciteit overeenkomt met de maximumcapaciteit van je gegevensdrager, dan kan je zeker zijn dat je de juiste device gekozen hebt.

Guymager linux device.png

Stap 3: Maak een image

Doe een rechtermuisklik op de rij met je leestoestel en selecteer Acquire image.

Guymager acquire.png

Doe vervolgens volgende aanpassingen in het venster:

  • Kies Linux dd raw image als bestandsformaat
  • Verwijder het vinkje naast Split image files
  • Selecteer bij Destination de map die je gemaakt hebt voor je disk images. Klik hiervoor op het knopje met ....
  • Vul een bestandsnaam in voor je disk image in het veld Image filename (without extension). Kies voor het ID van je drager.
  • Onder Hash calculation/verification vink Calculate MD5 (of het algoritme naar keuze) en Verify image after acquisition aan.

Druk vervolgens op start. De status van het device verandert van Idle naar Running

Guymager running.png

Stap 4: Controleer het resultaat

Als Guymager klaar is met het maken van de disk image, dan krijg je in de kolom State een groen bolletje te zien met de tekst Finished - Verified & ok.

Guymager finished.png

Ga vervolgens naar de map waar je je disk images opgeslagen hebt. Daar zal je nu twee nieuwe bestanden zien: de disk image met .dd als extensie en een informatiebestand met .info als extensie.

Guymager results.png

Guymager info file.png