|
電子取證中,為了防止檢材污染,工作時中進行寫保護是非常必要的。司法部《關于印發<司法鑒定機構儀器設備配置標準>的通知》(司發通[2011]323號)規定電子數據鑒定中只讀接口是必備設備,錄音資料鑒定中只讀接口是選配設備。 不過在緊急情況下,“軟只讀”可以發揮一定的作用。軟只讀指的是通過軟件的方式禁止向目標設備寫入數據。從Windows XP SP2開始,通過修改注冊表中的鍵值達到禁止向USB設備寫入數據的目的。具體起作用的為注冊表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies”的“WriteProtect”的鍵值,鍵值為“0”則USB設備為讀寫狀態,鍵值為“1”則USB設備為只讀狀態。網上的一些USB寫保護小工具(例如USB WriteProtector),基本都是基于這一原理。 下圖是使用Process Monitor檢測USB寫保護工具USB WriteProtector設置寫保護這一過程的所有操作,由于篇幅所限,這里只截取了具體的操作詳情。 但同時,我發現這工具運行的時候貌似有些“不老實”,過一段時間就多C盤中某個文件進行操作。暫時不知其原因。 其實,我們完全可以自己設置。下面是具體方法。 設置只讀:在記事本中粘貼下列內容,保存為“DisableUSBWrite.reg”(注意不要保存成了“DisableUSBWrite.txt”),其實文件名無所謂,但后綴一定要為“reg”。雙擊保存的文件,即可導入注冊表。
同理,取消只讀只需在記事本中粘貼下列內容并保存成“EnableUSBWrite.reg”并雙擊導入即可。
上面兩段內容保存后圖標如下,如果不是,很可能格式保存錯了 雙擊導入的時候會出現下圖所示的提示,直接點“是”就可以了。
當試圖從其他位置復制文件到優盤中時,會有寫保護提示。 就連對優盤進行重命名都會報錯。 演示完了,說幾點需要注意的地方。 1.注冊表設置后,僅對之后接入的設備有效,例如之前是只讀狀態,連接著一個優盤,設置讀寫后,此優盤依然只只讀的,重新拔插一次才能恢復對此設備的讀寫。 2.除了對優盤、移動硬盤等“移動設備”有效,對SATA轉USB的硬盤依然有效。 3.一般情況下,設置USB只讀或USB讀寫后,重啟后之前的設定依然有效,但是偶爾遇到“不一般的情況”,之前的設定有可能有效可能無效。 下面來解釋一下上面的第三條。注冊表“HKEY_LOCAL_MACHINE\SYSTEM\”下面一般會有名為“CurrentControlSet”、“ControlSet001”、“ControlSet002”的子目錄,這些地方保存著一些系統配置信息。其中“CurrentControlSet”是當前的配置信息,一般與“ControlSet001”內容一致,“ControlSet002”是每次成功啟動電腦后從“ControlSet001”中復制的備份,也就是Windows系統啟動時按F8進入安全模式看到的“最后一次正確配置”。一般情況下,開機后“CurrentControlSet”都是從“ControlSet001”復制數據,由于某種原因,如果系統啟動的時候不是從“CurrentControlSet”數據不是從“ControlSet001”復制的,就有可能造成上次設置失效。 注冊表“HKEY_LOCAL_MACHINE\SYSTEM\Select”中記錄了當前(Current)、下次(Default)、最后一次正確(LastKnowGood)的配置。 我想不少人看了以上內容一定驚喜不已——以后花幾十塊錢買個SATA轉USB的線材,就可以和只讀鎖說拜拜了?淘寶上只讀鎖老貴老貴呢。 這種方法可不可行呢?我們接下來繼續看。 我在有個優盤中新建了一個名為“TEST.txt”的文件,內容為“www.cnforensics.com取證中國”。 將優盤拔出,設置后USB只讀后,重新接入優盤,打開重新編輯后按Ctrl+S保存,報錯。
使用WinHex打開優盤,編輯“TEST.txt”,將第一個字母“w”改成“A”并保存。
點擊“確定”
點擊“是”,居然沒有報錯提示,趕緊從資源管理器中打開優盤看看——內容已修改……
顯然,我們修改注冊表后的“只讀”并沒有阻止住WinHex對優盤的寫入操作。對于一些使用較低層的方式對磁盤進行的操作,軟只讀無法無能為力,所以,購買物理只讀設備還是很有必要的。當然,特殊情況下,軟只讀總比直接讀寫好。 |
|
|
