Obsługa profesjonalnego programu do odzyskiwania danych na przykładzie DMDE
Wiele popularnych programów do odzyskiwania danych można obsłużyć dosłownie kilkoma kliknięciami. Te wysoce zautomatyzowane aplikacje z jednej strony nie wymagają żadnej wiedzy i pozwalają podjąć próbę samodzielnego odzyskiwania danych praktycznie każdemu, ale z drugiej strony nie dają żadnej możliwości optymalizacji procesu, analizy zawartości dysku i jego struktur logicznych, czy innych możliwości poprawy uzyskiwanych wyników. Jeśli efekty nie są zadowalające, przeskanowanie dysku kolejnymi, podobnymi programami zwykle nie daje lepszych rezultatów. Takie programy zwykle nie pozwalają także stwierdzić, czy odzyskanie danych w ogóle jest możliwe.
Czasem może się wydawać, że dla poprawy skuteczności odzyskiwania danych wystarczy zastąpić bezpłatne, amatorskie narzędzia programami komercyjnymi. Niestety wśród płatnych aplikacji też można spotkać takie, które nie zaoferują niczego więcej poza prostym, zautomatyzowanym skanowaniem i wynikami podobnymi do uzyskiwanych przez programy darmowe. Sam fakt, że za coś trzeba zapłacić, jeszcze nie daje gwarancji jakości. W szczególności nie warto płacić za aplikacje, jakie nie mają nawet wbudowanego edytora szesnastkowego.
Ale nawet jeśli jakiś program oferuje bardziej zaawansowane możliwości pracy, nie wystarczy opłacić licencję, by dane się same odzyskały. Uruchomienie skanowania ze standardowymi ustawieniami domyślnymi najprawdopodobniej przyniesie dokładnie taki sam rezultat, jaki możemy uzyskać dowolnym prostym programem. Dla efektywnej pracy i dobrych rezultatów trzeba poznać funkcje dostępne w profesjonalnym oprogramowaniu oraz sposoby ich użycia w sytuacjach, gdy skanowanie samo nie odnajduje utraconych danych lub ze względu na uszkodzenie dysku pełny skan trwałby zbyt długo i wiązałby się ze zbyt dużym ryzykiem pogorszenia stanu nośnika.
Profesjonalne programy od amatorskich odróżnia głównie możliwość kontroli nad procesami i ich konfiguracją przy pomocy sporej liczby parametrów, przeprowadzenia analizy struktur logicznych, pracy manualnej. Takie aplikacje zawsze mają wbudowany edytor szesnastkowy oraz oferują szereg funkcji pozwalających na podgląd i naprawę struktur logicznych, odnajdywanie adresowanych w nich obiektów w adresacji LBA dysku, czy zaawansowane wyszukiwarki. Istotna jest także możliwość wykonywania kopii posektorowych dowolnie wybranych (z dokładnością do pojedynczych adresów LBA) fragmentów dysków z obsługą błędów odczytu.
Program DMDE został wybrany jako przykład do nauki ze względu na to, że jest w pełni profesjonalnym programem do odzyskiwania danych dostępnym w niskiej cenie i posiadającym niewielkie ograniczenia wersji demonstracyjnej. W praktyce nie ma takiego rozwiązywalnego problemu logicznego, jakiego nie dałoby się rozwiązać przy pomocy tego programu. DMDE jest powszechnie wykorzystywany w firmach zajmujących się odzyskiwaniem danych oraz w serwisach komputerowych. Jednocześnie, z uwagi na podobieństwo używanych funkcji, wiedza wyniesiona ze szkolenia pozwoli na łatwe wykorzystanie nabytych umiejętności do obsługi także innych aplikacji do odzyskiwania danych. Program jest jedynie narzędziem używanym przez specjalistę i odpowiednie zrozumienie jego możliwości pozwala na adekwatne wykorzystanie również innych aplikacji.
Cele szkolenia:
Celem szkolenia jest zapoznanie uczestników z:
obsługą interfejsu programu do odzyskiwania danych DMDE,
zaawansowanymi funkcjami programu DMDE,
obsługą wyszukiwarek programu DMDE,
wykonywaniem kopii posektorowej całego nośnika i wybranych fragmentów,
tworzeniem i wykorzystaniem dzienników kopii posektorowej i skanowania,
zasadami alokacji plików i mapą klastrów,
sposobami interpretacji wyników skanowania,
zasadami wyszukiwania RAW i samodzielnego opracowywania sygnatur,
możliwościami wykorzystania edytora szesnastkowego i bezpośredniej edycji dysku,
podstawami analizy zawartości dysku i jego struktur logicznych,
możliwościami pracy programu DMDE z macierzami RAID.
Umiejętności nabywane w czasie szkolenia:
Po szkoleniu uczestnik będzie umiał:
wykorzystać program DMDE do odzyskiwania danych w pracy z nośnikami danych i plikami obrazów binarnych,
włączyć/wyłączyć MBR oraz wstawiać i usuwać znalezione partycje,
porównywać zawartość dysku przed i po dokonaniu zmian i wykorzystywać tę wiedzę w samodzielnych analizach,
posługiwać się wyszukiwarkami optymalizując ich wykorzystanie,
skonfigurować procesy wykonywania kopii posektorowej i skanowania,
odzyskiwać odnalezione pliki,
wykorzystywać dzienniki kopii posektorowej i skanowania dla optymalizacji pracy i minimalizacji obciążenia dysku,
obsługiwać błędy odczytu występujące podczas wykonywania kopii posektorowej,
wykorzystać mapę klastrów do odnalezienia wybranych plików w adresacji LBA,
zidentyfikować sygnaturę nieznanego typu pliku i dodać ją do bazy danych wyszukiwarki skanowania RAW,
wprowadzać kontrolowane zmiany w zawartość dysku i je wycofywać,
zamontować dyski i pliki ich binarnych obrazów do wirtualnej macierzy RAID,
przeprowadzić automatyczną odbudowę wirtualnej macierzy RAID,
nieodwracalnie zniszczyć zawartość dysku lub jego części.
Adresaci szkolenia
Szkolenie przeznaczone jest dla osób planujących rozwijać swoje umiejętności w zakresie odzyskiwania danych, a zwłaszcza osób planujących w przyszłości profesjonalnie zająć się odzyskiwaniem danych lub informatyką śledczą, funkcjonariuszy służb biorących udział w zabezpieczeniu nośników danych, techników serwisów komputerowych, osób odpowiedzialnych za bezpieczeństwo i utrzymanie infrastruktury IT oraz reakcję na awarie, firm i osób zajmujących się obsługą IT lub prowadzących pogotowia komputerowe.
Warunki wstępne
Oczekiwana ogólna wiedza informatyczna. Rozumienie takich pojęć, jak dysk, partycja, system plików. Szkolenie bazuje na pracy ze sprawnymi dyskami, tym niemniej dla bezpiecznego praktycznego wykorzystania zdobytej wiedzy wskazana jest znajomość budowy i działania nośników danych, a także umiejętność ich diagnostyki. Dlatego zalecamy ukończenie szkoleń:
"Podstawy działania i diagnostyki nośników danych”
oraz
"Wykorzystanie oprogramowania w diagnostyce i odzyskiwaniu danych”.
Program szkolenia:
I Wprowadzenie do obsługi interfejsu programu DMDE.
1. Dostępne wersje programu i ich ograniczenia.
2. Wymagania systemowe.
3. Uruchomienie programu, wybór języka.
4. System pomocy kontekstowej.
5. Wybór dysku/woluminu, możliwość pracy z obrazami dysków.
6. Wskaźniki programu.
7. Możliwość blokowania woluminu, tryb tylko do odczytu.
8. Parametry okien, zmiana rozmiaru czcionki.
9. Wybór strony kodowej ASCII.
II Podstawowe funkcje programu, kopia posektorowa i skanowanie.
1. Włączanie i wyłączanie MBR/GPT.
2. Zarządzanie partycjami.
3. Otwieranie woluminu, automatyczna rekonstrukcja systemu plików.
4. Odzyskiwanie wybranych plików.
5. Parametryzacja wykonywania kopii posektorowej.
6. Podgląd SMART.
7. Parametryzacja i uruchomienie skanowania, log skanowania.
8. Możliwość nieodwracalnego niszczenia danych — opcja wypełnienia sektorów.
III Analiza wyników skanowania, obsługa wyszukiwarki.
1. Analiza wyników skanowania.
2. Pliki w strukturze logicznej, a wyniki RAW.
3. Praca z wirtualnym systemem plików.
4. Panel plików, wskaźniki.
5. Koncept mapy, alokacja plików, eksport mapy klastrów.
IV Wyszukiwanie i porządkowanie rezultatów.
1. Obsługa wyszukiwarki — wyszukiwanie elementów struktur logicznych,
2. Wyszukiwanie dowolnych ciągów symboli HEX i ASCII.
3. Optymalizacja parametryzacji wyszukiwania.
4. Tworzenie list plików i raportów.
V Wyszukiwanie RAW.
1. Typy plików i ich sygnatury.
2. Wybór typów plików do wyszukiwania.
3. Nieznane typy plików – automatyczny tryb określania sygnatur.
4. Nieznane typy plików – manualne określanie sygnatur z wykorzystaniem hex-edytora.
5. Dodawanie sygnatur do bazy, składnia.
6. Samodzielne rozpoznanie sygnatury – ćwiczenia praktyczne.
VI Możliwości bezpośredniej edycji dysku i ingerencji w struktury logiczne.
1. Zapoznanie z edytorem szesnastkowym.
2. Tryb edycji.
3. Wprowadzanie zmian i zapisywanie danych wycofywania.
4. Przywracanie danych wycofywania.
5. Możliwości uzupełniania danych z pliku binarnego.
6. Wykorzystanie edytora szesnastkowego w analizie zmian zachodzących na dysku w czasie wykonywania operacji.
7. Znaczenie struktur logicznych w procesie odzyskiwania danych.
8. Sposoby prezentacji i interpretacji zawartości najważniejszych sektorów.
VII Możliwości pracy z macierzami RAID.
1. Montowanie wirtualnej macierzy w programie.
2. Możliwości montowania kopii posektorowych i plików obrazów jako uczestników macierzy.
3. Automatyczne określenie parametrów macierzy.
4. Dodawanie pustego dysku (NULL) zamiast uszkodzonego lub brakującego uczestnika.
VIII Podsumowanie szkolenia.
1. Powtórzenie najważniejszych informacji o procesie logicznego odzyskiwania danych.
2. Powtórzenie najtrudniejszych elementów ćwiczeń.
3. Panel dyskusyjny.
4. Test końcowy.
Czas trwania:
16 godzin lekcyjnych - 2 dni od 9 do 17
Najbliższy termin:
Interesuje Cię to szkolenie? Zadzwoń - 788 727 524
Forma zajęć:
Stacjonarna – zajęcia praktyczno-teoretyczne.
Miejsce szkolenia:
Laboratorium Analiz Danych i Bezpieczeństwa Informacji (LADBI)
Politechnika Wrocławska
bud. C5, sala 805
Janiszewskiego 9/5
50-370 Wrocław
Prowadzący:
Paweł Kaczmarzyk,
specjalista odzyskiwania danych w serwisie komputerowym Kaleron,
ponad 20 lat doświadczenia w naprawach techniki komputerowej oraz odzyskiwaniu danych,
ponad 2200 godzin przeprowadzonych szkoleń,
specjalista – HDD i odzyskiwanie danych na forum Elektroda.
Zalecana literatura:
Warunki zaliczenia:
Ocena końcowa wynika z:
wykonywanych ćwiczeń praktycznych,
aktywności podczas zajęć,
testu wiedzy.
Wielkość grupy:
3 - 8 osób
W ramach szkolenia zapewniamy:
odpowiednio wyposażone stanowiska,
materiały w formie elektronicznej,
możliwość przyniesienia swoich urządzeń i wsparcia w rozwiązywaniu problemów w zakresie objętym programem szkolenia,
certyfikat ukończenia szkolenia wystawiony przez Politechnikę Wrocławską
dwudaniowy obiad,
przerwy kawowe,
bezpłatny parking.
Cena szkolenia:
4.000 zł netto