|
电子取证中,为了防止检材污染,工作时中进行写保护是非常必要的。司法部《关于印发<司法鉴定机构仪器设备配置标准>的通知》(司发通[2011]323号)规定电子数据鉴定中只读接口是必备设备,录音资料鉴定中只读接口是选配设备。 不过在紧急情况下,“软只读”可以发挥一定的作用。软只读指的是通过软件的方式禁止向目标设备写入数据。从Windows XP SP2开始,通过修改注册表中的键值达到禁止向USB设备写入数据的目的。具体起作用的为注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies”的“WriteProtect”的键值,键值为“0”则USB设备为读写状态,键值为“1”则USB设备为只读状态。网上的一些USB写保护小工具(例如USB WriteProtector),基本都是基于这一原理。 下图是使用Process Monitor检测USB写保护工具USB WriteProtector设置写保护这一过程的所有操作,由于篇幅所限,这里只截取了具体的操作详情。 但同时,我发现这工具运行的时候貌似有些“不老实”,过一段时间就多C盘中某个文件进行操作。暂时不知其原因。 其实,我们完全可以自己设置。下面是具体方法。 设置只读:在记事本中粘贴下列内容,保存为“DisableUSBWrite.reg”(注意不要保存成了“DisableUSBWrite.txt”),其实文件名无所谓,但后缀一定要为“reg”。双击保存的文件,即可导入注册表。
同理,取消只读只需在记事本中粘贴下列内容并保存成“EnableUSBWrite.reg”并双击导入即可。
上面两段内容保存后图标如下,如果不是,很可能格式保存错了 双击导入的时候会出现下图所示的提示,直接点“是”就可以了。
当试图从其他位置复制文件到优盘中时,会有写保护提示。 就连对优盘进行重命名都会报错。 演示完了,说几点需要注意的地方。 1.注册表设置后,仅对之后接入的设备有效,例如之前是只读状态,连接着一个优盘,设置读写后,此优盘依然只只读的,重新拔插一次才能恢复对此设备的读写。 2.除了对优盘、移动硬盘等“移动设备”有效,对SATA转USB的硬盘依然有效。 3.一般情况下,设置USB只读或USB读写后,重启后之前的设定依然有效,但是偶尔遇到“不一般的情况”,之前的设定有可能有效可能无效。 下面来解释一下上面的第三条。注册表“HKEY_LOCAL_MACHINE\SYSTEM\”下面一般会有名为“CurrentControlSet”、“ControlSet001”、“ControlSet002”的子目录,这些地方保存着一些系统配置信息。其中“CurrentControlSet”是当前的配置信息,一般与“ControlSet001”内容一致,“ControlSet002”是每次成功启动电脑后从“ControlSet001”中复制的备份,也就是Windows系统启动时按F8进入安全模式看到的“最后一次正确配置”。一般情况下,开机后“CurrentControlSet”都是从“ControlSet001”复制数据,由于某种原因,如果系统启动的时候不是从“CurrentControlSet”数据不是从“ControlSet001”复制的,就有可能造成上次设置失效。 注册表“HKEY_LOCAL_MACHINE\SYSTEM\Select”中记录了当前(Current)、下次(Default)、最后一次正确(LastKnowGood)的配置。 我想不少人看了以上内容一定惊喜不已——以后花几十块钱买个SATA转USB的线材,就可以和只读锁说拜拜了?淘宝上只读锁老贵老贵呢。 这种方法可不可行呢?我们接下来继续看。 我在有个优盘中新建了一个名为“TEST.txt”的文件,内容为“www.cnforensics.com取证中国”。 将优盘拔出,设置后USB只读后,重新接入优盘,打开重新编辑后按Ctrl+S保存,报错。
使用WinHex打开优盘,编辑“TEST.txt”,将第一个字母“w”改成“A”并保存。
点击“确定”
点击“是”,居然没有报错提示,赶紧从资源管理器中打开优盘看看——内容已修改……
显然,我们修改注册表后的“只读”并没有阻止住WinHex对优盘的写入操作。对于一些使用较低层的方式对磁盘进行的操作,软只读无法无能为力,所以,购买物理只读设备还是很有必要的。当然,特殊情况下,软只读总比直接读写好。 |
|
|
