24
1:1 Kopie eines alten HP Server unter Windows 2000
Hallo,
ich habe hier einen alten Windows 2000 Server. Hardware ist ein HP Proliant ML 350 mit einem SmartArray Controller (RAID)
Ich benötige für eine Forensische Untersuchung eine 1:1 Kopie.
Nach langem Suchen habe ich es geschafft mit einem Windows 10 32 Bit über eine CD zu booten und dann mit HDclone eine 1:1 Kopie zu starten.
Leider ist der Kopiervorgang fast immer zwischen 70 und 90% abgebrochen.
Hat ggf. noch einmal eine Idee mit was ich den Server booten und eine 1:1 Kopie erstellen könnte?
Gruß, Herry
ich habe hier einen alten Windows 2000 Server. Hardware ist ein HP Proliant ML 350 mit einem SmartArray Controller (RAID)
Ich benötige für eine Forensische Untersuchung eine 1:1 Kopie.
Nach langem Suchen habe ich es geschafft mit einem Windows 10 32 Bit über eine CD zu booten und dann mit HDclone eine 1:1 Kopie zu starten.
Leider ist der Kopiervorgang fast immer zwischen 70 und 90% abgebrochen.
Hat ggf. noch einmal eine Idee mit was ich den Server booten und eine 1:1 Kopie erstellen könnte?
Gruß, Herry
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 560342
Url: https://administrator.de/contentid/560342
Ausgedruckt am: 24.11.2024 um 14:11 Uhr
24 Kommentare
Neuester Kommentar
Linux dd
2
Zitat von @Akcent:
Hat ggf. noch einmal eine Idee mit was ich den Server booten und eine 1:1 Kopie erstellen könnte?
Hat ggf. noch einmal eine Idee mit was ich den Server booten und eine 1:1 Kopie erstellen könnte?
knoppix.
Oder die Platte ausbauen und an einem andren System einlesen.
lks
Hi,
Ich werfe noch Clonezilla in den Ring
Ich werfe noch Clonezilla in den Ring
2
moin...
und ja, der kollege hat recht, du willst eine "Forensische Untersuchung" durchführen, aber du kannst nicht mal ein dummes Raid clonen... sorry, das ist lächerlich. mit DD kommst du schon weiter, als fachmann ist die ja die vorgehensweise geläufig.
kleiner Tip von mir, lass das mit der "Forensische Untersuchung" sein, Höflichkeit und Respekt wird bei dir dringender gebraucht!
Frank
Zitat von @Akcent:
sorry ... solch ein asoziales verhalten von dir, ist nicht zu dulden!Zitat von @certifiedit.net:
Hallo,
warum nimmst du Arbeiten an, die du nicht leisten kannst?
Zum Thema. 1:1 Kopien macht man eigentlich nicht unter Windows, weil viel zu fern von der HW.
VG
Auf Deine sinnlose und dumme Antwort habe ich nur gewartet. Du bist hier scheinbar der oberschlaue Voll-Nerd ohne soziale Kontakte. Halt doch einfach mal deine dumme Fresse.Hallo,
warum nimmst du Arbeiten an, die du nicht leisten kannst?
Zum Thema. 1:1 Kopien macht man eigentlich nicht unter Windows, weil viel zu fern von der HW.
VG
und ja, der kollege hat recht, du willst eine "Forensische Untersuchung" durchführen, aber du kannst nicht mal ein dummes Raid clonen... sorry, das ist lächerlich. mit DD kommst du schon weiter, als fachmann ist die ja die vorgehensweise geläufig.
kleiner Tip von mir, lass das mit der "Forensische Untersuchung" sein, Höflichkeit und Respekt wird bei dir dringender gebraucht!
Frank
4Zitat von @Akcent:
Auf Deine sinnlose und dumme Antwort habe ich nur gewartet. Du bist hier scheinbar der oberschlaue Voll-Nerd ohne soziale Kontakte. Halt doch einfach mal deine dumme Fresse.
Auf Deine sinnlose und dumme Antwort habe ich nur gewartet. Du bist hier scheinbar der oberschlaue Voll-Nerd ohne soziale Kontakte. Halt doch einfach mal deine dumme Fresse.
Deine Beschimpfungen machen es nicht besser. Und wenn man solche Arbeiten sich anlacht, muß man zumidest genug Erfahrung haben, daß man mehrere Alternativen kennt, solche Probleme zu lösen.
lks
1
Hi,
willst du eine "echte" foresische Utersuchug durchführen, d.h. das du mußt auch z.B in gelöschte Datein suchen oder das Ergebnis muß gerichtsfest sein: sorry, aber such dir jemaden der das für dich macht. HDclone ist dafür die verkehrte Wahl.
-
Willst du aber nur etwas suchen und nicht am Original arbeiten:
Software um eine foresische Kopie zu erstellen:
z.B. Clonezilla, dd, OSFclone, F.H.C. live, guymager. etc.
Wie und ob du dann mit den Images arbeiten kannst, bzw. wie und ob du die Images auf Festplatte zurückspielst, bzw. nur mountest ist da eine andere Sache.
CH
willst du eine "echte" foresische Utersuchug durchführen, d.h. das du mußt auch z.B in gelöschte Datein suchen oder das Ergebnis muß gerichtsfest sein: sorry, aber such dir jemaden der das für dich macht. HDclone ist dafür die verkehrte Wahl.
-
Willst du aber nur etwas suchen und nicht am Original arbeiten:
Software um eine foresische Kopie zu erstellen:
z.B. Clonezilla, dd, OSFclone, F.H.C. live, guymager. etc.
Wie und ob du dann mit den Images arbeiten kannst, bzw. wie und ob du die Images auf Festplatte zurückspielst, bzw. nur mountest ist da eine andere Sache.
CH
1
Servus,
grml
mfg
grml
mfg
Geht mal alle raus an die Frische Luft. Aber einzeln.
lks
lks
1
Wenn es wirklich eine forensische Kopie werden soll, dann mit einschlägigen Tools oder eben die freien Tools die die Nullen und Einsen entsprechend kopieren. Rechtssicherheit wird man so vermutlich nicht erlangen.
Paragon oder Acronis hatten früher eine Bit by Bit Funktion. Ob das forensisch sicher wäre, weiß ich nicht.
Ich weiß allerdings von den Truppenteile die mit der Polizei zu tun haben, dass es dafür Kopierstationen gibt ähnlich wie die Consumer Kopierstationen.
P2V einen Gedanken Wert?
Paragon oder Acronis hatten früher eine Bit by Bit Funktion. Ob das forensisch sicher wäre, weiß ich nicht.
Ich weiß allerdings von den Truppenteile die mit der Polizei zu tun haben, dass es dafür Kopierstationen gibt ähnlich wie die Consumer Kopierstationen.
P2V einen Gedanken Wert?
Sollte man normalerweise nicht auch einen Write-Blocker einsetzen, da auch Live-Tools ungewollt möglicherweise etwas auf der Originalplatte verändern kann?
Ich bin da nicht so im Thema, wenn sowas aufgelaufen ist, habe ich freiwillig immer gleich die komplette Hardware abgegeben. Auf dem letzten Notebook klebt heute noch der Beweismittelaufkleber drauf.
Ich bin da nicht so im Thema, wenn sowas aufgelaufen ist, habe ich freiwillig immer gleich die komplette Hardware abgegeben. Auf dem letzten Notebook klebt heute noch der Beweismittelaufkleber drauf.
Oder halt das Konstrukt readonly mounten.
Macht z.B. Caine automatisch.
Voellig korrekt.
Ob es wirklich ueberall eingehalten wird? Keine Ahnung.
Die Truppenteile die ich kenne haben auf jedenfall die Hardware dazu, Datentrager schreibgeschuetzt an die Auslesekiste anzuschliessen.
BFF
Macht z.B. Caine automatisch.
Sollte man normalerweise nicht auch einen Write-Blocker einsetzen
Voellig korrekt.
Ob es wirklich ueberall eingehalten wird? Keine Ahnung.
Die Truppenteile die ich kenne haben auf jedenfall die Hardware dazu, Datentrager schreibgeschuetzt an die Auslesekiste anzuschliessen.
BFF
Zitat von @tikayevent:
Sollte man normalerweise nicht auch einen Write-Blocker einsetzen, da auch Live-Tools ungewollt möglicherweise etwas auf der Originalplatte verändern kann?
Sollte man normalerweise nicht auch einen Write-Blocker einsetzen, da auch Live-Tools ungewollt möglicherweise etwas auf der Originalplatte verändern kann?
Kommt drauf an, welche Tools man einsetzt und wie sorgfältig man ist. zumidenst solange eine forensische Analyse ist, die Strafverfolgungszwecke oder gerichtliche Auseinandersetzungen gedacht ist.
Sobald man aber das ganze gerichtsfest sein muß, sollte man Spezialhardware einsetzen.
> Ich bin da nicht so im Thema, wenn sowas aufgelaufen ist, habe ich freiwillig immer gleich die komplette Hardware abgegeben. Auf dem letzten Notebook klebt heute noch der Beweismittelaufkleber drauf.
Naja, nicht immer muß es "beweissicher" sein. manchmal ist es auch nur für eine Analyse, was beim letzen "Bedienen" schiefgelaufen ist oder um ein Backup vor Systemänderunge zu machen.
lks
Korrekt und deswegen ist ein Windows explizit ein nogo
moin
Frank
Zitat von @tikayevent:
Sollte man normalerweise nicht auch einen Write-Blocker einsetzen, da auch Live-Tools ungewollt möglicherweise etwas auf der Originalplatte verändern kann?
Ich bin da nicht so im Thema, wenn sowas aufgelaufen ist, habe ich freiwillig immer gleich die komplette Hardware abgegeben. Auf dem letzten Notebook klebt heute noch der Beweismittelaufkleber drauf.
was hast du den angestellt?Sollte man normalerweise nicht auch einen Write-Blocker einsetzen, da auch Live-Tools ungewollt möglicherweise etwas auf der Originalplatte verändern kann?
Ich bin da nicht so im Thema, wenn sowas aufgelaufen ist, habe ich freiwillig immer gleich die komplette Hardware abgegeben. Auf dem letzten Notebook klebt heute noch der Beweismittelaufkleber drauf.
Frank
Moin,
sollte es sich tatsächlich um eine forensische Untersuchung handeln, die vor Gericht gebracht werden soll ist der Zug mit großer Wahrscheinlichkeit eh schon aufgrund der bisherigen Bastelei abgefahren.
Und mir fallen wenig Fälle ein, wo ein Win2000-System noch in einem unverjährten Fall als Beweis herhalten müsste und aufgrund des Tatbestands das System nicht eh schon von der Staatsanwaltschaft mitgenommen worden wäre.
Also vielleicht ist eine Klärung des TOs sinnvoll, ob es persönliche Fortbildung im Homeoffice ist oder einen offiziellen Hintergrund hat.
Gruß
Bernhard
sollte es sich tatsächlich um eine forensische Untersuchung handeln, die vor Gericht gebracht werden soll ist der Zug mit großer Wahrscheinlichkeit eh schon aufgrund der bisherigen Bastelei abgefahren.
Und mir fallen wenig Fälle ein, wo ein Win2000-System noch in einem unverjährten Fall als Beweis herhalten müsste und aufgrund des Tatbestands das System nicht eh schon von der Staatsanwaltschaft mitgenommen worden wäre.
Also vielleicht ist eine Klärung des TOs sinnvoll, ob es persönliche Fortbildung im Homeoffice ist oder einen offiziellen Hintergrund hat.
Gruß
Bernhard
Ich hoffe einfach mal nur, dass es nicht gerichtsfest sein muss, da der TE sonst hier nicht fragen würde 
Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.
Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.
Zitat von @Ex0r2k16:
Ich hoffe einfach mal nur, dass es nicht gerichtsfest sein muss, da der TE sonst hier nicht fragen würde
Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.
Laut meiner Info macht Acronis kein Bit-Copy und kopiert somit auch keine gelöschten Daten mit.Ich hoffe einfach mal nur, dass es nicht gerichtsfest sein muss, da der TE sonst hier nicht fragen würde
Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.
Zitat von @Ex0r2k16:
Ich hoffe einfach mal nur, dass es nicht gerichtsfest sein muss, da der TE sonst hier nicht fragen würde
Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.
Ich hoffe einfach mal nur, dass es nicht gerichtsfest sein muss, da der TE sonst hier nicht fragen würde
Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.
Das gilt gensuso für knoppix:
- Bootet auf (fast) jeder Hardware.
- Alle wesentlich Tools mit an Bord
- Hat für so ziemlich alles Treiber dabei.
- Kann nfs, cifs, webdav, scp, ftp, netcat rsync, etc zum Ablegen nutzen.
KaffekochenSpiele zum Zeitvertreib, während man wartet.
u.v.a. mehr
Zitat von @Lochkartenstanzer:
Deine Beschimpfungen machen es nicht besser. Und wenn man solche Arbeiten sich anlacht, muß man zumidest genug Erfahrung haben, daß man mehrere Alternativen kennt, solche Probleme zu lösen.
lks
Stimmt und da bin ich ganz bei Dir.Zitat von @Akcent:
Auf Deine sinnlose und dumme Antwort habe ich nur gewartet. Du bist hier scheinbar der oberschlaue Voll-Nerd ohne soziale Kontakte. Halt doch einfach mal deine dumme Fresse.
Auf Deine sinnlose und dumme Antwort habe ich nur gewartet. Du bist hier scheinbar der oberschlaue Voll-Nerd ohne soziale Kontakte. Halt doch einfach mal deine dumme Fresse.
Deine Beschimpfungen machen es nicht besser. Und wenn man solche Arbeiten sich anlacht, muß man zumidest genug Erfahrung haben, daß man mehrere Alternativen kennt, solche Probleme zu lösen.
lks
Jedem sollte klar sein, daß man sich in der IT nicht überall auskennen kann. Wie oft kommt es vor, daß man sich mit einem Problem befaßt und dann ein neues Problem hochkommt, das man so noch nicht hatte.
Das Forum habe ich als ein Austausch und Problemlöser verstanden ohne ständig von einer Person angegiftet zu werden. Daher mußte das mal raus.
Zitat von @Akcent:
Zitat von @Ex0r2k16:
Ich hoffe einfach mal nur, dass es nicht gerichtsfest sein muss, da der TE sonst hier nicht fragen würde
Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.
Laut meiner Info macht Acronis kein Bit-Copy und kopiert somit auch keine gelöschten Daten mit.Ich hoffe einfach mal nur, dass es nicht gerichtsfest sein muss, da der TE sonst hier nicht fragen würde
Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.
doch, kann man extra anwählen (Sector-by-Sector Copy). Das ist dann mein ich sogar bit genau.
meine Güte... solche Kopien macht man
a) mit entsprechend zertifizierter Kopier-Hardware
b) mit dd unter Linux... ohne den Quelldatenträger zu mounten. DD macht eine bitgenaue Kopie.
a) mit entsprechend zertifizierter Kopier-Hardware
b) mit dd unter Linux... ohne den Quelldatenträger zu mounten. DD macht eine bitgenaue Kopie.
Das behauptet ja auch keiner, dass man es muss
Dein Profil, ohne dir zu nahe treten zu wollen, erweckt eben auch den Eindruck, dass du hier nur nimmst und nichts gibst, vielleicht hat Christian ja auch deshalb so geantwortet.
Wie oft kommt es vor, daß man sich mit einem Problem befaßt und dann ein neues Problem hochkommt, das man so noch nicht hatte.
Da gebe ich dir RechtDas Forum habe ich als ein Austausch und Problemlöser verstanden ohne ständig von einer Person angegiftet zu werden. Daher mußte das mal raus.
Vollkommen korrekt, es gibt aber auch Leute, die nehmen nur vom Forum und geben nichts und IT Dienstleister, die ihr Wissen oder ein Großteil davon, nur aus dem Forum nehmen, bringen halt die Branche in Verruf, das ist einfach so.Dein Profil, ohne dir zu nahe treten zu wollen, erweckt eben auch den Eindruck, dass du hier nur nimmst und nichts gibst, vielleicht hat Christian ja auch deshalb so geantwortet.
Zitat von @Archeon:
Das behauptet ja auch keiner, dass man es muss
Dein Profil, ohne dir zu nahe treten zu wollen, erweckt eben auch den Eindruck, dass du hier nur nimmst und nichts gibst, vielleicht hat Christian ja auch deshalb so geantwortet.
ok.... da ist was dran. Danke für den HinweisDas behauptet ja auch keiner, dass man es muss
Wie oft kommt es vor, daß man sich mit einem Problem befaßt und dann ein neues Problem hochkommt, das man so noch nicht hatte.
Da gebe ich dir RechtDas Forum habe ich als ein Austausch und Problemlöser verstanden ohne ständig von einer Person angegiftet zu werden. Daher mußte das mal raus.
Vollkommen korrekt, es gibt aber auch Leute, die nehmen nur vom Forum und geben nichts und IT Dienstleister, die ihr Wissen oder ein Großteil davon, nur aus dem Forum nehmen, bringen halt die Branche in Verruf, das ist einfach so.Dein Profil, ohne dir zu nahe treten zu wollen, erweckt eben auch den Eindruck, dass du hier nur nimmst und nichts gibst, vielleicht hat Christian ja auch deshalb so geantwortet.
Vollkommen korrekt, es gibt aber auch Leute, die nehmen nur vom Forum und geben nichts
Die einen nehmen "Tipps und Tricks", die anderen nehmen "Kunden".
lks
