akcent
Goto Top

1:1 Kopie eines alten HP Server unter Windows 2000

Hallo,

ich habe hier einen alten Windows 2000 Server. Hardware ist ein HP Proliant ML 350 mit einem SmartArray Controller (RAID)

Ich benötige für eine Forensische Untersuchung eine 1:1 Kopie.
Nach langem Suchen habe ich es geschafft mit einem Windows 10 32 Bit über eine CD zu booten und dann mit HDclone eine 1:1 Kopie zu starten.
Leider ist der Kopiervorgang fast immer zwischen 70 und 90% abgebrochen.

Hat ggf. noch einmal eine Idee mit was ich den Server booten und eine 1:1 Kopie erstellen könnte?

Gruß, Herry

Content-ID: 560342

Url: https://administrator.de/forum/1-1-kopie-eines-alten-hp-server-unter-windows-2000-560342.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

Xerebus
Xerebus 22.03.2020 um 19:51:25 Uhr
Goto Top
Linux dd
Lochkartenstanzer
Lochkartenstanzer 22.03.2020 um 20:01:53 Uhr
Goto Top
Zitat von @Akcent:

Hat ggf. noch einmal eine Idee mit was ich den Server booten und eine 1:1 Kopie erstellen könnte?

knoppix.

Oder die Platte ausbauen und an einem andren System einlesen.

lks
tomolpi
tomolpi 22.03.2020 um 20:04:19 Uhr
Goto Top
Hi,

Ich werfe noch Clonezilla in den Ring face-wink
Vision2015
Vision2015 22.03.2020 um 20:05:16 Uhr
Goto Top
moin...
Zitat von @Akcent:

Zitat von @certifiedit.net:

Hallo,

warum nimmst du Arbeiten an, die du nicht leisten kannst?

Zum Thema. 1:1 Kopien macht man eigentlich nicht unter Windows, weil viel zu fern von der HW.

VG
Auf Deine sinnlose und dumme Antwort habe ich nur gewartet. Du bist hier scheinbar der oberschlaue Voll-Nerd ohne soziale Kontakte. Halt doch einfach mal deine dumme Fresse.
sorry ... solch ein asoziales verhalten von dir, ist nicht zu dulden!
und ja, der kollege hat recht, du willst eine "Forensische Untersuchung" durchführen, aber du kannst nicht mal ein dummes Raid clonen... sorry, das ist lächerlich. mit DD kommst du schon weiter, als fachmann ist die ja die vorgehensweise geläufig.

kleiner Tip von mir, lass das mit der "Forensische Untersuchung" sein, Höflichkeit und Respekt wird bei dir dringender gebraucht!

Frank
Lochkartenstanzer
Lochkartenstanzer 22.03.2020 um 20:09:41 Uhr
Goto Top
Zitat von @Akcent:

Auf Deine sinnlose und dumme Antwort habe ich nur gewartet. Du bist hier scheinbar der oberschlaue Voll-Nerd ohne soziale Kontakte. Halt doch einfach mal deine dumme Fresse.

Deine Beschimpfungen machen es nicht besser. Und wenn man solche Arbeiten sich anlacht, muß man zumidest genug Erfahrung haben, daß man mehrere Alternativen kennt, solche Probleme zu lösen.

lks
ChriBo
ChriBo 22.03.2020 um 20:17:18 Uhr
Goto Top
Hi,
willst du eine "echte" foresische Utersuchug durchführen, d.h. das du mußt auch z.B in gelöschte Datein suchen oder das Ergebnis muß gerichtsfest sein: sorry, aber such dir jemaden der das für dich macht. HDclone ist dafür die verkehrte Wahl.
-
Willst du aber nur etwas suchen und nicht am Original arbeiten:
Software um eine foresische Kopie zu erstellen:
z.B. Clonezilla, dd, OSFclone, F.H.C. live, guymager. etc.

Wie und ob du dann mit den Images arbeiten kannst, bzw. wie und ob du die Images auf Festplatte zurückspielst, bzw. nur mountest ist da eine andere Sache.

CH
57803
57803 22.03.2020 um 21:45:13 Uhr
Goto Top
Servus,

grml

mfg
Lochkartenstanzer
Lochkartenstanzer 22.03.2020 um 21:46:46 Uhr
Goto Top
Geht mal alle raus an die Frische Luft. Aber einzeln.

lks
142583
142583 22.03.2020 um 22:00:33 Uhr
Goto Top
Wenn es wirklich eine forensische Kopie werden soll, dann mit einschlägigen Tools oder eben die freien Tools die die Nullen und Einsen entsprechend kopieren. Rechtssicherheit wird man so vermutlich nicht erlangen.

Paragon oder Acronis hatten früher eine Bit by Bit Funktion. Ob das forensisch sicher wäre, weiß ich nicht.
Ich weiß allerdings von den Truppenteile die mit der Polizei zu tun haben, dass es dafür Kopierstationen gibt ähnlich wie die Consumer Kopierstationen.

P2V einen Gedanken Wert?
tikayevent
tikayevent 22.03.2020 um 23:23:55 Uhr
Goto Top
Sollte man normalerweise nicht auch einen Write-Blocker einsetzen, da auch Live-Tools ungewollt möglicherweise etwas auf der Originalplatte verändern kann?

Ich bin da nicht so im Thema, wenn sowas aufgelaufen ist, habe ich freiwillig immer gleich die komplette Hardware abgegeben. Auf dem letzten Notebook klebt heute noch der Beweismittelaufkleber drauf.
BassFishFox
BassFishFox 23.03.2020 aktualisiert um 00:02:17 Uhr
Goto Top
Oder halt das Konstrukt readonly mounten.
Macht z.B. Caine automatisch.

Sollte man normalerweise nicht auch einen Write-Blocker einsetzen

Voellig korrekt.
Ob es wirklich ueberall eingehalten wird? Keine Ahnung.
Die Truppenteile die ich kenne haben auf jedenfall die Hardware dazu, Datentrager schreibgeschuetzt an die Auslesekiste anzuschliessen.

BFF
Lochkartenstanzer
Lochkartenstanzer 23.03.2020 um 00:07:30 Uhr
Goto Top
Zitat von @tikayevent:

Sollte man normalerweise nicht auch einen Write-Blocker einsetzen, da auch Live-Tools ungewollt möglicherweise etwas auf der Originalplatte verändern kann?

Kommt drauf an, welche Tools man einsetzt und wie sorgfältig man ist. zumidenst solange eine forensische Analyse ist, die Strafverfolgungszwecke oder gerichtliche Auseinandersetzungen gedacht ist.

Sobald man aber das ganze gerichtsfest sein muß, sollte man Spezialhardware einsetzen.

> Ich bin da nicht so im Thema, wenn sowas aufgelaufen ist, habe ich freiwillig immer gleich die komplette Hardware abgegeben. Auf dem letzten Notebook klebt heute noch der Beweismittelaufkleber drauf.

Naja, nicht immer muß es "beweissicher" sein. manchmal ist es auch nur für eine Analyse, was beim letzen "Bedienen" schiefgelaufen ist oder um ein Backup vor Systemänderunge zu machen.

lks
certifiedit.net
certifiedit.net 23.03.2020 um 00:23:23 Uhr
Goto Top
Korrekt und deswegen ist ein Windows explizit ein nogo
Vision2015
Vision2015 23.03.2020 um 06:56:40 Uhr
Goto Top
moin
Zitat von @tikayevent:

Sollte man normalerweise nicht auch einen Write-Blocker einsetzen, da auch Live-Tools ungewollt möglicherweise etwas auf der Originalplatte verändern kann?

Ich bin da nicht so im Thema, wenn sowas aufgelaufen ist, habe ich freiwillig immer gleich die komplette Hardware abgegeben. Auf dem letzten Notebook klebt heute noch der Beweismittelaufkleber drauf.
was hast du den angestellt?

Frank
BernhardMeierrose
BernhardMeierrose 23.03.2020 um 08:17:08 Uhr
Goto Top
Moin,

sollte es sich tatsächlich um eine forensische Untersuchung handeln, die vor Gericht gebracht werden soll ist der Zug mit großer Wahrscheinlichkeit eh schon aufgrund der bisherigen Bastelei abgefahren.
Und mir fallen wenig Fälle ein, wo ein Win2000-System noch in einem unverjährten Fall als Beweis herhalten müsste und aufgrund des Tatbestands das System nicht eh schon von der Staatsanwaltschaft mitgenommen worden wäre.
Also vielleicht ist eine Klärung des TOs sinnvoll, ob es persönliche Fortbildung im Homeoffice ist oder einen offiziellen Hintergrund hat.

Gruß
Bernhard
Ex0r2k16
Ex0r2k16 23.03.2020 um 08:21:03 Uhr
Goto Top
Ich hoffe einfach mal nur, dass es nicht gerichtsfest sein muss, da der TE sonst hier nicht fragen würde face-smile

Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.
Akcent
Akcent 23.03.2020 um 08:25:13 Uhr
Goto Top
Zitat von @Ex0r2k16:

Ich hoffe einfach mal nur, dass es nicht gerichtsfest sein muss, da der TE sonst hier nicht fragen würde face-smile

Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.
Laut meiner Info macht Acronis kein Bit-Copy und kopiert somit auch keine gelöschten Daten mit.
Lochkartenstanzer
Lochkartenstanzer 23.03.2020 aktualisiert um 08:27:51 Uhr
Goto Top
Zitat von @Ex0r2k16:

Ich hoffe einfach mal nur, dass es nicht gerichtsfest sein muss, da der TE sonst hier nicht fragen würde face-smile

Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.

Das gilt gensuso für knoppix:

  • Bootet auf (fast) jeder Hardware.
  • Alle wesentlich Tools mit an Bord
  • Hat für so ziemlich alles Treiber dabei.
  • Kann nfs, cifs, webdav, scp, ftp, netcat rsync, etc zum Ablegen nutzen.
^ Fehlendes jan onthe fly navhinstalliert werden.
  • Kaffekochen Spiele zum Zeitvertreib, während man wartet.

u.v.a. mehr
Akcent
Akcent 23.03.2020 um 08:29:24 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Akcent:

Auf Deine sinnlose und dumme Antwort habe ich nur gewartet. Du bist hier scheinbar der oberschlaue Voll-Nerd ohne soziale Kontakte. Halt doch einfach mal deine dumme Fresse.

Deine Beschimpfungen machen es nicht besser. Und wenn man solche Arbeiten sich anlacht, muß man zumidest genug Erfahrung haben, daß man mehrere Alternativen kennt, solche Probleme zu lösen.

lks
Stimmt und da bin ich ganz bei Dir.
Jedem sollte klar sein, daß man sich in der IT nicht überall auskennen kann. Wie oft kommt es vor, daß man sich mit einem Problem befaßt und dann ein neues Problem hochkommt, das man so noch nicht hatte.
Das Forum habe ich als ein Austausch und Problemlöser verstanden ohne ständig von einer Person angegiftet zu werden. Daher mußte das mal raus.
Ex0r2k16
Ex0r2k16 23.03.2020 um 08:36:41 Uhr
Goto Top
Zitat von @Akcent:

Zitat von @Ex0r2k16:

Ich hoffe einfach mal nur, dass es nicht gerichtsfest sein muss, da der TE sonst hier nicht fragen würde face-smile

Ich bin bei sowas eigentlich immer ganz gut mit Acronis gefahren. Die boot CD hat bisher fast alles gefressen. Ich bin mir aber nicht sicher ob der Raidcontroller supported wird. Falls ja ist das immer mein Tool der Wahl. Image kann direkt auf nem FTP im Netz abgelegt werden. Äußerst praktisch.
Laut meiner Info macht Acronis kein Bit-Copy und kopiert somit auch keine gelöschten Daten mit.

doch, kann man extra anwählen (Sector-by-Sector Copy). Das ist dann mein ich sogar bit genau.
GrueneSosseMitSpeck
GrueneSosseMitSpeck 23.03.2020 um 09:36:36 Uhr
Goto Top
meine Güte... solche Kopien macht man
a) mit entsprechend zertifizierter Kopier-Hardware
b) mit dd unter Linux... ohne den Quelldatenträger zu mounten. DD macht eine bitgenaue Kopie.
Archeon
Archeon 23.03.2020 um 09:53:27 Uhr
Goto Top
Zitat von @Akcent:
Jedem sollte klar sein, daß man sich in der IT nicht überall auskennen kann.
Das behauptet ja auch keiner, dass man es muss
Wie oft kommt es vor, daß man sich mit einem Problem befaßt und dann ein neues Problem hochkommt, das man so noch nicht hatte.
Da gebe ich dir Recht
Das Forum habe ich als ein Austausch und Problemlöser verstanden ohne ständig von einer Person angegiftet zu werden. Daher mußte das mal raus.
Vollkommen korrekt, es gibt aber auch Leute, die nehmen nur vom Forum und geben nichts und IT Dienstleister, die ihr Wissen oder ein Großteil davon, nur aus dem Forum nehmen, bringen halt die Branche in Verruf, das ist einfach so.
Dein Profil, ohne dir zu nahe treten zu wollen, erweckt eben auch den Eindruck, dass du hier nur nimmst und nichts gibst, vielleicht hat Christian ja auch deshalb so geantwortet.
Akcent
Akcent 23.03.2020 um 11:17:14 Uhr
Goto Top
Zitat von @Archeon:

Zitat von @Akcent:
Jedem sollte klar sein, daß man sich in der IT nicht überall auskennen kann.
Das behauptet ja auch keiner, dass man es muss
Wie oft kommt es vor, daß man sich mit einem Problem befaßt und dann ein neues Problem hochkommt, das man so noch nicht hatte.
Da gebe ich dir Recht
Das Forum habe ich als ein Austausch und Problemlöser verstanden ohne ständig von einer Person angegiftet zu werden. Daher mußte das mal raus.
Vollkommen korrekt, es gibt aber auch Leute, die nehmen nur vom Forum und geben nichts und IT Dienstleister, die ihr Wissen oder ein Großteil davon, nur aus dem Forum nehmen, bringen halt die Branche in Verruf, das ist einfach so.
Dein Profil, ohne dir zu nahe treten zu wollen, erweckt eben auch den Eindruck, dass du hier nur nimmst und nichts gibst, vielleicht hat Christian ja auch deshalb so geantwortet.
ok.... da ist was dran. Danke für den Hinweis
Lochkartenstanzer
Lochkartenstanzer 23.03.2020 um 11:59:03 Uhr
Goto Top
Zitat von @Archeon:


Vollkommen korrekt, es gibt aber auch Leute, die nehmen nur vom Forum und geben nichts

Die einen nehmen "Tipps und Tricks", die anderen nehmen "Kunden". face-smile

lks