Kopia binarna stanowi podstawowy materiał dowodowy w informatyce śledczej, tworząc dokładną, bit-po-bicie replikę nośnika bez ingerencji w oryginał. Umożliwia analizę wszystkich obszarów dysku — w tym nieprzydzielonych, usuniętych plików i metadanych — przy zachowaniu pełnej integralności poprzez hashe (MD5/SHA1), co jest kluczowe dla dopuszczalności w postępowaniu sądowym. Dzięki temu oryginał pozostaje nienaruszony (model „post mortem”), a analiza odbywa się na bezpiecznym obrazie, minimalizując ryzyko utraty wartości dowodowej.
FTK Imager to wszechstronne narzędzie wspierające proces tworzenia kopii binarnych i wstępnej analizy danych cyfrowych. Umożliwia zachowanie integralności dowodów i bezpieczny dostęp do ich zawartości.
Poniżej raport z zadania laboratoryjnego dotyczącego kopii binarnych.
- Zainstalowano TFK Imager
2. Badany nośnik
3. „Pracowano na blokerze sprzętowym Cellebrite A-CRD-01-005 S/N 1008042”
4. Wykonano kopie binarne pendrive
- W formacie DD
Created By Exterro® FTK® Imager 4.7.3.81
Case Information:
Acquired using: ADI4.7.3.81
Case Number: RS1.2026s
Evidence Number: Ticket - Incydent 2.2026
Unique description: kopia binarna pendrive Kingston DataTraveler 2.0 o poj. 2GB o SN:5B7304838F25
Examiner: Rafał Sitek - Activum24.pl
Notes: kopia typu DD "wykonana z wykorzystaniem blokera sprzętowego Cellebrite A-CRD-01-005 S/N 1008042"
--------------------------------------------------------------
Information for C:\Users\Biuro\LAB\1.2026_pendrive_Kingston_DataTraveler_2GB_SN_5B7304838F25:
Physical Evidentiary Item (Source) Information:
[Device Info]
Source Type: Physical
[Drive Geometry]
Cylinders: 250
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 4 030 464
[Physical Drive Information]
Drive Model: Kingston DataTraveler 2.0 USB Device
Drive Serial Number: 5B7304838F25
Drive Interface Type: USB
Removable drive: True
Source data size: 1968 MB
Sector count: 4030464
[Computed Hashes]
MD5 checksum: cad5b3e440a22ccdd0be3f2e627999a3
SHA1 checksum: 0dd4b6391f42392fe13d31e096e3268a0cdc3472
Image Information:
Acquisition started: Sun Apr 12 09:15:07 2026
Acquisition finished: Sun Apr 12 09:18:07 2026
Segment list:
C:\Users\Biuro\LAB\1.2026_pendrive_Kingston_DataTraveler_2GB_SN_5B7304838F25.001
COMPUTED HASH : cad5b3e440a22ccdd0be3f2e627999a3
COMPUTED HASH : 0dd4b6391f42392fe13d31e096e3268a0cdc3472
Image Verification Results:
Verification started: Sun Apr 12 09:18:07 2026
Verification finished: Sun Apr 12 09:18:12 2026
MD5 checksum: cad5b3e440a22ccdd0be3f2e627999a3 : verified
SHA1 checksum: 0dd4b6391f42392fe13d31e096e3268a0cdc3472 : verified- W formacie E01
Created By Exterro® FTK® Imager 4.7.3.81
Case Information:
Acquired using: ADI4.7.3.81
Case Number: RS1.2026s
Evidence Number: Ticket - Incydent 2.2026
Unique description: kopia binarna pendrive Kingston DataTraveler 2.0 o poj. 2GB o SN:5B7304838F25
Examiner: Rafał Sitek - Activum24.pl
Notes: kopia typu E01 "wykonana z wykorzystaniem blokera sprzętowego Cellebrite A-CRD-01-005 S/N 1008042"
--------------------------------------------------------------
Information for C:\Users\Biuro\LAB\1.2026_pendrive_Kingston_DataTraveler_2GB_SN_5B7304838F25:
Physical Evidentiary Item (Source) Information:
[Device Info]
Source Type: Physical
[Drive Geometry]
Cylinders: 250
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 4 030 464
[Physical Drive Information]
Drive Model: Kingston DataTraveler 2.0 USB Device
Drive Serial Number: 5B7304838F25
Drive Interface Type: USB
Removable drive: True
Source data size: 1968 MB
Sector count: 4030464
[Computed Hashes]
MD5 checksum: cad5b3e440a22ccdd0be3f2e627999a3
SHA1 checksum: 0dd4b6391f42392fe13d31e096e3268a0cdc3472
Image Information:
Acquisition started: Sun Apr 12 09:20:03 2026
Acquisition finished: Sun Apr 12 09:23:03 2026
Segment list:
C:\Users\Biuro\LAB\1.2026_pendrive_Kingston_DataTraveler_2GB_SN_5B7304838F25.E01
COMPUTED HASH : cad5b3e440a22ccdd0be3f2e627999a3
COMPUTED HASH : 0dd4b6391f42392fe13d31e096e3268a0cdc3472
Image Verification Results:
Verification started: Sun Apr 12 09:23:03 2026
Verification finished: Sun Apr 12 09:23:08 2026
MD5 checksum: cad5b3e440a22ccdd0be3f2e627999a3 : verified
SHA1 checksum: 0dd4b6391f42392fe13d31e096e3268a0cdc3472 : verified5. Wykonane kopie posiadają te same sumy kontrolne. Zgodnie z oczekiwaniami kopia skompersowana E01 ma mniejszy rozmiar. Powyżej przedstawiono raporty z przeprowadzonych kopii.
6. Z kopii binarnej E01 odzyskano plik DigitalPDFSigner.java
7. Dodatkowo kopię binarną E01 zamontowano w systemie operacyjnym i dokonano próbę odzyskania plików skasowanych narzędziem Recuva.
Ze względu na to, że nośnik był wcześniej formatowany – narzędzie nie znalazło plików, które mogłyby być odzyskane.
Wykonano te zadanie z przykładowego obrazu przygotowanego na ćwiczenie i odzyskano plik _h.jpg
