使用中にハードドライブのビットごとのコピーを作成するにはどうすればよいですか？

あなたはしません。

フォレンジックディスクイメージングに関しては、実際には2つの考え方があります。

oldschoolメソッドは、PCのプラグを抜いてすぐに、ドライブのイメージを作成することでしたその状態で、何も変更されていないことを確認します。それはまた、ある程度のもっともらしい否認を保証しました...

そして、パスワードでドライブを暗号化できることに人々が気付いた瞬間、それはあまりうまくいきませんでした。

liveフォレンジックキャプチャでは、nothingがeverが変更され、適切なログが記録されていれば、審査官が何をしたかがわかります。容疑者が自分のシステムをロックしていない場合は、何が起こっているのかを解明するのに十分なデータをコピーして入手できる可能性があるため、これも便利です。

フォレンジックで、エージェントをリモートコンピューターに展開し、使用中であっても、未割り当て領域やスワップを含むリモートハードドライブの正確なコピーを取得できることを学びました。このコピーは、エージェントによってインターネット経由でPCに送信され、PCで作業できます。

両方のプロセスを混乱させているように感じます-ライブディスクでエージェントやその他のツールを実行するか、ハードドライブをプルしてイメージを作成します「従来の」方法、ライブツールの使用、または実行中のシステムでの古き良き調査作業。実行中のシステムでは、適切なフォレンジック複製を実際に取得することはできません。

EnCase たとえば、別のツールで作成されたVHDまたはVMDKで作業できますが、調査対象のシステムで直接実行することはありません。