Сохранив данные в файле, можно выбрать формат образа. Физический образ (raw image) содержит только данные с исходного диска, что упрощает сравнение образа с исходными данными. Внедренный образ (embedded image) содержит данные с исходного устройства и дополнительную служебную информацию: хеш-коды, пометки даты pi времени. Некоторые программы создают физический образ и сохраняют служебную информацию в отдельном файле. Напомню, что хеш-коды (CRC, MD5 и SHA-1) используются для проверки целостности данных. Примеры форматов образов показаны на рис. 3.5.

Рис. 3.5. Примеры образов: (А) - физический образ, (В) - внедренный образ, в котором метаданные чередуются с физическими данными, (С) - комбинированный образ: данные хранятся в физическом формате, а метаданные находятся в отдельном файле

В текущих реализациях многие программы клонирования используют закрытые форматы внедренных образов. Примерами могут послужить программы

EnCase1 (Guidance Software) и SafeBack (NTI). Формат образов других программ документирован - как, скажем, формат ProDiscover (Technology Pathway) [Technology Pathways, 2003]. Как правило, аналитические программы импортируют физические образы, поэтому этот формат обеспечивает наибольшую гибкость. Программы SMART (ASR Data) и dcfldd/dccidd снимают данные в физическом формате и создают внешний файл с дополнительной информацией.

Выбор приемника | Криминалистический анализ файловых систем | Сжатие файла образа


Криминалистический анализ файловых систем



Новости за месяц

  • Февраль
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс