Как показано в главе 2, существует два способа обращения к данным на диске. В первом способе операционная система или программа клонирования обращается к жесткому диску напрямую; для этого программа должна обладать полной информацией о конфигурации оборудования. Во втором способе операционная система или программа клонирования обращается к жесткому диску через прослойку BIOS (Basic Input/Output System), которой известны все подробности конфигурации. На первый взгляд особых различий не видно, и работать через BIOS вроде бы удобнее, потому что BIOS берет на себя все аппаратные тонкости. К сожалению, когда речь идет о расследовании, дело обстоит несколько сложнее.

При обращении через BIOS возникает опасность того, что BIOS вернет неверную информацию о диске. Если BIOS считает, что размер диска составляет 8 Гбайт, тогда как фактический размер равен 12 Гбайт, функции INT 13h предоставят доступ только к первым 8 Гбайт дискового пространства. Следовательно, при клонировании диска последние 4 Гбайт не будут скопированы. Суть происходящего продемонстрирована на рис. 3.1, где два приложения пытаются определить размер диска разными способами.

Рис. 3.1. Два приложения пытаются определить размер диска. Из-за неверной конфигурации ВЮБ сообщает, что размер 12-гигабайтного диска составляет всего 8 Гбайт

Возможны различные варианты этого сценария. Первый - когда ВЮ5 настраивается на конкретную геометрию жесткого диска, отличную от фактической.

В другом варианте программа клонирования использует устаревший метод получения размера диска. Приложение может запросить у BIOS размер диска двумя способами. Во-первых, оно может воспользоваться исходной функцией INT 13h, которая подвержена ограничению в 8 Гбайт и возвращает результат, используя геометрию диска в формате CHS. Во-вторых, приложение может воспользоваться расширенной функцией INT 13h, возвращающей результат в формате LBA. Так, группа CFTT в NIST использовала 2-гигабайтный жесткий диск и компьютер, на котором исходная и расширенная функции INT 13h возвращали разные размеры. Результат расширенной функции был правильным, тогда как исходная функция выдавала заниженный результат [U.S. Department of Justice, 2003].

Время от времени в один из списков рассылки, посвященных цифровой экспертизе, поступают сообщения от пользователей, клонировавших диск двумя разными программами и получивших образы разного размера. Причина обычно заключается в том, что одна программа использовала BIOS, а другая - нет. Убедитесь в том, что вы знаете, как ваша программа обращается к диску, и в случае использования BIOS проследите за тем, чтобы перед копированием она правильно выдавала полный размер диска. BIOS становится еще одним промежуточным звеном, повышающим вероятность внесения ошибок в итоговый образ. Если это возможно, постарайтесь обойтись без участия BIOS.

Тение исходных данных | Криминалистический анализ файловых систем | Режимы снятия данных


Криминалистический анализ файловых систем



Новости за месяц

  • Февраль
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс