Еще одна ситуация: точное местонахождение улик неизвестно, но мы знаем, что они находятся в свободном (невыделенном) пространстве. Некоторые программы позволяют извлечь содержимое всех свободных блоков данных файловой системы в отдельный файл, другие проводят анализ только в пределах свободных областей. Результат извлечения всех свободных блоков будет представлять собой низкоуровневые данные, лишенные какой-либо структуры файловой системы, поэтому такие данные не могут обрабатываться в средствах анализа файловой системы.

На рис. 8.6 изображена битовая карта первых 12 блоков данных. В этой структуре каждый блок данных представлен одним битом. Если бит равен 1, значит, блок данных выделен, а если 0 - свободен. Если потребуется извлечь содержимое всех свободных блоков данных, мы извлечем блоки 2, 6, 7 и 11.

Рис. 8.6. Чтобы извлечь содержимое свободных блоков данных, мы просматриваем битовую карту выделения и извлекаем блоки с заданным значением

Функция извлечения содержимого свободного пространства файловой системы поддерживается многими программами цифровой экспертизы, хотя определения «свободного пространства» могут быть разными. Я заметил, что некоторые программы считают свободными любые данные, не принадлежащие файлам, включая данные категории файловой системы и метаданные. С другой стороны, некоторые программы восстанавливают удаленные файлы и считают их блоки данных выделенными, хотя с технической точки зрения эти блоки свободны. А вы знаете, как ваша программа интерпретирует свободные данные?

В пакете TSK программа dis извлекает свободные данные в файл. Обнаружив интересные данные, вы захотите узнать, в каком блоке данных файловой системы они находились; для этой цели можно воспользоваться программой dcalc. TSK считает свободными блоки данных в категории содержимого, у которых состояние выделения помечено как свободное. Если некоторые блоки данных используются файловой системой и не имеют состояния выделения, они считаются выделенными.

Поиск в логической файловой системе | Криминалистический анализ файловых систем | Порядок выделения блоков данных


Криминалистический анализ файловых систем



Новости за месяц

  • Февраль
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс