Одна из рекомендаций из области цифровой экспертизы, приведенных в главе 1, гласила, что исходные данные должны подвергаться как можно меньшим изменениям. Существует множество методов снятия информации, не связанных с модификацией исходных данных, но ошибки все же случаются. Более того, некоторые методы могут изменять исходные данные, чего нам хотелось бы избежать.

Аппаратный блокировщик записи представляет собой устройство, подключенное между компьютером и носителем информации. Такое устройство отслеживает передаваемые команды и не позволяет компьютеру записывать данные на устройство хранения информации. Блокировщики поддерживают разные интерфейсы пересылки данных, в том числе АТА, SCSI, FireWire (IEEE 1394), USB или Serial АТА. Они особенно важны в операционных системах, способных смонтировать исходный диск (например, Microsoft Windows).

При обсуждении команд АТА в главе 2 говорилось о том, что диск выполняет какие-либо действия лишь после записи в его регистр команд. Таким образом, теоретически простейший аппаратный блокировщик записи АТА просто не дает контроллеру записать в регистр команд никакие значения, которые могли бы привести к записи информации или ее стиранию с диска. Тем не менее такое устройство может разрешить контроллеру запись данных в другие регистры. Можно сказать, что блокировщик записи разрешает зарядить ружье, но не дает возможности спустить курок. На рис. 3.3 показано, что команды чтения передаются диску, а команды записи - нет.

Рис. 3.3. Запрос на чтение сектора 5 передается через блокировщик записи, но команда записи в тот же сектор блокируется на пути к диску

Устройство No Write компании MyKeyTechnologies обладает более сложной конструкцией и выполняет функции посредника с поддержкой состояния между контроллером и жестким диском [MyKeyTechnology, 2003]. Данные и команды передаются жесткому диску только для заведомо безопасных команд. Аргументы команд не записываются в регистры, если устройство NoWrite не знает, к какой команде они относятся. Пересылка данных несколько замедляется, но зато снижается опасность записи потенциально опасных команд. Если продолжить предыдущую аналогию, такой процесс проверяет каждый патрон и разрешает заряжать ружье только холостыми.

Я уже упоминал об аппаратных блокировщиках записи в разделах, посвященных НРА и DCO, и сейчас хочу снова вернуться к этой теме. Для удаления областей

НРА и DCO диску необходимо передать соответствующие команды. Так как выполнение этих команд приводит к изменению устройства, они должны быть остановлены аппаратным блокировщиком записи. Устройство NoWrite делает исключение для команды SET_MAX и разрешает выполнять ее при сброшенном бите устойчивости, чтобы изменения не носили постоянного характера. Все остальные команды SET_MAX и DEVICE_CONFIGURATION блокируются. Некоторые блокировщи-ки записи разрешают прохождение этих команд, а другие их блокируют. На момент написания книги документация с перечислением блокируемых команд почти не встречалась.

Аппаратные блокировщики записи, как и все остальные аналитические инструменты, должны проходить тщательное тестирование, и группа CFTT при NIST опубликовала спецификацию аппаратных блокировщиков записи (http:// www.cftt.nist.gov/hardware_write_bLock.htm). В спецификации содержится классификация команд АТА (изменяющие, неизменяющие, конфигурационные). Согласно спецификации, устройство должно блокировать изменяющие команды и возвращать (не обязательно) признак успеха или неудачи.

Dco | Криминалистический анализ файловых систем | Программная блокировка записи


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31