При снятии данных с современных дисков АТА также следует проверить наличие области DCO (Device Configuration Overlay), из-за которой размер диска кажется меньше фактического. Область DCO в целом похожа на НРА, причем обе области могут существовать на диске одновременно (тема DCO также обсуждалась в главе 2).

Присутствие DCO обнаруживается сравнением результатов двух команд АТА. Команда READ_NATIVE_MAX_ADDRESS возвращает максимальный сектор диска, доступный для обычных команд АТА, а команда D EVICE_C0N FIGU RATION_IDЕNTIFY - физическое количество секторов. Если результаты двух команд различаются, значит, на диске существует защищенная область DCO и ее необходимо удалить для снятия всей информации.

Чтобы удалить область DCO, необходимо изменить конфигурацию диска командой D EVIСЕ_С0 N FIG U RATIO N_S ET или D EVICE_C0 N FIG U RATIO N_RESET. Оба изменения имеют постоянный характер и не пропадают при сбросе, как это возможно при создании областей НРА. В настоящее время лишь немногие программы способны обнаруживать и удалять DCO. Например, программа Image MASSter Solo

2 от ICS (http://www.icforensic.com) копирует секторы, скрытые в DCO. Как и в случае с НРА, самое безопасное решение заключается в полном копировании диска с областью DCO, ее удалении и создании второй копии. Не забудьте документировать факт удаления DCO. Кроме того, проверьте, не запрещено ли удаление DCO аппаратным блокировщиком записи.

Область нра | Криминалистический анализ файловых систем | Аппаратная блокировка записи


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс