Сохранив данные в файле, можно выбрать формат образа. Физический образ (raw image) содержит только данные с исходного диска, что упрощает сравнение образа с исходными данными. Внедренный образ (embedded image) содержит данные с исходного устройства и дополнительную служебную информацию: хеш-коды, пометки даты pi времени. Некоторые программы создают физический образ и сохраняют служебную информацию в отдельном файле. Напомню, что хеш-коды (CRC, MD5 и SHA-1) используются для проверки целостности данных. Примеры форматов образов показаны на рис. 3.5.

Рис. 3.5. Примеры образов: (А) - физический образ, (В) - внедренный образ, в котором метаданные чередуются с физическими данными, (С) - комбинированный образ: данные хранятся в физическом формате, а метаданные находятся в отдельном файле

В текущих реализациях многие программы клонирования используют закрытые форматы внедренных образов. Примерами могут послужить программы

EnCase1 (Guidance Software) и SafeBack (NTI). Формат образов других программ документирован - как, скажем, формат ProDiscover (Technology Pathway) [Technology Pathways, 2003]. Как правило, аналитические программы импортируют физические образы, поэтому этот формат обеспечивает наибольшую гибкость. Программы SMART (ASR Data) и dcfldd/dccidd снимают данные в физическом формате и создают внешний файл с дополнительной информацией.

Выбор приемника | Криминалистический анализ файловых систем | Сжатие файла образа


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31