К категории содержимого относятся адреса ячеек носителя информации, ассоциированных с файлами и каталогами и предназначенных для сохранения информации. Данные этой категории обычно делятся на группы равного размера; я буду называть эти группы блоками данных, хотя в каждой файловой системе используется свой термин (например, кластер или блок). Блок данных может находиться в одном из двух состояний: выделенном или свободном. Как правило, существует некоторая структура данных, в которой хранится информация о состоянии каждого блока данных.

При создании нового или расширении существующего файла ОС ищет свободный блок данных и выделяет его файлу. Различные стратегии поиска будут рассмотрены далее, в разделе «Стратегии выделения». Когда файл удаляется, выделенные ему блоки данных переводятся в свободное состояние и могут выделяться новым файлам. Большинство ОС не стирает содержимое блоков данных при их переводе в свободное состояние, хотя некоторые ОС и программы «надежного удаления» предоставляют такую возможность.

Анализ данных содержимого проводится с целью восстановления удаленных данных и проведения низкоуровневого поиска. Объем данных содержимого относительно велик, поэтому анализ обычно проводится в автоматизированном режиме. Например, если эксперт может проанализировать содержимое 512-байтового сектора за 5 секунд, то при 12-часовом рабочем дне на анализ 40-гигабайтного диска ему потребуется 388 дней.

Общие сведения

В этом разделе рассматриваются механизмы адресации блоков данных, способы их выделения и обработки поврежденных блоков данных файловой системой.

Методы анализа и категории данных | Криминалистический анализ файловых систем | Логические адреса файловой системы


Криминалистический анализ файловых систем



Новости за месяц

  • Июль
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс