К категории метаданных относятся данные, описывающие файлы: адреса блоков данных, выделенных файлу, размер файла и временные штампы. Состав данных этой категории зависит от типа файловой системы. В пакете TSK к этой категории относятся 4 программы, имена которых начинаются с префикса i.

Для получения подробной информации о конкретной записи метаданных можно воспользоваться программой istat. В ее результатах указываются размеры, временные штампы и разрешения; кроме того, будут приведены адреса всех выделенных единиц данных. Для образов NTFS istat выводит все атрибуты файла. Примеры встречаются в главах 9, 12, 14 и 16.

Информация по нескольким структурам метаданных выводится программой ils. По умолчанию ils ограничивается выводом информации о свободных записях, но программу также можно запустить с ключом -е для получения полной информация. Вывод информации о свободных метаданных особенно полезен при поиске записей удаленных файлов, если запись имени была выделена другому файлу.

# ils -f ntfs -е ntfslO.dd

ОI a 10101108979528711089795287110897952871100555111247552001010

11 a 1010110897952871108979528711089795287110055511140961010 [...]

2551 a 125610199856800011100132856110897957311100777111153601010 2561f12561011100132871111001328711110013287111007771112561010

Выходные данные ils форматируются с расчетом на автоматизированную обработку; они часто используются с программой mactime для построения временных диаграмм. После обнаружения блока данных с интересными уликами можно провести поиск всех записей метаданных, запустив программу ifind с параметром -d. Если же потребуется найти запись метаданных; на которую ссылается некоторое имя файла, можно запустить программу ifind с флагом -п. Так, в следующем примере выясняется, что кластер NTFS 3456 был выделен атрибуту $DATA записи MFT с номером 18080:

# ifind -f ntfs -d 3456 ntfslO.dd 18080-128-3

Наконец, программа icat позволяет просмотреть содержимое любого файла по адресу его метаданных (вместо имени файла). Например, такая возможность может оказаться полезной для поиска свободных файлов, на метаданные которых не ссылается ни одна запись имени. В частности, эта команда использовалась в главе, посвященной NTFS, потому что в этой системе все данные хранятся в файлах:

# icat -f ntfs ntfslO.dd 18080

Категория содержимого | Криминалистический анализ файловых систем | Категория имен файлов


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31