К категории содержимого относятся данные, хранящиеся в файлах и каталогах. Как правило, они представляют собой блоки данных одинакового размера, выде ляемые файлам и каталогам. Имена всех программ TSK в этой категории начинаются с префикса d.

Программа dis выводит содержимое блоков данных; по умолчанию выводится содержимое всех свободных блоков. Параметр -е позволяет вывести все блоки данных - того же результата можно добиться, запустив для образа программу dd. Параметр -I выводит информацию о состоянии выделения (вместо вывода самого содержимого). Например, следующая команда выводит информацию о состоянии выделения всех блоков данных в образе NTFS:

# dis -f ntfs -е -1 ntfs-10.dd addrI al 1 ос 01 а 1а [...]

13423а 134241 f

Символ «а» после адреса означает, что блок данных выделен, a «f» - что он свободен. Следующая команда извлекает все свободное пространство образа NTFS:

# dis -f ntfs ntfs-10.dd > ntfs-10.dls

Полученный файл не структурирован, потому что он просто содержит случайные блоки данных из файловой системы. Если при поиске в этом файле будут обнаружены улики, программа dcalc поможет найти их источник. Dcalc вычисляет адрес исходного блока данных по адресу блока из неструктурированных данных. Например, если файловая система состоит из 4096-байтовых кластеров и в 123-м кластере неструктурированного файла были обнаружены улики, достаточно запустить dcalc с параметром -и и номером 123:

# dcalc -f ntfs -и 123 ntfs-10.dd 15945

Программа dstat позволяет проверить состояние выделения конкретной единицы данных. Кроме того, dstat выводит информацию о группах цилиндров и блоках в файловых системах UFS и Ext2/3:

# dstat -f linux-ext3 ext3-5.dd 23456

Программы файловой системы | Криминалистический анализ файловых систем | Категория метаданных


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс