В оставшейся части настоящей главы и книги пять категорий данных будут использоваться для описания методов анализа. В главе 1 было показано, что при поиске улик аналитик определяет свойства, которыми они должны обладать, и их вероятное местонахождение. На основании вероятного местонахождения определяется категория данных и методы анализа, которые должны быть задействованы при поиске. Например, при поиске файлов с расширением JPG основное внимание будет сосредоточено на методах анализа категории имен файлов. С другой стороны, при поиске файла, содержащего заранее заданное значение, будут использованы методы анализа метаданных, поскольку адреса блоков данных относятся именно к этой категории.

Во многих инструментах экспертного анализа объединяются методы анализа, относящиеся к разным категориям, поэтому некоторые описания в книге могут показаться искусственными. При описании методов анализа я постараюсь выделить все действия, происходящие «за кулисами», и показать, где могут произойти сбои. Описания методов не привязаны к конкретным программам анализа. Во многих случаях для демонстрации я использую программы из пакета TSK; за дополнительной информацией обращайтесь к приложению.

Категория данных файловой системы

К категории файловой системы относятся общие данные, описывающие ее строение и местонахождение других важных данных. Чаще всего большая часть этих данных размещается в стандартных структурах в начальных секторах файловой системы (по аналогии с картой, висящей в вестибюле здания).

Анализ данных, относящихся к категории файловой системы, обязателен для всех типов анализа файловых систем, потому что на этом этапе определяется местонахождение структур данных других категорий. Если какие-либо из этих данных будут повреждены или утрачены, это усложнит дополнительный анализ, потому что вам придется искать резервные копии или догадываться, где находились значения. Помимо общей структурной информации, в ходе анализа данных категории файловой системы также может быть получена информация о версии файловой системы; приложении, создавшем файловую систему; дате создания и метке файловой системы. Лишь небольшая часть данных этой категории может быть просмотрена или изменена типичным пользователем без использования шестнадцатеричного редактора. Нередко информация, не относящаяся к местонахождению структур данных, считается несущественной, а ее значение может не соответствовать действительности.

Методы анализа

Данные этой категории обычно представляют собой одиночные самостоятельные значения. С ними трудно сделать что-либо более содержательное, чем вывести их для сведения аналитика или использовать в работе программы. Структурная информация может быть полезной при ручном восстановлении данных. Если вы пытаетесь определить, на каком компьютере была создана файловая система, пригодится идентификатор тома или номер версии. Структуры данных этой категории часто содержат неиспользуемые значения и свободные блоки, которые могут использоваться для хранения небольших объемов скрытых данных. К проверке целостности данных в этой категории можно отнести сравнение размера файловой системы с размером тома, в котором она находится. Если том имеет больший размер, секторы после файловой системы называются резервным пространством тома и могут использоваться для хранения скрытых данных.

В пакет TSK входит утилита fsstat, выводящая данные из категории файловой системы. Объем выводимой информации зависит от типа файловой системы; примеры будут приведены в следующих главах.

Категории данных | Криминалистический анализ файловых систем | Категория данных содержимого


Криминалистический анализ файловых систем



Новости за месяц

  • Июль
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс