При снятии данных с дисков АТА следует обращать внимание на защищенную область НРА диска, поскольку в ней могут храниться скрытые данные. Если программа снятия данных не пытается обнаружить НРА, эти данные не будут клонированы. За дополнительной информацией о НРА обращайтесь к главе 2.

Программа обнаруживает присутствие НРА, сравнивая результаты выполнения двух команд АТА. Команда READ_NATIVE_MAX_ADDRESS возвращает общее количество секторов на диске, а команда IDENTIFY_DEVICE - количество секторов, доступных для пользователя. Если область НРА существует, эти два числа будут различаться.

Если у вас нет программы, которая выполняла бы необходимые команды АТА, вероятно, вам придется сравнить количество секторов, скопированных в процессе снятия данных, с количеством секторов, указанным на наклейке на диске. Многие современные программы снятия данных обнаруживают присутствие НРА. Также существуют специализированные утилиты, такие как BXDR (http://www.sanderson-forensics.co.uk/BXDR.htm) Пола Сэндерсона (Paul Sanderson), diskstat из пакета The Sleuth Kit, DRIVEID компании MyKey Technology (http://www.mykeytechnology.com) и hpa Дэна Mapeca (Dan Mares) (http://www.dmares.eom/maresware/gk.htm#HPA).

Если на диске будет обнаружена область НРА и вы захотите получить доступ к скрытым данным, придется изменить конфигурацию диска. Чтобы удалить НРА, следует задать максимальный сектор, адресуемый пользователем, равным максимальному сектору на диске. При этом можно использовать бит устойчивости, чтобы изменения в конфигурации были утрачены при следующем отключении питания жесткого диска. Выполнению команды могут помешать некоторые аппаратные блокировщики записи, о которых речь пойдет далее.

Процесс удаления НРА сопряжен с изменением конфигурации диска. Существует крайне малая вероятность того, что в контроллере диска или программе снятия данных неверно реализован механизм изменения НРА, и попытка снятия защиты приведет к потере данных. Следовательно, перед удалением НРА стоит создать полный образ диска. Если в процессе удаления будут нанесены какие-либо повреждения, у пользователя останутся исходные данные для анализа. Пример диска с НРА будет рассмотрен далее в этой главе. Факт снятия НРА обязательно должен быть отражен в ваших заметках.

Обработка ошибок | Криминалистический анализ файловых систем | Dco


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс