Задача анализа томов возникает достаточно часто, хотя это и не всегда очевидно. Во многих случаях эксперт снимает информацию со всего жесткого диска и импортирует образ в аналитическую программу для просмотра содержимого файловой системы. Чтобы определить, где начинается и заканчивается файловая система, программа должна проанализировать таблицы разделов.

У анализа структуры разделов томов имеется еще одно важное применение: некоторые секторы, не принадлежащие ни одному разделу, могут содержать данные из предыдущей файловой системы или другую информацию, которую подозреваемый пытается скрыть. Иногда система разделов может оказаться поврежденной или стертой, и тогда средства автоматизированного анализа работать не будут.

Методы анализа

Базовый принцип анализа томов прост: мы хотим найти таблицы разделов, обработать их и узнать структуру диска. Затем полученные данные передаются программе анализа файловой системы, которой необходимо знать смещение разделов, или выводятся на печать, чтобы пользователь мог выбрать данные для анализа. В некоторых случаях данные, находящиеся в разделах или в пространстве между разделами, приходится извлекать из родительского тома (см. далее). Для анализа данных в разделах необходимо решить, к какому типу они относятся. Чаще всего это данные файловых систем, которые будут рассматриваться в третьей части книги.

Чтобы проанализировать компоненты системы томов, необходимо найти и обработать структуры данных с информацией об объединяемых томах и о том, как именно это делается. Как будет показано в главе 7, существует много способов объединения томов. Мы займемся поиском данных, не используемых в процессе объединения и содержащих информацию от предыдущей установки или скрытую.

Адресация секторов | Криминалистический анализ файловых систем | Проверка целостности


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс