Предположим, потребовалось найти в файловой системе все ссылки на файл с именем TheStuff.dat. Нас интересуют как существующие, так и удаленные экземпляры файла. Как это сделать, если в программе анализа поддерживается поиск по именам файлов?

Если провести поиск по ключевому слову в файловой системе, вероятно, нам удастся найти ссылки на искомый файл в содержимом файлов. Тем не менее сам файл останется ненайденным, потому что его имя хранится в записи LFN, а запись SFN содержит измененную версию имени. Возможны два варианта: либо провести поиск строки «THESTUFI-1DAT» в ASCII, либо изменить критерий поиска для длинного имени.

Чтобы найти длинную версию имени, необходимо разбить имя на фрагменты. Каждая запись длинного имени содержит 13 символов и делится на фрагменты из пяти, шести и двух символов. Таким образом, в Unicode наша запись длинного имени будет разбита на фрагменты «ТЬеБЪ», «ій.сіа» и «і». Графическое представление записей каталогов для этого файла показано на рис. 9.16.

Рис. 9.16. Поиск имени файла по ключевым словам в АБСН или ипісогіе может не привести к обнаружению его записи каталога

Поиск удаленных каталогов | Криминалистический анализ файловых систем | Упорядочение записей каталогов


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс