Во многих случаях анализ метаданных выполняется потому, что мы нашли имя файла, ссылающееся на конкретную структуру метаданных, и хотим получить дополнительную информацию о файле. Таким образом, нужно найти запись метаданных и обработать ее. Например, при просмотре содержимого каталога мы обнаружили файл badstuff.txt и теперь хотим узнать его содержимое и дату создания. Многие программы автоматически выполняют такого рода поиск при составлении списков имен файлов в каталогах и позволяют отсортировать результаты по значениям метаданных.

Конкретная процедура поиска зависит от файловой системы, так как метаданные могут храниться в разных местах. В TSK для вывода структур метаданных используется программа istat. На рис. 8.13 изображена файловая система со структурами метаданных, обнаруженными в блоке 371. Программа читает блок данных и выводит содержимое двух записей метаданных. Одна запись представляет удаленный файл, а другая - существующий каталог.

Рис. 8.13. Процесс просмотра содержимого записи метаданных

Шифрование файлов | Криминалистический анализ файловых систем | Просмотр логических файлов


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс