Предыдущие методы подразумевают, что вам известен конкретный файл и вы хотите просмотреть его содержимое. Нередко возникает обратная задача - найти файл на основании его содержимого (например, найти все файлы, содержащие слово «ЬгепБЮБ»). В таких ситуациях применяется поиск в логических файлах. Он основан на тех же принципах, что и просмотр логических файлов, но вместо просмотра содержимого в файле ищется конкретное значение.

Своим названием этот метод сильно напоминает поиск в логической файловой системе. Действительно, эти методы очень похожи, только в данном случае поиск в блоках данных производится в порядке их использования файлами, а не в порядке их следования в томе. На рис. 8.15 изображены две записи метаданных и выделенные им блоки данных. В данном случае поиск осуществляется в блоках 2, 3, 4 и 6 как в едином наборе. Преимущество такого вида поиска перед поиском в логической файловой системе состоит в том, что он находит данные, фрагментированные по блокам данных или секторам. Допустим, мы ищем слово «ЬгепБЮБ», которое начинается в блоке данных 4 и заканчивается в блоке 6. При поиске в логической файловой системе оно найдено не будет, потому что оно не содержится в смежных блоках данных. Разновидностью этого вида поиска является поиск файла с известным хеш-кодом МБ5 или БНА-!.

Не забывайте, что логические адреса файлов присваиваются только выделенным блокам данных. Это означает, что для поиска того же значения в свободных блоках данных следует провести поиск в логическом томе. Например, поиск в логических файлах на рис. 8.15 не затронет блоки 0 и 1, поэтому необходимо провести второй поиск, который включал бы блоки 0, 1, 7, 9, 10, 11 и т. д.

Рис. 8.15. -При поиске в логическом файле просматриваются блоки данных, выделенные записи метаданных

Обязательно выясните, включает ли ваша программа анализа резервное пространство файла при поиске в логическом файле; одни программы это делают, другие - нет. Для этой цели можно воспользоваться поиском по ключевым словам в тестовых образах на сайте DFTT.

Просмотр логических файлов | Криминалистический анализ файловых систем | Анализ свободных метаданных


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс