В предыдущем примере мы знали, где могут находиться улики, но не знали, какие именно. На этот раз ситуация обратная: мы знаем содержимое улик, но не знаем, где они находятся. При поиске в логической файловой системе каждый блок данных проверяется на присутствие некоторой фразы или значения. На рис. 8.5 каждый блок данных проверяется на присутствие строки «ґогєпбісб».

Рис. 8.5. При поиске в логической файловой системе каждый блок данных проверяется на присутствие заранее известного значения

Традиционно эта методика поиска называлась «физическим поиском», потому что в ней используется физический порядок секторов; на мой взгляд, этот термин верен только для отдельных дисков, но не для систем с объединением дисков и массивов RAID. В таких системах порядок следования секторов не соответствует их физическому порядку, и лучше использовать более точный термин.

К сожалению, файлы не всегда занимают смежные блоки данных, и во фрагментированном файле искомое значение может оказаться разбитым на две несмежных блока. В этом случае при поиске в логической файловой системе оно обнаружено не будет. Как будет показано далее, задача решается поиском в логических файлах. Многие программы анализа позволяют выполнять поиск как по логическим томам, так и по логическим файлам. Чтобы определить, какой режим поиска используется вашей программой, попробуйте провести поиск по ключевым словам в тестовых образах, размещенных на моем сайте DFTT (Digital Forensic Tool Testing) [Carrier, 2004].

Если вернуться к аналогии из раздела «Стратегии выделения», можно сказать, что мы пытаемся найти в театре конкретную семью. Процедура поиска в логической файловой системе начинается с первого ряда, и проверяется каждая группа из четырех людей, занимающих соседние места. Если семье достались несмежные места, поиск завершится неудачей. Поиск также можно повторить для отдельного человека, но это может привести к ложным совпадениям из-за людей с похожей внешностью.

Просмотр блоков данных | Криминалистический анализ файловых систем | Состояние выделения блоков данных


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс