Категория данных имен файлов предназначена для того, чтобы ассоциировать файлы с именами. Как нетрудно предположить, одним из самых распространенных методов анализа является получение списка файлов и каталогов. Обычно это делается при поиске улик на основании имени, пути или расширения файла. Когда файл будет опознан, адрес его метаданных используется для получения дополнительной информации. У этого метода есть несколько разновидностей: например, файлы можно отсортировать по расширениям, что позволяет сгруппировать однотипные файлы.

Многие файловые системы не стирают имена удаленных файлов, поэтому эти имена тоже будут присутствовать в списке. Впрочем, иногда адрес метаданных стирается при удалении файла, и получить дополнительную информацию не удастся.

Получение списка начинается с обнаружения корневого каталога файловой системы. Обычно для этого используется процесс, который был описан ранее для просмотра логических файлов в разделе «Категория метаданных». Строение корневого каталога хранится в записи метаданных, поэтому мы должны найти запись и блоки данных, выделенные для этого каталога.

Обнаружив содержимое каталога, мы обрабатываем его, получая список файлов и соответствующих им адресов метаданных. Если пользователь хочет просмотреть содержимое какого-либо файла в списке, можно воспользоваться методом просмотра логических файлов по указанному адресу метаданных. Если потребуется вывести содержимое другого каталога, мы загружаем и обрабатываем его. В любом случае процесс основан на просмотре логических файлов.

Эта методика поддерживается большинством программ анализа, причем многие программы объединяют информацию из категории имен файлов с информацией из категории метаданных - например, чтобы в одном представлении с именами файлов выводились пометки даты и времени. На рис. 8.20 показан пример анализа: при обработке блока данных 401 были обнаружены два имени. Нас интересует файл favorites.txt; мы видим, что его метаданные находятся в записи 3. В нашей файловой системе соответствующая структура метаданных находится в блоке данных 200. Мы обрабатываем информацию из соответствующего блока данных, получая размер и адреса содержимого этого файла.

Рис. 8.20. Чтобы получить список имен файлов, мы обрабатываем содержимое каталога и извлекаем имена (а иногда и связанные с ним метаданные)

Данный метод анализа поддерживается многими программами. В пакете TSK для вывода имен существующих и удаленных файлов используется программа fis.

Восстановление файлов по именам | Криминалистический анализ файловых систем | Поиск имен файлов


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс