Ранее я уже упоминал некоторые стратегии, используемые ОС при выделении блоков данных. В общем случае выбор стратегия зависит от ОС и является объектом анализа прикладного уровня. Например, Windows ME и Windows 2000 могут использовать разные стратегии выделения блоков данных для системы FAT, но при этом каждая из систем создает действительную файловую систему FAT.

Если относительный порядок выделения двух и более блоков данных важен, можно попробовать определить его моделированием процедуры выделения ОС. Это очень трудная задача, потому что сначала необходимо определить стратегию, используемую ОС, а затем исследовать все возможные сценарии, которые могли привести к данному состоянию блоков данных. Такой метод анализа используется при реконструкции событий, которая выполняется уже после того, как блоки будут идентифицированы как улики. Он связан с информацией прикладного уровня, но его подробное рассмотрение выходит за рамки настоящей книги.

Состояние выделения блоков данных | Криминалистический анализ файловых систем | Проверка целостности данных


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31