Во многих файловых системах предусмотрена возможность пометки поврежденных блоков данных. Когда-то это было необходимо, потому что старые жесткие диски не умели обрабатывать ошибки. Операционной системе приходилось самой выявлять поврежденные блоки данных и помечать их, чтобы они не выделялись файлам. Современные жесткие диски обнаруживают поврежденные секторы и подбирают им замену из числа свободных секторов, поэтому эта функциональность файловой системы стала излишней.

Механизм пометки поврежденных блоков данных (если он поддерживается) позволяет легко скрывать данные. Как правило, программы проверки целостности диска не проверяют, действительно ли поврежден блок данных, который помечен как поврежденный. Таким образом, пользователь может вручную включить блок данных в список поврежденных и разместить в нем свою информацию. Многие программы снятия данных выводят список реально поврежденных секторов, чтобы его можно было сравнить со списком помеченных секторов и выявить секторы, вручную включенные в список для хранения скрытой информации.

Методы анализа

От рассмотрения основных концепций данных содержимого мы переходим к способам их анализа. В этом разделе представлены различные методы анализа, используемые при поиске улик.

Стратегии выделения | Криминалистический анализ файловых систем | Просмотр блоков данных


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс