Теперь давайте посмотрим, как выглядит раздел BSD в образе из нашего примера. Раздел начинается с сектора 8 209 215, а разметка диска находится во втором секторе:

# dd if=bsd-disk.dd skiр=8209216 bs=512 count=l xxd

0000000: 5745 5682 0500 0000 6164 3073 3300 0000 WEV.....ad0s3...

0000016: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000032: 0000 0000 0000 0000 0002 0000 3f00 0000 ............?...

0000048: 1000 0000 814d 0000 f003 0000 f02b 3101 .....M......+1.

0000064: 0000 0000 0000 0000 lOOe 0100 0000 0000 ................

[... НУЛИ ]

0000128: 0000 0000 5745 5682 b9ab 0800 0020 0000 ....WEV.........

0000144: 0000 0000 0000 0800 3f43 7d00 0008 0000 ........?C}.....

0000160: 0708 0880 a073 1700 3f43 8500 0000 0000 .....s..?C......

0000176: 0100 0000 Ые8 ЬЗОО 3f43 7d00 0000 0000 ........?C......

0000192: 0000 0000 0000 0800 dfb6 9c00 0008 0000 ................

0000208: 0708 0880 0000 0800 dfb6 9c00 0008 0000 ................

0000224: 0708 0880 1175 8400 dfb6 a400 0008 0000 .....u..........

0000240: 0708 886f 0000 0000 0000 0000 0000 0000 ...o............

0000256: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000272: 0000 0000 ebOe 4254 5801 0180 f60f 8007 ......BTX.......

0000288: 0020 0000 fa31 c08e dObc 0018 8ec0 8ed8 . ...1..........

0000304: 666a 0266 9dbf OOle b900 3957 f3ab 5fbe fj.f......9W.

0000320: e296 ac98 91e3 ldac 92ad 93ad b608 dleb ................

0000336: 730b 8905 8875 0288 5505 83c0 048d 7d08 S....U..U.....}.

[...]

По содержимому байтов 138-139 видно, что на диске создано восемь разделов. Записи этих разделов находятся в байтах 148-275, а их расшифровка приводится в табл. 6.6 (десятичные эквиваленты заключены в скобки).

Таблица 6.6. Содержимое структуры разметки диска BSD в образе диска FreeBSD

Начало

Размер

Тип

1

0x007d433f (8 209 215)

0x00080000 (524 288)

0x07 (7)

2

0x0085433f (8 733 503)

0x001773a0 (1 536 928)

0x01 (1)

3

0x007d433f (8 209 215)

0x00b3e8bl (11 790 513)

0x00 (0)

4

0x009cb6df (10 270 431)

0x00080000 (524 288)

0x07 (7)

5

0x00a4b6df(10 794 719)

0x00080000 (524 288)

0x07 (7)

6

0x00acb6df(11 319 007)

0x00847511 (8 680 721)

0x07 (7)

7

0x00000000 (0)

0x00000000 (0)

0x00 (0)

8

0x00000000 (0)

0x00000000 (0)

0x00 (0)

Мы видим, что начальный сектор первого раздела BSD совпадает с начальным сектором раздела DOS, в котором находится разметка диска, и этот раздел относится к типу 4.2BSD FFS. Вторая запись определяет область подкачки, а третья относится только к секторам раздела DOS. Записи 4, 5 и 6 определяют разделы с файловой системой FFS. В табл. 6.7 перечислены имена устройств и приведены данные о местонахождении каждого раздела, доступного для пользователей FreeBSD.

Таблица 6.7. Файловые системы, доступные в системе FreeBSD

Устройство

Описание

Точка монтирования

Начальный сектор

Конечный сектор

/dev/adOs 1

Раздел DOS FAT

Выбирается пользователем

63

2 056 319

/dev/ad0s2

Раздел DOS OpenBSD

-

2 056 320

8 209 214

/dev/ad0s3a

4.2FFS BSD

/

8 209 215

8 733 502

/dev/ad0s3b

Область подкачки

-

8 733 503

1 027 430

/dev/ad0s3c

Весь раздел DOS FreeBSD

-

8 209 215

19 999 727

/dev/ad0s3d

4.2FFS BSD

/tmp

10 270 431

10 794 718

/dev/ad0s3e

4.2FFS BSD

/var

10 794 719

И 319 006

/dev/ad0s3f

4.2FFS BSD

/usr

11 319 007

19 999 727

Для просмотра содержимого разметки диска можно воспользоваться программой mmls из пакета The Sleuth Kit. Результат выглядит так:

# mmls -t bsd -о 82092165 bsd-disk.dd BSD Disk Label

Units are in 512-byte sectors

Slot Start End Length Description

00: ----------0000000000 0008209214 0008209215 Unallocated

01: 00 0008209215 0008733502 0000524288 4.2BSD (0x07)

02: 02 0008209215 0019999727 0011790513 Unused (0x00)

03: 01 0008733503 0010270430 0001536928 Swap (0x01)

04: 03 0010270431 0010794718 0000524288 4.2BSD (0x07)

05: 04 0010794719 0011319006 0000524288 4.2BSD (0x07)

06: 05 0011319007 0019999727 0008680721 4.2BSD (0x07)

Обратите внимание: пространство, выделенное под разделы FAT и OpenBSD, помечено как «нераспределенное», поскольку для него отсутствуют записи в разметке диска. Для распределения данных по разделам необходима таблица разделов DOS.

Факторы анализа

Каждый раздел BSD в структуре разметки диска содержит поле типа, но в системах BSD оно играет менее важную роль, чем в Microsoft Windows, так как Windows по содержимому поля типа определяет, нужно ли присваивать разделу букву диска или нет. В системах BSD для каждой записи в разметке диска создается устройство, поэтому разделы могут монтироваться с любым типом. Следовательно, необходимо убедиться в том, что раздел не содержит известной файловой системы, даже если тип идентифицирует его как старый формат UNIX, поскольку раздел может содержать другую распространенную файловую систему (например, FAT).

Максимальный размер разметки диска равен 404 байтам. Для разметок дисков, содержащих только восемь записей, структура данных занимает всего 276 байт. Это означает, что оставшаяся часть 512-байтового сектора может использоваться для хранения скрытых данных (хотя и относительно небольших). Если в результате повреждения таблицы разделов DOS определить местонахождение раздела BSD не удается, проведите поиск сигнатуры 0x82564557. Сигнатура должна находиться в байте 0 и байте 132 структуры разметки диска.

Помните, что в системе FreeBSD пользователь получает доступ как к разделам DOS, так и к разделам BSD. Таким образом, в ходе экспертизы необходимо анализировать как разделы DOS, так и разделы BSD. Учтите, что в системе может отсутствовать поддержка NTFS, чтобы пользователь не мог смонтировать раздел NTFS (если он существует).

В OpenBSD пользователь имеет доступ только к разделам, перечисленным в разметке диска. Поскольку OpenBSD игнорирует таблицу разделов DOS, может быть полезно сравнить содержимое таблицы разделов DOS с разметкой диска BSD. Проанализируйте разделы BSD и DOS, выявите возможные перекрытия и промежутки. На рис. 6.4 показаны интересные примеры разделов BSD. Один из разделов BSD хранится в разделе DOS с типом NTFS. Если раздел NTFS содержит файловую систему NTFS, такая ситуация маловероятна, и ее следует проанализировать подробнее. На рисунке также показан раздел BSD, созданный в пространстве, которое не было выделено разделу DOS. С точки зрения системного администратора так поступать не рекомендуется, потому что другая программа может выделить пространство под раздел DOS и уничтожить данные BSD, однако такая возможность существует.

Рис. 6.4. Диск с двумя разделами BSD в разделе DOS с типом OpenBSD, разделом BSD в разделе DOS с типом NTFS и разделом BSD, не входящим в раздел DOS

Итоги

Разделы BSD описываются простой структурой данных, называемой разметкой диска. У эксперта могут возникнуть определенные трудности с идентификацией всех данных, доступных для пользователя в анализируемой системе. Системы семейства BSD часто используются на серверах, которые зачастую становятся объектами криминальных и корпоративных расследований. Если эксперт хорошо разбирается в разделах BSD, это повысит качество расследования.

Разметка диска | Криминалистический анализ файловых систем | Сегменты sun solaris


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс