Кроме аппаратных блокировщиков записи также существуют программные. Одно время инструменты цифровой экспертизы в основном работали в среде DOS и использовали метод INT 13h для обращения к диску. Для предотвращения модификации диска во время клонирования и анализа часто использовались программные блокировщики. В этом разделе будут описаны принципы их работы и присущие им ограничения.

В основу работы программных блокировщиков записи заложена модификация таблицы прерываний, используемой для поиска кода сервисных функций BIOS. В таблице прерываний находятся записи для всех сервисных функций BIOS, и каждая запись содержит адрес кода соответствующего обработчика. Например, запись прерывания INT 13h указывает на код записи или чтения данных с диска.

Программный блокировщик изменяет таблицу прерываний так, чтобы в записи прерывания 0x13 хранился адрес кода блокировщика (вместо адреса кода BIOS). Когда операционная система вызывает прерывание INT 13h, управление передается коду блокировщика; последний анализирует запрашиваемую функцию. На рис. 3.4 показан пример установки программного блокировщика записи и блокировки команды записи. Блокировщик записи пропускает остальные функции, передавая запрос исходному коду BIOS INT 13h.

Программные блокировщики записи уступают аппаратным по эффективности, потому что программа может обойти BIOS и произвести запись напрямую через контроллер. В общем случае для ограничения доступа к устройству средства управления должны находиться как можно ближе к устройству. Аппаратные блокировщики записи удовлетворяют этому критерию: они находятся на минимальном расстоянии от жесткого диска и соединяются с ним плоским кабелем.

Группа CFTT при NIST разработала требования и провела тестирование программных блокировщиков записи. Подробности можно найти на сайте: http:// www.cftt.nost.gov/software_write_bLock.htm.

Рис. 3.4. Таблица прерываний ВЮ5 до и после установки программного блокировщика, предотвращающего запись на диск

Аппаратная блокировка записи | Криминалистический анализ файловых систем | Запись снятых данных


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31