Метод просмотра блоков данных применяется в тех случаях, когда эксперту изве-стен адрес возможного местонахождения улик - например, выделенный определенному файлу или имеющий особое значение. Скажем, во многих системах РАТ32 сектор 3 не используется файловой системой и заполняется нулями, однако в нем могут храниться скрытые данные. Просмотр содержимого сектора 3 покажет, присутствуют ли в нем данные, отличные от нуля.

Принцип проведения такого рода анализа очень прост. Эксперт вводит логический адрес файловой системы, а программа вычисляет смещение в байтах или адрес сектора для указанного блока данных. Затем программа переходит к указанной позиции и читает данные. Для примера рассмотрим файловую систему, в которой блок данных 0 хранится со смещением 0, а размер каждого блока данных равен 2 048 байт. Смещение блока данных 10 составит 20 480 байт (рис. 8.4).

Рис. 8.4. Просмотр содержимого блоков данных 10

Данная функция выполняется многими программами, в том числе шестнадцатеричными редакторами и средствами анализа. В частности, программа clcat из пакета ТБК позволяет просмотреть конкретный блок данных в низкоуровневом или шестнадцатеричном формате.

Поврежденные блоки данных | Криминалистический анализ файловых систем | Поиск в логической файловой системе


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31