После обнаружения метаданных можно просмотреть содержимое файла; для этого следует прочитать блоки данных, выделенные файлу. Обычно это делается при поиске улик в содержимом файла. Допустим, мы определили адрес блока данных файла badstuff.txt и теперь хотим ознакомиться с его содержимым.

Этот процесс работает как в категории метаданных, так и в категории данных содержимого. На рис. 8.14 перечислены блоки данных, связанные с записями метаданных 1 и 2. Многие графические программы объединяют эту процедуру с перечислением имен файлов. Если выбрать файл, программа переходит к поиску блоков данных, указанных в метаданных файла.

В процессе поиска необходимо помнить о резервном пространстве, потому что последний блок данных может использоваться файлом лишь частично. Чтобы определить используемую часть последнего блока, вычислите остаток от деления размера файла на размер каждого блока данных.

В пакете ТБК для просмотра содержимого блоков данных, выделенных структуре метаданных, используется программа ка! При запуске с ключом -б выводится информация о резервном пространстве, а с ключом -г программа пытается восстанавливать удаленные файлы.

Рис. 8.14. Объединение информации из метаданных и блоков данных позволяет просмотреть содержимое файла

Поиск метаданных | Криминалистический анализ файловых систем | Поиск в логических файлах


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс