Проверка целостности данных играет важную роль при анализе всех категорий данных. Она позволяет определить, находится ли файловая система в подозрительном состоянии. Одна из проверок целостности данных в категории содержимого использует информацию из категории метаданных и проверяет, что на каждый выделенный блок данных указывает ровно одна запись метаданных. Это делается для того, чтобы пользователь не мог вручную изменить состояние выделения блоков данных, не указав для них имени. Выделенные блоки данных, не имеющие ассоциированной структуры метаданных, называются зависшими блоками данных. На рис. 8.7 блоки данных 2 и 8 являются выделенными. Блок данных 2 не имеет ассоциированной записи метаданных, поэтому он является зависшим. На блок данных 8 ссылаются сразу две записи метаданных, что недопустимо в большинстве файловых систем.

Рис. 8.7. Проверка целостности убеждается в том, что на каждый блок данных ссылается одна и только одна запись метаданных

В ходе другой проверки целостности данных анализируются все блоки данных, помеченные как поврежденные. Если у вас имеется образ жесткого диска с поврежденными секторами, многие программы снятия данных заполняют поврежденные секторы нулями. Следовательно, любой блок данных, входящий в список поврежденных, должен содержать нули (при условии, что программа снятия данных заменяет поврежденные данные нулями). Ненулевые данные заслуживают пристального внимания, потому что это могут быть данные, скрытые от пользователей.

Порядок выделения структур данных | Криминалистический анализ файловых систем | Методы надежного удаления


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31