Большинство съемных носителей также содержит разделы, но на них используются те же структуры данных, что и на жестких дисках. Исключение из правила составляют дискеты, отформатированные для системы FAT 12 в Windows и UNIX. Они не имеют таблицы разделов, а весь жесткий диск рассматривается как один раздел. Образ дискеты можно напрямую проанализировать как файловую систему. Некоторые портативные флеш-диски USB («брелковые диски») не имеют разделов и содержат одну файловую систему, но другие имеют разделы.

Съемные носители большей емкости (скажем, zip-диски Iomega) содержат таблицы разделов. Структура таблицы разделов на zip-диске зависит от того, был ли диск отформатирован для Мае или для PC. Диск, отформатированный для PC, содержит таблицу разделов DOS, и по умолчанию четвертая запись представляет только один раздел.

Карты памяти, часто используемые в цифровых камерах, также обычно содержат таблицу разделов. Многие флэш-карты содержат файловую систему FAT, а для их анализа можно воспользоваться обычными программами. Вот как выглядит таблица разделов на базе DOS для 128-мегабайтной карты памяти:

# mmls -t dos camera.dd

DOS Partition Table

Units are in 512-byte sectors

Slot Start End Length Description

00: ----------0000000000 0000000000 0000000001 Primary Table (#0)

01: ----------0000000001 0000000031 0000000031 Unallocated

02: 00:00 0000000032 0000251647 0000251616 DOS FAT16 (0x06)

Чтобы создать образ карты памяти, достаточно вставить ее в устройство чтения карт с интерфейсом USB или FireWire и выполнить в Linux команду dd.

С дисками CD-ROM дело обстоит сложнее из-за большого количества вариантов. Большинство компакт-дисков использует формат ISO 9660, поддерживаемый многими операционными системами. Формат ISO 9660 устанавливает жесткие ограничения для имен файлов, поэтому были разработаны расширения этого формата (такие, как Joliet и Rock Ridge), обладающие большей гибкостью. Описание компакт-дисков усложняется тем, что один диск может содержать данные в базовом формате ISO 9660 и в формате Joliet. А если компакт-диск является гибридным диском Apple, он также может содержать данные в формате Apple HFS+. Фактическое содержимое файлов хранится в одном экземпляре, но ссылки на эти данные присутствуют в нескольких разных местах.

У записываемых компакт-дисков (CD-R) существует понятие сеанса. Диск CD-R может содержать один или несколько сеансов, а сама концепция сеанса была разработана для того, чтобы данные к CD-R можно было добавлять более одного раза. При каждой записи данных на CD-R создается новый сеанс. В зависимости от операционной системы, в которой используется диск, каждый сеанс может отображаться в виде раздела. Например, я воспользовался приложением Apple OS X

и создал компакт-диск с тремя сеансами. В системе OS X все три сеанса монтировались как файловые системы. При использовании диска в системе Linux последний сеанс монтировался по умолчанию, но два других сеанса также можно было смонтировать, указав их в команде mount. Для определения количества сеансов на диске можно воспользоваться утилитой readcd (http://freshmeat.net/projects/ cdrecord/). Когда тот же диск был открыт в системе Microsoft Windows ХР, система заявила, что он содержит недопустимую информацию, хотя программа SmartProject ISO Buster (http://www.isobuster.com) увидела все три сеанса. Даже если многосеансовый диск создавался в Windows, возможны разные варианты поведения. Таким образом, при анализе CD-R очень важно использовать программу, позволяющую просмотреть содержимое всех сеансов, а не полагаться на стандартное поведение той платформы, на которой осуществляется анализ.

Некоторые компакт-диски также содержат разделы, специфические для «родной» операционной системы. Например, гибридные CD сочетают формат ISO с форматом Apple - внутри сеанса используется карта разделов Apple и файловая система HFS+. К таким дискам применимы стандартные методы анализа для платформы Apple. Например, вот как выглядит результат запуска mmls для гибридного диска:

# mmls -t mac cd-slice.dmg

MAC Partition Map

Units are in 512-byte sectors

Slot Start End Length Description

00: ----------0000000000 0000000000 0000000001 Unallocated

01: 00 0000000001 0000000002 0000000002 Apple_partition_map

02: ----------0000000001 0000000002 0000000002 Table

03: ----------0000000003 0000000103 0000000101 Unallocated

04: 01 0000000104 0000762559 0000762456 Apple_HFS

Многие загрузочные компакт-диски тоже содержат систему разделов определенной операционной системы. Загрузочные диски Sparc Solaris содержат структуру Volume Table of Contents в томе ISO, а в начале загрузочных компакт-дисков Intel может находиться таблица разделов DOS. Эти структуры используются после загрузки операционной системы с компакт-диска, а код, необходимый для загрузки системы, хранится в формате ISO.

Библиография

• Agile Risk Management, «Linux Forensics - Week 1 (Multiple Session CDRs)». March 19, 2004, http://www.agilerm.net/linuxl.html.

• Apple, «File Manager Reference». March 1,2004. http://developer.apple.com/documen-tation/Carbon/Reference/File_Manager/index.html.

• Apple, «Inside Macintosh: Devices». July 3,1996. http://developer.apple.com/documen-tation/mac/Devices/Devices-2.html.

• Apple, «The Monster Disk Driver Technote». November 22, 1999. http://devel.o-per.apple.com/technotes/pdf/tnll89.pdf.

• Brouwer, Andries. «Minimal Partition Table Specification». September 16, 1999. http://www.win.tue.nl/~aeb/partitions/partition_tables.htmL

• Brouwer, Andries. «Partition Types». December 12, 2004. http://www.win.tue.nl/ ~aeb/partitions/partition_types.html.

• Carrier, Brian. «Entended Partition Test». Digital Forensics Tool Testing Images, July 2003. http://dftt.sourceforge.net/testl/index.html.

• CDRoller. Reading Data CD, n.d. http://www.cdroller.com/htm/readdata.html.

• ECMA. «Volume and File Structure of CDROM for Information Interchange». ISO Spec, September 1998. http://www.ecma-international.org/publications/files/ ECMA-ST/Ecma-119.pdf.

• Landis, Hale. «How it Works: Master Boot Record». May 6, 2002. http://www.ata-atapi.com/hiwmbr.htm.

• Microsoft. «Basic Disks and Volumes Technical Reference». Windows Sewer 2003 Technical Ref erence, 2004. http://www.microsoft.com.

• Microsoft. «Managing GPT Disks in Itamium-based Computers». Windows XP Professional Resource Kit Documentation, 2004a. http://www.microsoft.com.

• Microsoft. «MS-DOS Partitioning Summary». Microsoft Knowledge Base Article 69912, December 20, 2004b. http://support.microsoft.com/default.aspx?scid=kb;EN-US;69912.

• Stevens, Curtis, and Stan Merkin. «El Torito: Bootable CD-ROM Format Specification 1.0». January 25,1999. http://www.phoenix.com/resources/specs-cdrom.pdf.

Пример информации о разделах | Криминалистический анализ файловых систем | Разделы в серверных системах


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31