Содержимое файла может храниться в зашифрованном виде для защиты от постороннего доступа. Шифрование может выполняться приложением, создавшим файл, внешним приложением, которое читает незашифрованный файл и создает зашифрованный файл1, или операционной системой при создании файла. Перед тем как записывать файл на диск, ОС шифрует его и сохраняет текст шифра в блоках данных. Информация, не относящаяся к содержимому файла (например, имя файла и время последнего обращения), обычно не шифруется. Приложение, записывающее данные, не знает, что данные хранятся в зашифрованном виде. Другой способ шифрования содержимого файлов заключается в шифровании целого тома2. В этом случае шифруются все данные файловой системы, не только содержимое файлов. Как правило, том с операционной системой не шифруется.

Шифрование данных создает проблемы при анализе, поскольку многие файлы оказываются недоступными, если эксперту неизвестен ключ шифрования или пароль. Еще хуже, если неизвестен способ шифрования. Существуют программы для подбора ключей и паролей простым перебором («атака методом грубой силы»), но если алгоритм неизвестен, они тоже оказываются неэффективными. Если зашифрованы только отдельные файлы и каталоги, иногда удается найти копии незашифрованных данных во временных файлах или свободных блоках [Casey, 2002; Wolfe, 2004].

Методы анализа

Перейдем к анализу в категории метаданных. Метаданные могут использоваться для просмотра содержимого файлов, поиска значений и обнаружения удаленных файлов.

Сжатые и разреженные файлы | Криминалистический анализ файловых систем | Поиск метаданных


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс