Основная часть материала так или иначе связана со снятием данных, находящихся на носителе информации - а именно, на жестком диске. Анализ также может проводиться в «живых» системах, но чаще данные копируются для проведения стороннего анализа. Как правило, снятие данных происходит в фазе сохранения системы и является одной из важнейших составляющих цифровой экспертизы. Ведь если данные не будут скопированы в другую систему, они могут быть случайно утрачены, и тогда они перестанут быть уликами. Более того, если копирование произведено некорректно, данные тоже утрачивают свою юридическую силу. В этой главе приводится теория снятия данных, а также рассматривается конкретный пример с применением утилиты Ьтих с1<±

Введение

Как было показано в главе 1, первой фазой цифрового анализа является сохранение цифрового «места преступления». Обычно для сохранения системы создаются полные копии жестких дисков, которые затем доставляются в лабораторию для проведения стороннего анализа. Эту фазу можно сравнить с процессом создания точной копии здания, в котором было совершено реальное преступление, чтобы следователи могли спокойно заняться поиском улик в лаборатории.

Ограничения размера | Криминалистический анализ файловых систем | Общая процедура снятия данных


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31