В общей теории неразрушающего снятия данных сохраняется каждый байт, который может использоваться в качестве улики. Как было показано в главе 1, интерпретация данных может осуществляться на разных уровнях: например, на уровне дисков, томов, файлов и приложений. На каждом уровне абстракции теряется некоторая часть данных. Таким образом, снятие данных должно осуществляться на самом низком уровне, на котором будут находиться улики. В большинстве случаев аналитик снимает содержимое каждого сектора диска; именно этот способ будет рассматриваться в этой главе. Обратите внимание: сохраняя только содержимое секторов с данными, мы теряем информацию, которая может понадобиться специалистам по восстановлению данных.

Чтобы показать, почему снятие данных обычно производится на уровне диска, рассмотрим пару примеров. Допустим, диск был клонирован на уровне тома, с созданием копии каждого сектора в каждом разделе. Такая копия позволит восстановить удаленные файлы в каждом разделе, но анализ секторов, не принадлежащих ни одному из разделов, будет невозможен. Как будет показано в главе 5, на диске с разделами DOS не используются секторы с 1 по 62, и в них могут находиться скрытые данные. При проведении снятия на уровне тома эти скрытые данные будут потеряны.

Теперь предположим, что мы воспользовались утилитой архивации и скопи-ровали только существующие файлы. В этом случае станет невозможным восстановление удаленных файлов, могут стать недоступными все временные данные, а также служебная информация, скрытая в разделах и структурах данных файловой системы. Иногда никаких других данных, кроме архива, не имеется, и аналитик должен извлечь из него максимум пользы. Скажем, в корпоративной среде сервер перестал работать, потому что все его диски были записаны нулями, а затем компьютер был перезагружен. Последний архив системы может содержать информацию о том, кто имел доступ к системе или каким образом злоумышленник проник в нее.

В некоторых системах наше правило относительно снятия данных на минимальном уровне, на котором мы рассчитываем найти улики, означает, что достаточно скопировать только файлы. Допустим, вы расследуете попытку взлома сети с действующей системой обнаружения вторжений (IDS, Intrusion Detection System), у которой имеется журнал с информацией об атаке. Если вы считаете, что данные IDS не подвергались посторонним изменениям, то все улики существуют на файловом уровне; можно просто скопировать необходимые журналы и предпринять необходимые шаги по их сохранению. Если есть подозрение, что данные IDS были изменены, то информацию следует копировать на дисковом уровне для проведения анализа всех данных.

Общая процедура снятия данных | Криминалистический анализ файловых систем | Тесты программ снятия данных


Криминалистический анализ файловых систем



Новости за месяц

  • Июль
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31