Извлечением данных (data carving) называется процесс поиска во фрагменте данных начальной и конечной сигнатуры для известных типов файлов. В результате строится список файлов, содержащих одну из сигнатур. Как правило, эта процедура выполняется со свободным пространством файловой системы и позволяет аналитику восстанавливать файлы, на которые не ссылается ни одна структура метаданных. Например, изображение в формате JPEG содержит стандартный заголовок и завершитель. Если аналитику потребуется восстановить удаленные графические изображения, он сохранит в файле содержимое свободных блоков и запустит программу извлечения данных. Программа ищет заголовки JPEG и извлекает данные, находящиеся между заголовком и завершителем.

Примером программы, выполняющей такую операцию, является программа foremost (http://foremost.sourceforge.net), разработанная специальными агентами Крисом Кендаллом (Kris Kendall) и Джессе Корнблумом (Jesse Kornblum) из Бюро специальных расследований ВВС США. Программа foremost анализирует файловую систему или дисковый образ на основании содержимого конфигурационного файла, в котором создается запись для каждой сигнатуры. В записи указывается известное значение заголовка, максимальный размер файла, признак учета регистра символов в заголовке, типичное расширение этого типа файлов и необязательный завершитель. Например, для файлов JPEG запись выглядит так: jpg у 2000000 \xff\xd8 \xff\xd9

Это означает, что файл имеет типичное расширение .jpg, s его заголовке и завершителе учитывается регистр символов, заголовок равен 0xffd8, а завершитель - 0xffd9. Максимальный размер файла составляет 200 000 байт, и если заголовок не найден в пределах этого смещения, извлечение данных прерывается. В наборе данных на рис. 8.21 заголовок JPEG расположен в двух первых байтах сектора 902, а завершитель - в середине сектора 905. Содержимое секторов 902,903,904 и в начале сектора 905 извлекается как изображение JPEG.

Рис. 8.21. Блоки физических данных, анализ которых обнаруживает графическое изображение в формате JPEG в секторах 902-905

Аналогичная программа Lazarus из пакета The Coroner’s Toolkit (http://www.porcu-pine.org/forensics/tct.htmL), автор - Дэн Фармер (Dan Farmer), просматривает каждый сектор низкоуровневого образа и выполняет для него команду file. В результате создаются группы смежных секторов, относящихся к одному типу. Конечный результат работы программы представляет собой список с указанием каждого сектора и его типа. Фактически программа дает возможность сортировать данные по их содержимому. Концепция интересная, однако программа написана на Perl и иногда работает довольно медленно.

Методы поиска на прикладном уровне | Криминалистический анализ файловых систем | Сортировка файлов по типу


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс