Желая помешать цифровой экспертизе, злоумышленники часто заново разбивают диск на разделы или стирают информацию о существующих разделах. Похожая, но более безобидная проблема возникает при восстановлении системы с поврежденными структурами разделов. В таких ситуациях анализ заметно усложняется. К счастью, существует несколько программ, упрощающих восстановление разделов. В этом разделе будет рассказано, как работают эти программы.

Средства восстановления разделов исходят из предположения, что в каждом разделе находилась файловая система. Многие файловые системы начинаются со структуры данных с постоянной сигнатурой. Например, файловая система FAT

содержит значения 0x55 и ОхАА в байтах 510 и 511 первого сектора. Программа восстановления ищет сигнатуры и определяет по ним возможное начало раздела.

При обнаружении сигнатуры часто выполняются дополнительные проверки с диапазонами значений, допустимых для некоторых полей структуры данных. Например, одно из полей файловой системы FAT определяет количество секторов в кластере; значение поля представляет собой степень 2 (например, 1, 2, 4, 8, 16, 32, 64 или 128). Любое другое значение свидетельствует о том, что сектор не является частью загрузочного сектора файловой системы FAT, хотя он и заканчивается сигнатурой 0х55АА.

Механизм поиска зависит от конкретной программы. Одни программы просматривают каждый сектор и сравнивают его содержимое с известными сигнатурами. Другие анализируют данные только на границах цилиндров, потому что разделы чаще всего создаются именно там. Третьи по данным служебных структур определяют размер файловой системы и переходят к ее концу, где продолжают поиск других известных структур данных.

Например, в системе Linux для восстановления разделов применяется программа gpart (http://www.stud.uni-hannover.de/user/76201/gpart/). Программа gpart способна идентифицировать несколько файловых систем, для чего она проверяет содержимое секторов и делает выводы относительно того, какая система является наиболее вероятной.

Ее стандартный вывод содержит слишком мало информации для наших целей, поэтому в командную строку следует включить флаг -V. В следующем примере на диске находится три раздела, однако таблица разделов была стерта. Программа gpart была запущена для физического образа диска с флагом -v для определения границ исходных секторов:

# gpart -v disk2.dd

* Warning: strange partition table magic 0x0000.

[...]

Begin scan...

Possible partition(D0S FAT). size(800mb), offset(Omb) type: 006(0x06)(Primary 'big' DOS (>32MB)) size: 800mb #s(1638566) s(63-1638628) chs: (0/1/1)-(101/254/62)d (0/1/1)-(101/254/62)r

hex: 00 01 01 00 06 FE 3E 65 3F 00 00 00 A6 00 19 00

Possible partition(DOS FAT). size(917mb), offset(800mb) type: 006(0x06)(Primary ’big’ DOS (>32MB)) size: 917mb #s(1679604) s(1638630-3518233) chs: (102/0/1)-(218/254/62)d (102/0/1)-(218/254/62)r

hex: 00 00 01 66 06 FE 3E DA E6 00 19 00 34 AE 1C 00

Possible partitiondinux ext2). size(502mb). offset(1874mb) type: 131(0x83)(Linux ext2 filesystem)) size: 502mb #s(1028160) s(3839535-4867694) chs: (239/0/1)-(302/254/63)d (239/0/1)-(302/254/63)r

hex: 00 00 01 EF 83 FE 7F 2E 2F 96 ЗА 00 40 ВО OF 00

Из результатов видно, что на диске, по всей вероятности, существовало два раздела FAT и один раздел Ext2. Поле в конце строки size: показывает местонахождение раздела в секторах. Если бы флаг -v не был задан, то эта информация не выводилась бы. Другая аналогичная утилита - TestDisk Кристофа Гренье (Christophe Grenier) (http://www.cgsecurity.org/testdisk.html). Помните, что автоматизированное восстановление работает только при простейшем удалении или повреждении таблицы разделов.

Итоги

Все носители информации большого объема содержат некоторую разновидность системы томов, которая анализируется при каждом расследовании (даже если это не очевидно). Системы томов предназначены для логической организации носителей, а системы разделов описывают начало и конец каждого раздела. В этой главе был приведен общий обзор технологии, а в следующей главе мы подробно рассмотрим несколько систем создания разделов и томов.

Получение содержимого разделов | Криминалистический анализ файловых систем | Разделы на персональных компьютерах


Криминалистический анализ файловых систем



Новости за месяц

  • Июль
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс