загрузка...

alt="" />Запись снятых данных

  После того как информация будет прочитана с исходного диска, ее нужно куда-то записать. В этом разделе речь пойдет о том, где сохранять данные, и о различных форматах сохранения.
Выбор приемника
Сохраняемые данные записываются непосредственно на диск или в файл. Мы рассмотрим оба варианта.
До появления специализированных программ эксперту приходилось лишь загружать анализируемую систему либо монтировать диски в своей системе. Снятие информации производилось простым копированием данных на другой диск. Иначе говоря, сектор 0 исходного диска был идентичнен сектору 0 приемного диска. Полученный диск обычно назывался дубликатом или клоном. Если приемный диск был больше исходного, при таком способе снятия данных возникали проблемы, потому что было трудно определить, где именно на диске

заканчиваются скопированные данные. Как правило, перед прямым снятием данных приемный диск рекомендовалось заполнить нулями, чтобы посторонние данные (возможно, оставшиеся от предыдущих исследований) не смешивались сданными из анализируемой системы. Вторая потенциальная проблема со снятием данных на диск заключается в том, что некоторые операционные системы (например, Microsoft Windows) пытаются монтировать все диски. Копия монтируется в системе, из которой снимаются данные, что может привести к изменению ее содержимого. Кроме того, трудности могли возникнуть и из-за различий в геометриях исходного и приемного дисков, потому что некоторые структуры данных описывают местонахождение данных с использованием параметров геометрии диска.
В настоящее время самым распространенным способом является сохранение данных в файле на жестком диске или на диске CD-ROM. При выводе в файл границы данных сразу видны, а операционная система не пытается автоматически монтировать диск. Такой файл часто называется образом (image). Многие программы позволяют разбивать файлы образов на меньшие фрагменты, помещающиеся на один диск CD-ROM или DVD.
Некоторые эксперты стирают диски, на которых хранятся файлы образов, — стирание гарантирует, что данные не содержат посторонних включений от прошлых случаев.
Формат файла образа
Сохранив данные в файле, можно выбрать формат образа. Физический образ (raw image) содержит только данные с исходного диска, что упрощает сравнение образа с исходными данными. Внедренный образ (embedded image) содержит данные с исходного устройства и дополнительную служебную информацию: хеш-коды, пометки даты pi времени. Некоторые программы создают физический образ и сохраняют служебную информацию в отдельном файле. Напомню, что хеш-коды (CRC, MD5 и SHA-1) используются для проверки целостности данных. Примеры форматов образов показаны на рис. 3.5.
^              физический
образ


внедренный
образ


физический
образ
внешние Г метаданные
Рис. 3.5. Примеры образов: (А) — физический образ, (В) — внедренный образ, в котором метаданные чередуются с физическими данными, (С) — комбинированный образ: данные хранятся в физическом формате, а метаданные находятся в отдельном файле
В текущих реализациях многие программы клонирования используют закрытые форматы внедренных образов. Примерами могут послужить программы

EnCase[1] (Guidance Software) и SafeBack (NTI). Формат образов других программ документирован — как, скажем, формат ProDiscover (Technology Pathway) [Technology Pathways, 2003]. Как правило, аналитические программы импортируют физические образы, поэтому этот формат обеспечивает наибольшую гибкость. Программы SMART (ASR Data) и dcfldd/dccidd снимают данные в физическом формате и создают внешний файл с дополнительной информацией. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме alt="" />Запись снятых данных:

  1. alt="" />Инструментарий эксперта
  2. Запись каталога
  3. Статья 308. Содержание заявления о внесении исправлений или изменений в запись акта гражданского состояния Статья 309. Решение суда относительно заявления о внесении исправлений или изменений в запись акта гражданского состояния
  4. Запись акта о рождении
  5. alt="S:\_Работа Книжки\media\image62.png" />Крестовые походы шведов
  6. alt="" />ОБОБЩЕНИЕ И ВНЕДРЕНИЕ ПЕРЕДОВОГО ОПЫТА ПРЕПОДАВАНИЯ ИСТОРИИ И ОБЩЕСТВОВЕДЕНИЯ В ШКОЛАХ ТАТАРИИ
  7. ЗАНЯТИЕ 4 СИСТЕМА СЧЕТОВ И ДВОЙНАЯ ЗАПИСЬ
  8. Статья 307. Подача заявления о внесении исправлений или изменений в запись акта гражданского состояния
  9. 3. Защита прав на программы для ЭВМ и базы данных Регистрация программ для ЭВМ и баз данных
  10. Хранение и использование персональных данных работников. Передача персональных данных работников
  11. Понятие персональных данных работника. Обработка персональных данных работника
  12. ЗАПИСЬ, РАЗОСЛАННАЯ ОТ МОСКОВСКОГО ЗЕМСКОГО СОБОРА ВО ВСЕ РОССИЙСКИЕ ГОРОДА ДЛЯ ПРИВЕДЕНИЯ ПО ОНОЙ ВСЯКОГО ЧИНА И ЗВАНИЯ ЛЮДЕЙ К ПРИСЯГЕ В ВЕРНОСТИ ИЗБРАННОМУ НА ВСЕРОССИЙСКИЙ ПРЕСТОЛ ГОСУДАРЕМ МИХАИЛУ ФЕОДОРОВИЧУ
  13. Структуры данных
  14. Организация данных
  15. Структуры данных