Анализ данных

  В предыдущем разделе я говорил, что основной задачей эксперта является поиск цифровых улик. Это довольно общее заявление, потому что улики могут найтись почти в любом месте. В этом разделе я намерен сузить область поиска цифровых улик и выделить ряд положений, которые будут подробно обсуждаться позднее в книге. Также мы обсудим, каким данным можно доверять больше других.
Типы анализа
При анализе цифровых данных эксперт ищет объекты, спроектированные человеком. Кроме того, при проектировании систем хранения данных большинства цифровых устройств разработчики стремились добиться гибкости и масштабируемости, вследствие чего такие системы имеют многоуровневую структуру. Я воспользуюсь этой многоуровневой структурой для определения различных типов анализа [Carrier, 2003а].

Если начать с нижних уровней архитектуры, мы обнаруживаем на них две независимые области анализа. Первая базируется на устройствах хранения информации, а вторая — на устройствах обмена данными. В этой книге основное внимание уделяется анализу устройств хранения информации, а еще точнее — устройств долгосрочного хранения информации (таких, как жесткие диски). Анализ коммуникационных систем (таких, как сети IP) в книге не рассматривается, но вы можете найти необходимую информацию в других источниках [Bejtlich, 2005; Casey, 2004; Mandia et al., 2003].
Различные области анализа представлены на рис. 1.2. На нижнем уровне выполняется анализ физических носителей информации: жестких дисков, карт памяти и дисков CD-ROM. Анализ в этой области может быть сопряжен с чтением низкоуровневых данных с магнитной поверхности и другими методами, для которых необходима чистая комната. В книге я буду предполагать, что в вашем распоряжении имеется надежный метод чтения данных с физического носителя, а на устройство хранения информации уже записан поток из нулей и единиц.

Рис. 1.2. Иерархия уровней анализа, основанная на архитектуре цифровых данных. Блоки, выделенные жирными линиями, рассматриваются в книге


В дальнейшем мы будем рассматривать анализ двоичного потока информации на физическом носителе. Структура микросхем памяти обычно определяется на уровне процессов и выходит за рамки книги. Наше внимание будет сосредоточено на постоянных носителях — таких, как жесткие диски и карты памяти.
Как правило, устройства долгосрочного хранения информации организуются в виде томов. Том представляет собой совокупность ячеек носителя информации, доступных для чтения и записи со стороны приложений. Анализ томов будет подробно рассматриваться в части 2 книги, а сейчас я упомяну о двух важнейших концепциях этого уровня.
Первая — это разделы (один том разбивается на несколько томов меньшего объема), а вторая — сборка (объединение нескольких томов в один большой том, на котором в дальнейшем могут создаваться разделы). Примерами данных этой категории служат таблицы разделов DOS, разделы Apple и массивы RAID. Некоторые носители (скажем, дискеты) не содержат данных на этом уровне, а весь диск представляет собой один том. Анализ данных на уровне томов позволяет определить, где находится файловая система и другие данные и где может храниться скрытая информация.

Тома содержат разные типы данных, но самым распространенным содержимым томов являются файловые системы. Также том может содержать базы данных или использоваться как временное пространство подкачки (по аналогии с файлом подкачки Windows). Часть 3 посвящена файловым системам, то есть наборам структур данных, которые позволяют приложениям создавать, читать и записывать файлы. Анализ файловых систем направлен на поиск файлов, восстановление удаленных файлов и поиск скрытой информации. Конечным результатом анализа файловой системы может быть содержимое файла, фрагменты данных и метаданные, связанные с файлами.

Рис. 1.3. Процесс анализа данных: от физического уровня к прикладному


Чтобы понять, что находится внутри файла, необходимо перейти на прикладной уровень. Структура каждого файла определяется приложением или ОС, создавшей файл. Например, с точки зрения файловой системы файл реестра Windows ничем не отличается от обычной HTML-страницы — и то и другое является файлом. Тем не менее эти файлы имеют совершенно разную структуру, а для их анализа должны применяться разные инструменты. Анализ прикладного уровня играет очень важную роль: именно на этом уровне на основании анализа конфигурационных файлов мы определяем, какие программы выполнялись в системе, не содержит ли скрытых данных графический файл, и т. д. В книге прикладной анализ не рассматривается — чтобы представить его на том же уровне, что и анализ томов и файловых систем, потребуется несколько отдельных книг. За дополнительной информацией обращайтесь к общей литературе по цифровым расследованиям.
Процесс анализа представлен на рис. 1.3. На рисунке изображен диск, в результате анализа которого был получен поток байтов. Поток анализируется на уровне томов, в результате чего формируется том. Дальнейший анализ тома на уровне файловой системы дает файл. Наконец, файл анализируется на прикладном уровне.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Анализ данных:

  1. Методы анализа и категории данных
  2. Снятие данных и анализ
  3. Снятие данных и анализ
  4. 5. ПОСЛЕДОВАТЕЛЬНОСТЬ ДЕЙСТВИЙ ПРИ АНАЛИЗЕ ДАННЫХ
  5. Анализ и интерпретация данных
  6. 4. АНАЛИЗ ДАННЫХ ПОВТОРНЫХ И СРАВНИТЕЛЬНЫХ ИССЛЕДОВАНИЙ
  7. 3.База данных, метод анализа и операционализация
  8. V. АНАЛИЗ ЭМПИРИЧЕСКИХ ДАННЫХ
  9. § 3.4. Преобразование, обобщение и анализ эмпирических данных
  10. Структура основных данных стартового маркетингового анализа
  11. СТРУКТУРА ОСНОВНЫХ ДАННЫХ ПОЛИТИЧЕСКОГО АНАЛИЗА ВНЕШНЕЙ СРЕДЫ, НЕОБХОДИМЫХ МЕЖДУНАРОДНОМУ МЕНЕДЖЕРУ
  12. СТРУКТУРА ОСНОВНЫХ ДАННЫХ ЭКОНОМИЧЕСКОГО АНАЛИЗА ВНЕШНЕЙ СРЕДЫ, НЕОБХОДИМЫХ МЕЖДУНАРОДНОМУ МЕНЕДЖЕРУ
  13. 2. КАК УВИДЕТЬ ДЕНЬГИ НА ЭКРАНЕ МОНИТОРА Технический анализ, формы представления данных о ценах, графические фигуры
  14. 3. Защита прав на программы для ЭВМ и базы данных Регистрация программ для ЭВМ и баз данных
  15. Хранение и использование персональных данных работников. Передача персональных данных работников
  16. Понятие персональных данных работника. Обработка персональных данных работника
  17. 1.6. Взаимосвязь производственного и финансового анализа. Характеристика управленческого анализа
  18. 4.4.2. Диагностический анализ инновационной среды организации по методу БУУОТ-анализа
  19. 2.2. ЭКОНОМИЧЕСКИЙ, ПРАВОВОЙ И ПОЛИТИЧЕСКИЙ АНАЛИЗ В КОНТЕКСТЕ ЗАДАЧ МЕЖДУНАРОДНОГО МЕНЕДЖМЕНТА. СТРАНОВЫЙ МАРКЕТИНГОВЫЙ АНАЛИЗ