Аппаратная блокировка записи

  Одна из рекомендаций из области цифровой экспертизы, приведенных в главе 1, гласила, что исходные данные должны подвергаться как можно меньшим
изменениям. Существует множество методов снятия информации, не связанных с модификацией исходных данных, но ошибки все же случаются. Более того, некоторые методы могут изменять исходные данные, чего нам хотелось бы избежать.
Аппаратный блокировщик записи представляет собой устройство, подключенное между компьютером и носителем информации. Такое устройство отслеживает передаваемые команды и не позволяет компьютеру записывать данные на устройство хранения информации. Блокировщики поддерживают разные интерфейсы пересылки данных, в том числе АТА, SCSI, FireWire (IEEE 1394), USB или Serial АТА. Они особенно важны в операционных системах, способных смонтировать исходный диск (например, Microsoft Windows).
При обсуждении команд АТА в главе 2 говорилось о том, что диск выполняет какие-либо действия лишь после записи в его регистр команд. Таким образом, теоретически простейший аппаратный блокировщик записи АТА просто не дает контроллеру записать в регистр команд никакие значения, которые могли бы привести к записи информации или ее стиранию с диска. Тем не менее такое устройство может разрешить контроллеру запись данных в другие регистры. Можно сказать, что блокировщик записи разрешает зарядить ружье, но не дает возможности спустить курок. На рис. 3.3 показано, что команды чтения передаются диску, а команды записи — нет.

Рис. 3.3. Запрос на чтение сектора 5 передается через блокировщик записи, но команда записи в тот же сектор блокируется на пути к диску


Устройство No Write компании MyKeyTechnologies обладает более сложной конструкцией и выполняет функции посредника с поддержкой состояния между контроллером и жестким диском [MyKeyTechnology, 2003].
Данные и команды передаются жесткому диску только для заведомо безопасных команд. Аргументы команд не записываются в регистры, если устройство NoWrite не знает, к какой команде они относятся. Пересылка данных несколько замедляется, но зато снижается опасность записи потенциально опасных команд. Если продолжить предыдущую аналогию, такой процесс проверяет каждый патрон и разрешает заряжать ружье только холостыми.
Я уже упоминал об аппаратных блокировщиках записи в разделах, посвященных НРА и DCO, и сейчас хочу снова вернуться к этой теме. Для удаления областей

НРА и DCO диску необходимо передать соответствующие команды. Так как выполнение этих команд приводит к изменению устройства, они должны быть остановлены аппаратным блокировщиком записи. Устройство NoWrite делает исключение для команды SET_MAX и разрешает выполнять ее при сброшенном бите устойчивости, чтобы изменения не носили постоянного характера. Все остальные команды SET_MAX и DEVICE_CONFIGURATION блокируются. Некоторые блокировщи- ки записи разрешают прохождение этих команд, а другие их блокируют. На момент написания книги документация с перечислением блокируемых команд почти не встречалась.
Аппаратные блокировщики записи, как и все остальные аналитические инструменты, должны проходить тщательное тестирование, и группа CFTT при NIST опубликовала спецификацию аппаратных блокировщиков записи (http:// www.cftt.nist.gov/hardware_write_block.htm). В спецификации содержится классификация команд АТА (изменяющие, неизменяющие, конфигурационные). Согласно спецификации, устройство должно блокировать изменяющие команды и возвращать (не обязательно) признак успеха или неудачи. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Аппаратная блокировка записи:

  1. Программная блокировка записи
  2. Аппаратная реализация RAID
  3. АППАРАТНЫЕ КОМПОНЕНТЫ
  4. Вопрос 87 ЧТО ТАКОЕ АППАРАТНЫЕ, ИЛИ ШТАБНЫЕ, ПОЛНОМОЧИЯ?
  5. Записи каталогов
  6. Записи каталогов
  7. Типы учетных записей
  8. Вопрос 90 КАКАЯ ДЕЯТЕЛЬНОСТЬ СЧИТАЕТСЯ ЛИНЕЙНОЙ, А КАКАЯ АППАРАТНОЙ?
  9. 6.3.4.3. Внесение записей в реестр акционеров
  10. Записи каталогов для длинных имен файлов
  11. Атрибуты записей MFT
  12. ЗАПИСИ НА ВТОРОМ ТУРЕ
  13. Н. И. Савугитша ЗАПИСИ НАРОДНОЙ ДРАМЫ НА ОНЕГЕ
  14. БЕГЛЫЕ ЗАПИСИ НА ПЕРВОМ ТУРЕ
  15. ЗАПИСИ ПЕДАГОГА НА КОНСУЛЬТАЦИИ
  16. вести записи прочитанного
  17. Глава 36 УСТАНОВЛЕНИЕ НЕПРАВИЛЬНОСТИ ЗАПИСИ В АКТАХ ГРАЖДАНСКОГО СОСТОЯНИЯ