Факторы анализа

  В этом разделе упоминаются некоторые обстоятельства, которые необходимо учитывать при анализе диска с разделами DOS. Для таблицы разделов и загрузочного кода обычно хватает одного сектора, но, как правило, для MBR и расширенных разделов выделяются 63 сектора, потому что разделы должны начинаться на границе цилиндра. Следовательно, раздел 0 расширенного раздела или MBR содержит код и таблицу разделов, а секторы 1-62 могут оставаться неиспользуемыми. В неиспользуемых секторах может храниться дополнительный загрузочный код, но также в них могут находиться данные от предыдущей установки, нули или скрытые данные. Windows ХР не стирает данные в неиспользуемых секторах при создании разделов на диске.
Разделы в большинстве случаев начинаются с сектора 63, и этим обстоятельством можно воспользоваться для восстановления содержимого первого раздела, так как при отсутствии таблицы разделов средства, упоминавшиеся в главе 4, работать не будут. Попробуйте извлечь данные, начиная с сектора 63. В этом случае в выборку будут включены другие разделы из образа, но возможно, вам удастся определить фактический размер раздела по данным файловой систехмы. Извлечение раздела программой dd осуществляется так: dd if=disk.dd bs=512 skip=63 of=part.dd
Теоретически расширенные разделы должны содержать только две записи: для раздела вторичной файловой системы и вторичного расширенного раздела. Большинство программ создания разделов следуют этим правилам, но существует возможность создать третий раздел вручную. Microsoft Windows ХР и Red Hat 8.0 отобразили «лишний» раздел, когда расширенный раздел содержал более двух записей, однако ни та, ни другая ОС не позволили создать такую конфигурацию. Протестируйте свои аналитические программы и убедитесь в том, что в подобных «неправильных» конфигурациях они выводят информацию обо всех разделах.

Значение в поле типа раздела учитывается не всегда. Windows использует поле для идентификации разделов для монтирования, но в таких операционных системах, как Linux, пользователь получает доступ ко всем разделам. Таким образом, пользователь может поместить файловую систему FAT в раздел, предназначенный (в соответствии с типом) для хранения данных спящего режима. Эта файловая система не будет монтироваться в Windows — только в Linux.
Некоторые версии Windows создают в MBR только один первичный раздел, а все остальные разделы создают как расширенные. Другими словами, они не создают три первичных раздела, прежде чем переходить к созданию расширенных разделов.
Если часть таблицы разделов будет повреждена, возможно, придется таблицы расширенных разделов искать на диске. Поиск следует производить по сигнатуре 0хАА55 в двух последних байтах секторах. Обратите внимание: в файловых системах NTFS и FAT присутствуют в той же позиции первого сектора. Чтобы

отличить таблицу разделов от загрузочного сектора файловой системы, придется проанализировать прочее содержимое сектора. Если сектор окажется загрузочным сектором файловой системы, возможно, таблица разделов находится на 63 сектора раньше него.
Итоги
В современной компьютерной аналитике чаще всего приходится иметь дело с разделами DOS. К сожалению, схема разделов DOS также оказывается самой сложной, потому что при ее исходном проектировании не учитывались масштабы современных систем. К счастью, существуют системные программы для получения информации о структуре диска, используемом и неиспользуемом пространстве. Многие системы UNIX, работающие на IA32-совместимых платформах, используют разделы DOS в сочетании с собственными системами разделов. Следовательно, каждый эксперт обязан хорошо разбираться в разделах DOS.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Факторы анализа:

  1. Анализ ключевых факторов
  2. Оценка анализа ключевых факторов
  3. Факторы анализа
  4. Факторы анализа
  5. Факторы анализа
  6. Факторы анализа
  7. Факторы анализа
  8. 7.4.1. Анализ сопутствующих факторов риска
  9. 37. Кредитоспособность заемщика и факторы, учитываемые при ее анализе
  10. 1.5.2. Анализ макроэкономического фактора туристической деятельности
  11. 12.10. Анализ факторов, воздействующих на уровень финансовой устойчивости
  12. Статистические методы анализа влияния отдельных факторов на изменение себестоимости продукции
  13. 4.4.2. Диагностический анализ инновационной среды организации по методу БУУОТ-анализа
  14. 1.6. Взаимосвязь производственного и финансового анализа. Характеристика управленческого анализа
  15. 2.2. ЭКОНОМИЧЕСКИЙ, ПРАВОВОЙ И ПОЛИТИЧЕСКИЙ АНАЛИЗ В КОНТЕКСТЕ ЗАДАЧ МЕЖДУНАРОДНОГО МЕНЕДЖМЕНТА. СТРАНОВЫЙ МАРКЕТИНГОВЫЙ АНАЛИЗ