загрузка...

Факторы анализа

  Каждый раздел BSD в структуре разметки диска содержит поле типа, но в системах BSD оно играет менее важную роль, чем в Microsoft Windows, так как Windows по содержимому поля типа определяет, нужно ли присваивать разделу букву диска или нет. В системах BSD для каждой записи в разметке диска создается устройство, поэтому разделы могут монтироваться с любым типом. Следовательно, необходимо убедиться в том, что раздел не содержит известной файловой системы, даже если тип идентифицирует его как старый формат UNIX, поскольку раздел может содержать другую распространенную файловую систему (например, FAT).
Максимальный размер разметки диска равен 404 байтам. Для разметок дисков, содержащих только восемь записей, структура данных занимает всего 276 байт. Это означает, что оставшаяся часть 512-байтового сектора может использоваться для хранения скрытых данных (хотя и относительно небольших). Если в результате повреждения таблицы разделов DOS определить местонахождение раздела BSD не удается, проведите поиск сигнатуры 0x82564557. Сигнатура должна находиться в байте 0 и байте 132 структуры разметки диска.

Помните, что в системе FreeBSD пользователь получает доступ как к разделам DOS, так и к разделам BSD. Таким образом, в ходе экспертизы необходимо анализировать как разделы DOS, так и разделы BSD. Учтите, что в системе может отсутствовать поддержка NTFS, чтобы пользователь не мог смонтировать раздел NTFS (если он существует).
В OpenBSD пользователь имеет доступ только к разделам, перечисленным в разметке диска.
Поскольку OpenBSD игнорирует таблицу разделов DOS, может быть полезно сравнить содержимое таблицы разделов DOS с разметкой диска BSD. Проанализируйте разделы BSD и DOS, выявите возможные перекрытия и промежутки. На рис. 6.4 показаны интересные примеры разделов BSD. Один из разделов BSD храшггся в разделе DOS с типом NTFS. Если раздел NTFS содержит файловую систему NTFS, такая ситуация маловероятна, и ее следует проанализировать подробнее. На рисунке также показан раздел BSD, созданный в пространстве, которое не было выделено разделу DOS. С точки зрения системного администратора так поступать не рекомендуется, потому что другая программа может выделить пространство под раздел DOS и уничтожить данные BSD, однако такая возможность существует.



Нераспределенное
Раздел DOS
Рис. 6.4. Диск с двумя разделами BSD в разделе DOS с типом OpenBSD, разделом BSD в разделе DOS с типом NTFS и разделом BSD, не входящим в раздел DOS
Итоги
Разделы BSD описываются простой структурой данных, называемой разметкой диска. У эксперта могут возникнуть определенные трудности с идентификацией всех данных, доступных для пользователя в анализируемой системе. Системы семейства BSD часто используются на серверах, которые зачастую становятся объектами криминальных и корпоративных расследований. Если эксперт хорошо разбирается в разделах BSD, это повысит качество расследования.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Факторы анализа:

  1. Анализ ключевых факторов
  2. Оценка анализа ключевых факторов
  3. Факторы анализа
  4. Факторы анализа
  5. Факторы анализа
  6. Факторы анализа
  7. Факторы анализа
  8. 7.4.1. Анализ сопутствующих факторов риска
  9. 37. Кредитоспособность заемщика и факторы, учитываемые при ее анализе
  10. 1.5.2. Анализ макроэкономического фактора туристической деятельности
  11. 12.10. Анализ факторов, воздействующих на уровень финансовой устойчивости
  12. Статистические методы анализа влияния отдельных факторов на изменение себестоимости продукции
  13. 4.4.2. Диагностический анализ инновационной среды организации по методу БУУОТ-анализа
  14. 1.6. Взаимосвязь производственного и финансового анализа. Характеристика управленческого анализа
  15. 2.2. ЭКОНОМИЧЕСКИЙ, ПРАВОВОЙ И ПОЛИТИЧЕСКИЙ АНАЛИЗ В КОНТЕКСТЕ ЗАДАЧ МЕЖДУНАРОДНОГО МЕНЕДЖМЕНТА. СТРАНОВЫЙ МАРКЕТИНГОВЫЙ АНАЛИЗ