Факторы анализа


В процессе анализа файловой системе FAT следует изучить содержимое кластеров, помеченных как поврежденные — многие диски обрабатывают поврежденные секторы на аппаратном уровне, и операционная система их вообще не видит.

Поврежденные блоки данных необходимо анализировать в файловых системах любого типа, но Microsoft сообщает, что некоторые защищенные приложения хранят информацию в кластерах FAT, помеченных как поврежденные. По этой причине программа ScanDisk для Windows не проверяет, действительно ли повреждены помеченные секторы [Microsoft, 2004b]. Некоторые версии команды format для Windows сохраняют статус поврежденных кластеров при повторном форматировании файловой системы.
Размер области данных может оказаться некратным размеру кластера, поэтому в конце области данных могут располагаться секторы, не принадлежащие кластеру. Такие секторы используются для скрытия информации или содержат данные, оставшиеся от предыдущей файловой системы. На рис. 9.7 показан пример файловой системы с кластерами, состоящими из 2 секторов, и нечетным количеством секторов. Последний сектор, помеченный серым цветом, не имеет адреса кластера.
Чтобы узнать, присутствуют ли в системе неиспользуемые секторы, вычтите адрес сектора для кластера 2 из общего количества секторов и разделите разность на количество секторов в кластере. Если деление выполняется с остатком, значит, неиспользуемые сектора присутствуют:
(общее количество секторов - адрес сектора для кластера 2) / (количество секторов в кластере)
Скрытые данные также могут храниться между концом последней действительной записи основной структуры FAT и началом резервной копии или же между концом последней записи резервной FAT и началом области данных. Чтобы вычислить объем неиспользуемого пространства, сравните размер каждой структуры FAT, указанный в загрузочном секторе, с размером, необходимым для хранения фактического количества секторов в файловой системе. Например, в файловой системе FAT32, которую мы ранее анализировали командой fsstat, каждой копии FAT было выделено 797 секторов. Каждая запись таблицы в файловой системе FAT32 занимает четыре байта, следовательно, каждый 512-байтовый сектор содержит 128 записей.
В каждой таблице помещается 797 секторов * 128 (записей/сектор) = 102 016 записей
Из выходных данных fsstat видно, что количество кластеров равно 102 002, следовательно, в таблице имеется 14 неиспользуемых записей, а их общий размер составляет 64 байта.
Не каждому сектору тома ставится в соответствие адрес кластера, поэтому результаты поиска по логическому тому и логической файловой системе могут различаться. Протестируйте свои программы и определите, проводят ли они поиск

в загрузочном секторе и областях FAT. Один из простых способов — проведите поиск строки «FAT» и посмотрите, будет ли найден загрузочный сектор (впрочем, сначала убедитесь в том, что загрузочный сектор содержит эту строку).
Сценарий анализа
Имеется файловая система FAT16, требуется найти первый сектор кластера 812. У нас есть только шестнадцатеричный редактор, не имеющий специальных функций поддержки файловой системы FAT.
Первым шагом станет просмотр загрузочного сектора, расположенного в секторе 0 файловой системы. В результате обработки сектора мы узнаем, что он содержит шесть зарезервированных секторов, две копии FAT и каждая копия FAT занимает 249 секторов. Каждый кластер состоит из 32 секторов, а корневой каталог содержит 512 записей.
Теперь нужно заняться вычислениями. Первая копия FAT начинается в секторе 6 и заканчивается в секторе 254. Вторая копия FAT начинается в секторе 255 и заканчивается в секторе 503. Далее следует корневой каталог. Корневой каталог содержит 512 записей; каждая запись (как будет показано далее) занимает байта, поэтому каталог располагается в секторах 504-535, а область данных начинается в секторе 536.
Первый кластер области данных обладает адресом 2. Соответственно, искомый кластер 812 будет 810-м кластером области данных. Так как каждый кластер занимает 32 сектора, кластер 812 смещен от начала области данных на 25 920 секторов. Наконец, мы прибавляем начальный адрес области данных и определяем, что кластер 812 начинается в секторе 26 456 и продолжается до сектора 26 487. Структура диска показана на рис. 9.8.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Факторы анализа:

  1. Анализ ключевых факторов
  2. Оценка анализа ключевых факторов
  3. Факторы анализа
  4. Факторы анализа
  5. Факторы анализа
  6. Факторы анализа
  7. Факторы анализа
  8. 7.4.1. Анализ сопутствующих факторов риска
  9. 37. Кредитоспособность заемщика и факторы, учитываемые при ее анализе
  10. 1.5.2. Анализ макроэкономического фактора туристической деятельности
  11. 12.10. Анализ факторов, воздействующих на уровень финансовой устойчивости
  12. Статистические методы анализа влияния отдельных факторов на изменение себестоимости продукции
  13. 4.4.2. Диагностический анализ инновационной среды организации по методу БУУОТ-анализа
  14. 1.6. Взаимосвязь производственного и финансового анализа. Характеристика управленческого анализа