Категории данных

  При рассмотрении различных типов файловых систем полезно иметь эталонную модель, упрощающую сравнение разных файловых систем (скажем, FAT и Ext3). Кроме того, наличие эталонной модели упрощает поиск доказательств. В нашей эталонной модели будут задействованы пять категорий: данные файловой системы, содержимого, метаданные, данные имен файлов и прикладные данные. Любая информация файловой системы принадлежит к одной из перечисленных категорий в зависимости от того, какую роль она играет в файловой системе. Мы будем использовать эти категории при описании файловых систем, хотя некоторые системы (а именно, FAT) не так хорошо соответствуют эталону, как другие системы. Инструментарий The Sleuth Kit (TSK) тоже базируется на тех же категориях.
Категория данных файловой системы включает общую информацию, относящуюся к файловой системе в целом. Каждая файловая система обладает некой общей структурой, но ее экземпляры уникальны, поскольку они обладают уникальным размером и могут оптимизироваться. Данные файловой системы указывают, где найти некоторые структуры данных и насколько велики единицы хранения информации. Их можно сравнить с «географической картой» файловой системы.
К категории данных содержимого относятся данные, составляющие фактическое содержимое файлов (которое, собственно, и является главной причиной для создания файловых систем). Большая часть данных файловой системы относится к этой категории, а для их хранения обычно применяются контейнеры стандартного размера. Название контейнеров зависит от файловой системы (например, кластер или блоку, до описания конкретных файловых систем я буду использовать общий термин блок данных.
Категория метаданных включает данные с описаниями файлов; иначе говоря, это данные, описывающие другие данные. В частности, к метаданным относится информация о местонахождении содержимого файла, его размере, времени и дате последнего чтения или записи в файл, контроле доступа и т. д. Метаданные не включают ни фактического содержимого файла, ни его имени. Примерами структур данных этой категории являются записи каталогов FAT, записи NTFS MFT (Master File Table), структуры i-узлов UFS и Ext3.
Категория данных имен файлов, или интерфейса с пользователем, содержит информацию об именах, присвоенных всем файлам. В большинстве файловых систем эти данные хранятся в каталогах в виде списка имен файлов с соответствующими адресами метаданных. Категорию данных имен файлов можно сравнить с именем хоста в сети. Сетевые устройства взаимодействуют друг с другом

по IP-адресам, неудобным для человека. Когда пользователь вводит хостовое имя удаленного компьютера, обмен данными становится возможным лишь после того, как локальный компьютер преобразует имя в 1Р-адрес.
Категория прикладных данных содержит данные, обеспечивающие специальные возможности. Эти данные не задействованы в процессе чтения или записи в файл, и во многих случаях их включение в спецификацию файловой системы не является строго обязательным. Данные включаются в спецификацию только потому, что их реализация на уровне файловой системы (вместо обычного файла) способствует повышению эффективности. Примеры данных категории приложения — статистика пользовательских квот и журналы файловой системы. Эти данные могут быть полезны в ходе экспертизы, но, поскольку чтение и запись файла возможны и без них, о прикладных данных забывают чаще, чем обо всех остальных.
Отношения между пятью категориями данных показаны на рис. 8.1.
Категория данных              Категория
файловой системы              прикладных              данных

Рис.
8.1. Взаимодействие пяти категорий данных


Необходимые и вспомогательные данные
В главе 1 обсуждались различия между данными необходимыми и вспомогательными; я кратко напомню суть обсуждения. К необходимым данным файловой системы относятся данные, без которых невозможно сохранение и выборка файлов. К такого рода данным относятся адреса, по которым хранится содержимое файла, имя файла и указатель, связывающий имя со структурой метаданных. Вспомогательные данные файловой системы обеспечивают дополнительные удобства,
но для решения главной задачи — сохранения и выборки файлов — они не нужны. В качестве примера вспомогательных данных можно назвать время последнего обращения и разрешения доступа.
Почему так важно отличать необходимые данные от вспомогательных? Потому что необходимым данным мы просто обязаны доверять, тогда как для вспомогательных данных это не обязательно. Например, во всех файловых системах присутствует некоторое значение, которое указывает, где хранится содержимое файла. Оно относится к необходимым данным; ведь если это значение окажется ложным, пользователь не сможет прочитать файл. С другой стороны, информация о времени последнего обращения или идентификаторе пользователя является вспомогательной, потому что ее истинность не является абсолютно необходимой. Даже если время последнего обращения к файлу не будет обновляться, это никак не повлияет на чтение или запись в файл. Следовательно, мы должны доверять необходимым данным в большей степени, чем вспомогательным, потому что они жизненно важны для сохранения и чтения файлов.
Некоторые ОС требуют, чтобы некоторые значения обязательно задавались, но это не означает, что эти данные являются необходимыми. К примеру, очень строгая (и вымышленная) ОС может отказаться монтировать файловые системы с файлами, время последнего обращения к которым относится к будущему. Другая ОС не обратит внимания на проблемы с временем, смонтирует файловую систему и сохранит в ней данные. Microsoft Windows требует, чтобы все файловые системы FAT начинались с некоторого блока данных, хотя последний используется только в том случае, если файловая система является загрузочной. С другой стороны, в Linux подобные требования отсутствуют.
Если рассматривать происходящее с этой точки зрения, становится очевидно, что аналитик должен хорошо знать не только тип файловой системы, но и ОС, записывающую данные в файловую систему. Если мы говорим о восстановлении файлов, недостаточно узнать, как восстановить удаленный файл в файловой системе FAT, — задайтесь вопросом, как восстановить файл, удаленный Windows 98 в файловой системе FAT. Система FAT реализована во многих операционных системах, и каждая из них может использовать свою методику удаления файлов. Например, большинство ОС ограничиваются минимальным набором действий, необходимых для удаления файла, но другие системы могут уничтожать все данные, ассоциированные с файлом. В обоих случаях конечным результатом будет действительная файловая система FAT.
В этой книге основное внимание уделяется необходимым данным. Там, где возможно, я буду описывать информацию прикладного уровня, не являющуюся абсолютно необходимой для функционирования файловой системы. Тем не менее очень важно, чтобы аналитик изучал и тестировал прикладные аспекты поведения файловой системы в контексте конкретного инцидента. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Категории данных:

  1. Категория данных содержимого
  2. Категория данных файловой системы
  3. Методы анализа и категории данных
  4. Категория данных файловой системы
  5. Категория прикладных данных
  6. Категория данных имен файлов
  7. Категория данных файловой системы
  8. Категория прикладных данных
  9. Категория данных имен файлов
  10. Категория данных
  11. Категория прикладных данных
  12. КАТЕГОРИИ ПРАКТИКИ И КАТЕГОРИИ АНАЛИЗА
  13. 3. Защита прав на программы для ЭВМ и базы данных Регистрация программ для ЭВМ и баз данных