Категория прикладных данных

  В некоторых файловых системах хранятся данные, традиционно относящиеся к прикладной категории. Эти данные не являются необходимыми для файловой
системы и обычно хранятся в виде специальных данных файловой системы, а не обычных файлов, потому что такой способ более эффективен. В этом разделе рассматривается механизм журналов — один из самых распространенных механизмов прикладной категории.
С технической точки зрения любой файл, создаваемый ОС или приложением, может быть реализован в виде расширения файловой системы. Например, Acme Software может решить, что ОС будет работать быстрее, если зарезервировать часть файловой системы под адресную книгу. Вместо того чтобы хранить имена и адреса в файле, система будет сохранять их в специальном разделе тома. Возможно, такой подход обеспечит выигрыш по эффективности, но для файловой системы он не является обязательным.
Журналы файловой системы
Как хорошо известно любому пользователю, на компьютерах иногда происходят сбои. Если в момент сбоя ОС записывала данные на диск или в буфере оставались несохраненные изменения, сбой может привести к нарушению целостности системы. В системе может появиться выделенная структура метаданных с выделенными блоками данных, но ни одна структура имени файла не будет ссылаться на эту структуру метаданных.
Для обнаружения подобных нарушений ОС запускает программу, которая сканирует файловую систему в поисках отсутствующих указателей и других признаков повреждений.
В больших файловых системах этот процесс может занять очень много времени. Для упрощения работы программы сканирования в некоторых файловых системах создаются журналы. Перед внесением каких-либо изменений в метаданные файловой системы в журнале создается запись с описанием будущих изменений. После того как изменения будут внесены, в журнале создается новая запись с информацией об их успешном внесении. Если в системе происходит сбой, сканирующая программа читает журнал и находит незавершенные операции. Затем программа либо вносит изменения, либо возвращает их в исходное состояние.
Многие современные файловые системы поддерживают журналы, потому что они экономят время при загрузке больших систем. Журнальные данные относятся к категории прикладных данных, потому что файловая система может функционировать и без них. Эти данные существуют лишь для того, чтобы ускорять проверку целостности данных.
Журналы файловой системы могут пригодиться при расследованиях, хотя до настоящего времени они еще не использовались в полной мере. В журналах содержится информация о недавно происходивших событиях файловой системы, а эта информация может помочь при реконструкции недавнего инцидента. Большинство программ анализа не обрабатывает содержимое журналов файловой системы. В пакет TSK входят программы jls и jcat, выводящие содержимое некоторых журналов. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Категория прикладных данных:

  1. Категория прикладных данных
  2. Категория прикладных данных
  3. Категории данных
  4. Категория данных содержимого
  5. Категория данных файловой системы
  6. Методы анализа и категории данных
  7. Категория данных файловой системы
  8. Категория данных имен файлов
  9. Категория данных файловой системы
  10. Категория данных имен файлов
  11. Категория данных