Конкретные файловые системы


В оставшихся главах книги мы рассмотрим способы хранения данных в системах FAT, NTFS, Ext2/Ext3 и UFS и применим к ним структуру из пяти категорий. В табл. 8.1 приведены имена структур данных в каждой категории данных для файловых систем, описанных в книге.
Таблица 8.1. Структуры данных в файловых системах, описанных в книге (деление по категориям)


Файловая
система

Содержимое

Метаданные

Имя файла

Прикладные
данные

ExtX

Суперблок,
дескриптор
группы

Блоки, битовая карта блоков

I-узлы, карта i-узлов, расширенные атрибуты

Записи
каталога

Журнал

FAT

Загрузочный
сектор,
FSINFO

Кластеры, FAT

Записи каталога, FAT

Записи
каталога


NTFS

$Boot,
$Volume,
$AttrDef

Кластеры,
$Bitmap

$MFT, $mfTMirr, $STANDARD INFORMATION, $DATA,
$ ATTRIBUTE LIST, $ SECURITY DESCRIPTOR

$FILE NAME, $IDX ROOT, $IDX
ALLOCATION, $ BITMAP

Дисковые
квоты,
журнал,
журнал
изменений

UFS

Суперблок,
дескриптор
группы

Блоки, фрагменты, битовая карта блоков, битовая карта фрагментов

I-узлы, карта i-узлов, расширенные атрибуты

Записи
каталога






Существуют и другие файловые системы, которые не вошли в книгу, но могут встретиться в вашей работе. Например, HFS+ — стандартная файловая система компьютеров Apple. Компания Apple опубликовала структуры данных и подробности строения файловой системы [Apple, 2004]. ReiserFS — одна из файловых систем Linux, по умолчанию используемая некоторыми дистрибутивами (например, SUSE [Reiser, 2003]). В стандартной документации ReiserFS приводится мало информации о структурах данных, эти структуры документировали Флориан Бух- гольц (Florian Bucholz) [2003] и Герсон Курц (Gerson Kurz) [2003]. Еще одна файловая система для Linux — JFS ( Journaled File System) — была разработана в IBM (не путайте ее с файловой системой JFS, разработанной IBM для AIX). IBM документировала структуру файловой системы [IBM, 2004].
Итоги
Большая часть улик в современных цифровых расследованиях получается в результате анализа файловых систем.
В этой главе были представлены категории данных, формирующие единый логический шаблон для рассмотрения конкретных файловых систем. Также были рассмотрены методы анализа в каждой категории данных (на достаточно формальном уровне). В табл. 8.2 представлена сводка методов анализа для разных типов данных.
Таблица 8.2. Выбор метода поиска в зависимости от типа искомых улик



Категория данных



Файл по имени, расширению или каталогу
Существующий или удаленный файл по временным штампам
Существующий файл по значению, присутствующему в содержимом Существующий файл по хеш-коду SHA-1
Существующий файл или свободный блок данных по значению, присутствующему в содержимом Все удаленные файлы по типу приложения
Свободные данные по содержимому (без учета типа приложения)
Имя файла
Имя файла и метаданные
Имя файла (с использованием метаданных и данных содержимого)
Имя файла (с использованием метаданных и данных содержимого)
Имя файла (с использованием метаданных и данных содержимого)
Прикладные данные и содержимое
Данные содержимого
Поиск по имени файла или вывод
содержимого каталога
Поиск по атрибутам метаданных
Поиск по логическим файлам
Поиск по логическим файлам с хеш-кодами
Поиск по логическим файлам с восстановлением по метаданным и поиском в логической файловой системе
Восстановление на прикладном
уровне (извлечение данных)
в свободных блоках
Поиск в логической файловой
системе

Библиография Apple. «Technical Note TNI 150-HFS Plus Volume Format». March 2004. http:// developer.apple.com/technotes/tn/tnll50.htmL Buchholz, Florian, «The Structure of the Reiser File System». August 17, 2003. http://www.cerias.purdue.edu/homes/florian/reiser/reiserfs.php. Carrier, Brian. «Digital Forensic Tool Testing Images», 2004. http://dftt.source- forge.net. Casey, Eoghan. «Practical Approaches to Recovering Encrypted Digital Evidence». InternationalJournal of Digital Evidence, 1 (3), 2002. http://www.ijde.org. IBM. «Journaled File System Technology for Linux». 2004. http://www.ibm.com/ developerworks/oss/jfs/. Kruse, Warren. «Computer Forensics Primer». CSI 30th Annual Computer Security Conference, November 3, 2003. http://csiannual.com/classes/jl.pdf. Kurz, Gerson. «ReiserFS Docs», 2003. http://p-nand-q.com/download/rfstool/rei- serfs_docs.html. Reiser, Hans. «Reiser4». 2003. http://www.namesys.com. Wolfe, Hank. «Penetrating Encrypted Evidence». Journal of Digital Investigation, 1(2), 2004.


<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Конкретные файловые системы:

  1. Категория данных файловой системы
  2. Что такое файловая система?
  3. Категория файловой системы
  4. Категория данных файловой системы
  5. Категория данных файловой системы
  6. Файлы метаданных файловой системы
  7. Анализ файловых систем
  8. ЧАСТЬ III Анализ файловых систем
  9. Кэрриэ Б.. Криминалистический анализ файловых систем, 2007
  10. Категория имен файлов
  11. Шифрование файлов