Методы анализа

  От рассмотрения основных концепций данных содержимого мы переходим к способам их анализа. В этом разделе представлены различные методы анализа, используемые при поиске улик.
Просмотр блоков данных
Метод просмотра блоков данных применяется в тех случаях, когда эксперту изве- стен адрес возможного местонахождения улик — например, выделенный определенному файлу или имеющий особое значение. Скажем, во многих системах FAT32 сектор 3 не используется файловой системой и заполняется нулями, однако в нем могут храниться скрытые данные. Просмотр содержимого сектора 3 покажет, присутствуют ли в нем данные, отличные от нуля.
Принцип проведения такого рода анализа очень прост. Эксперт вводит логический адрес файловой системы, а программа вычисляет смещение в байтах или адрес сектора для указанного блока данных. Затем программа переходит к указанной позиции и читает данные. Для примера рассмотрим файловую систему, в которой блок данных 0 хранится со смещением 0, а размер каждого блока данных равен 2 048 байт. Смещение блока данных 10 составит 20 480 байт (рис. 8.4).
2 048 в байТф
•                            20              480              байт                            •



Данная функция выполняется многими программами, в том числе шестнадцатеричными редакторами и средствами анализа. В частности, программа dcat из пакета TSK позволяет просмотреть конкретный блок данных в низкоуровневом или шестнадцатеричном формате.
Поиск в логической файловой системе
В предыдущем примере мы знали, где могут находиться улики, но не знали, какие именно. На этот раз ситуация обратная: мы знаем содержимое улик, но не знаем,
где они находятся. При поиске в логической файловой системе каждый блок данных проверяется на присутствие некоторой фразы или значения. На рис. 8.5 каждый блок данных проверяется на присутствие строки «forensics».
0 1 2 3 4 5 6 7 8 9 10 11

Присутствует ли строка «forensics» в этом блоке данных?

Рис. 8.5. При поиске в логической файловой системе каждый блок данных проверяется на присутствие заранее известного значения
Традиционно эта методика поиска называлась «физическим поиском», потому что в ней используется физический порядок секторов; на мой взгляд, этот термин верен только для отдельных дисков, но не для систем с объединением дисков и массивов RAID. В таких системах порядок следования секторов не соответствует их физическому порядку, и лучше использовать более точный термин.
К сожалению, файлы не всегда занимают смежные блоки данных, и во фрагментированном файле искомое значение может оказаться разбитым на две несмежных блока. В этом случае при поиске в логической файловой системе оно обнаружено не будет. Как будет показано далее, задача решается поиском в логических файлах. Многие программы анализа позволяют выполнять поиск как по логическим томам, так и по логическим файлам. Чтобы определить, какой режим поиска используется вашей программой, попробуйте провести поиск по ключевым словам в тестовых образах, размещенных на моем сайте DFTT (Digital Forensic Tool Testing) [Carrier, 2004].
Если вернуться к аналогии из раздела «Стратегии выделения», можно сказать, что мы пытаемся найти в театре конкретную семью. Процедура поиска в логической файловой системе начинается с первого ряда, и проверяется каждая группа из четырех людей, занимающих соседние места. Если семье достались несмежные места, поиск завершится неудачей. Поиск также можно повторить для отдельного человека, но это может привести к ложным совпадениям из-за людей с похожей внешностью.
Состояние выделения блоков данных
Еще одна ситуация: точное местонахождение улик неизвестно, но мы знаем, что они находятся в свободном (невыделенном) пространстве. Некоторые программы позволяют извлечь содержимое всех свободных блоков данных файловой системы в отдельный файл, другие проводят анализ только в пределах свободных областей. Результат извлечения всех свободных блоков будет представлять собой низкоуровневые данные, лишенные какой-либо структуры файловой системы, поэтому такие данные не могут обрабатываться в средствах анализа файловой системы.

На рис. 8.6 изображена битовая карта первых 12 блоков данных. В этой структуре каждый блок данных представлен одним битом. Если бит равен 1, значит, блок данных выделен, а если 0 — свободен. Если потребуется извлечь содержимое всех свободных блоков данных, мы извлечем блоки 2, 6, 7 и 11.


Рис. 8.6. Чтобы извлечь содержимое свободных блоков данных, мы просматриваем битовую карту выделения и извлекаем блоки с заданным значением


Функция извлечения содержимого свободного пространства файловой системы поддерживается многими программами цифровой экспертизы, хотя определения «свободного пространства» могут быть разными. Я заметил, что некоторые программы считают свободными любые данные, не принадлежащие файлам, включая данные категории файловой системы и метаданные. С другой стороны, некоторые программы восстанавливают удаленные файлы и считают их блоки данных выделенными, хотя с технической точки зрения эти блоки свободны. А вы знаете, как ваша программа интерпретирует свободные данные?
В пакете TSK программа dls извлекает свободные данные в файл. Обнаружив интересные данные, вы захотите узнать, в каком блоке данных файловой системы они находились; для этой цели можно воспользоваться программой dcalc. TSK считает свободными блоки данных в категории содержимого, у которых состояние выделения помечено как свободное. Если некоторые блоки данных используются файловой системой и не имеют состояния выделения, они считаются выделенными.
Порядок выделения блоков данных
Ранее я уже упоминал некоторые стратегии, используемые ОС при выделении блоков данных. В общем случае выбор стратегия зависит от ОС и является объектом анализа прикладного уровня. Например, Windows ME и Windows 2000 могут использовать разные стратегии выделения блоков данных для системы FAT, но при этом каждая из систем создает действительную файловую систему FAT.
Если относительный порядок выделения двух и более блоков данных важен, можно попробовать определить его моделированием процедуры выделения ОС. Это очень трудная задача, потому что сначала необходимо определить стратегию, используемую ОС, а затем исследовать все возможные сценарии, которые могли привести к данному состоянию блоков данных. Такой метод анализа используется при реконструкции событий, которая выполняется уже после того, как блоки будут идентифицированы как улики. Он связан с информацией прикладного уровня, но его подробное рассмотрение выходит за рамки настоящей книги.
Проверка целостности данных
Проверка целостности данных играет важную роль при анализе всех категорий данных. Она позволяет определить, находится ли файловая система в подозрительном состоянии. Одна из проверок целостности данных в категории содержимого использует информацию из категории метаданных и проверяет, что на каждый
выделенный блок данных указывает ровно одна запись метаданных. Это делается для того, чтобы пользователь не мог вручную изменить состояние выделения блоков данных, не указав для них имени. Выделенные блоки данных, не имеющие ассоциированной структуры метаданных, называются зависшими блоками данных. На рис. 8.7 блоки данных 2 и 8 являются выделенными. Блок данных 2 не имеет ассоциированной записи метаданных, поэтому он является зависшим. На блок данных 8 ссылаются сразу две записи метаданных, что недопустимо в большинстве файловых систем.
0 1 2 3 4 5 6 7 8 9 10 11

Запись метаданных 1

Запись метаданных 2

Рис. 8.7. Проверка целостности убеждается в том, что на каждый блок данных ссылается одна и только одна запись метаданных
В ходе другой проверки целостности данных анализируются все блоки данных, помеченные как поврежденные. Если у вас имеется образ жесткого диска с поврежденными секторами, многие программы снятия данных заполняют поврежденные секторы нулями. Следовательно, любой блок данных, входящий в список поврежденных, должен содержать нули (при условии, что программа снятия данных заменяет поврежденные данные нулями). Ненулевые данные заслуживают пристального внимания, потому что это могут быть данные, скрытые от пользователей. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Методы анализа:

  1. 4.4.2. Диагностический анализ инновационной среды организации по методу БУУОТ-анализа
  2. Методы анализа и категории данных
  3. 3.1. Количественные и качественные методы экономического анализа
  4. 3.5. Методы факторного анализа экономических показателей
  5. Методы анализа
  6. Методы анализа
  7. 3.3. Статистические и экономико-математические методы анализа
  8. 3.1. Количественные и качественные методы экономического анализа
  9. 3.6. Индексный метод факторного анализа
  10. 3.3. МЕТОДЫ АНАЛИЗА И ПРОГНОЗИРОВАНИЯ ФИНАНСОВЫХ ПОКАЗАТЕЛЕЙ.
  11. 4.2. Основные методы и виды анализа в системе маркетинга
  12. Методы анализа