Методы анализа


В этом разделе рассматриваются методы анализа, применимые к данным из категории имен файлов.
Получение списка имен файлов
Категория данных имен файлов предназначена для того, чтобы ассоциировать файлы с именами. Как нетрудно предположить, одним из самых распространенных методов анализа является получение списка файлов и каталогов. Обычно это делается при поиске улик на основании имени, пути или расширения файла. Когда файл будет опознан, адрес его метаданных используется для получения дополнительной информации. У этого метода есть несколько разновидностей: например, файлы можно отсортировать по расширениям, что позволяет сгруппировать однотипные файлы.
Многие файловые системы не стирают имена удаленных файлов, поэтому эти имена тоже будут присутствовать в списке. Впрочем, иногда адрес метаданных стирается при удалении файла, и получить дополнительную информацию не удастся.
Получение списка начинается с обнаружения корневого каталога файловой системы. Обычно для этого используется процесс, который был описан ранее для

просмотра логических файлов в разделе «Категория метаданных». Строение корневого каталога хранится в записи метаданных, поэтому мы должны найти запись и блоки данных, выделенные для этого каталога.
Обнаружив содержимое каталога, мы обрабатываем его, получая список файлов и соответствующих им адресов метаданных. Если пользователь хочет просмотреть содержимое какого-либо файла в списке, можно воспользоваться методом просмотра логических файлов по указанному адресу метаданных. Если потребуется вывести содержимое другого каталога, мы загружаем и обрабатываем его. В любом случае процесс основан на просмотре логических файлов.
Эта методика поддерживается большинством программ анализа, причем многие программы объединяют информацию из категории имен файлов с информацией из категории метаданных — например, чтобы в одном представлении с именами файлов выводились пометки даты и времени. На рис. 8.20 показан пример анализа: при обработке блока данных 401 были обнаружены два имени. Нас интересует файл favorites.txt; мы видим, что его метаданные находятся в записи 3. В нашей файловой системе соответствующая структура метаданных находится в блоке данных 200. Мы обрабатываем информацию из соответствующего блока данных, получая размер и адреса содержимого этого файла.
101010101110
101000110111
100000101011
              \[ Обработка \
010001010101
010101010000               Жданных имен! гgt; 010010010101
001101001011 V файлов J 101101011011
101011111100 100101110001

Блок данных 401

Блок данных 1


Удален

Имя

Метаданные

No

badstuff.txt

1

Yes

favorites.txt

3


Удален

Тип

Размер

Последняя запись

Блок данных 1

Блок данных 2

No

File

2 001

Jan 03, 2004 03:12:03

1 003

1 004

Рис.
8.20. Чтобы получить список имен файлов, мы обрабатываем содержимое каталога и извлекаем имена (а иногда и связанные с ним метаданные)


Данный метод анализа поддерживается многими программами. В пакете TSK для вывода имен существующих и удаленных файлов используется программа fls.
Поиск имен файлов
Список имен файлов удобен в том случае, если вы знаете имя искомого файла, но это не всегда так. Если полное имя файла неизвестно, можно провести поиск по известной части. Например, мы можем знать расширение файла или его имя, но без каталога. В результате поиска выводится список файлов, удовлетворяющих критерию поиска. Скажем, если в ситуации на рис. 8.20 провести поиск по расширению .txt, программа просмотрит каждую запись и выведет как badstuff.txt, так

и favorites.txt. Учтите, что поиск по расширению не всегда возвращает файлы заданного типа, поскольку расширение может быть изменено для скрытия файла. Для поиска всех файлов заданного типа необходимо использовать методы прикладного уровня, анализирующие строение файла.
Процесс поиска по имени сходен с процессом получения списка имен файлов. Сначала загружается и обрабатывается содержимое каталога, затем каждая запись сравнивается с заданным критерием. Если при проведении рекурсивного поиска обнаруживается каталог, то его содержимое также участвует в поиске.
Другая разновидность поиска в этой категории -- поиск имени файла, которому была выделена заданная запись метаданных. Это может быть необходимо, если вы обнаружили улики в блоке данных, а затем нашли структуру метаданных, которой он был выделен. После обнаружения структуры метаданных среди имен файлов ищется полное имя файла, которому был выделен блок с уликами. Задача решается программой ffind пакета TSK.
Порядок выделения структур данных
Как уже говорилось ранее при обсуждении содержимого и метаданных, порядок выделения структур имен файлов может использоваться для определения относительного порядка создания двух имен файлов. Метод анализа зависит от специфики ОС и выходит за рамки книги.
Проверка целостности данных
При проверке целостности данных имен файлов эксперт убеждается в том, что все выделенные структуры имен ссылаются на выделенные структуры метаданных. В некоторых файловых системах одному файлу может быть присвоено несколько имен; как правило, эта функциональность реализуется созданием нескольких структур имен файлов с одинаковыми адресами метаданных.
Методы надежного удаления
Программы надежного удаления в этой категории стирают имя и адрес метаданных в структуре. Один из методов удаления может стирать поля структуры имени файла; в этом случае анализ покажет, что запись существует, но ее данные стали недействительными. Например, имя файла setuplog.txt будет заменено именем abcdefgh.123. В некоторых ОС это решение усложняется тем, что ОС помещает новое имя в конец списка, используя стратегию поиска следующей доступной структуры.
Другая методика надежного удаления имен файлов заключается в реорганизации списка имен, при которой имя удаленного файла заменяется именем одного из существующих файлов. Этот метод гораздо сложнее первого; с другой стороны, он гораздо эффективнее в отношении сокрытия данных. Эксперт может даже не заподозрить, что с каталогом что-то не в порядке.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Методы анализа:

  1. 4.4.2. Диагностический анализ инновационной среды организации по методу БУУОТ-анализа
  2. Методы анализа и категории данных
  3. 3.1. Количественные и качественные методы экономического анализа
  4. 3.5. Методы факторного анализа экономических показателей
  5. Методы анализа
  6. Методы анализа
  7. 3.3. Статистические и экономико-математические методы анализа
  8. 3.1. Количественные и качественные методы экономического анализа
  9. 3.6. Индексный метод факторного анализа
  10. 3.3. МЕТОДЫ АНАЛИЗА И ПРОГНОЗИРОВАНИЯ ФИНАНСОВЫХ ПОКАЗАТЕЛЕЙ.
  11. 4.2. Основные методы и виды анализа в системе маркетинга
  12. Методы анализа
  13. Методы анализа
  14. 2.4.Метод анализа документов
  15. Методы анализа
  16. Методы анализа
  17. 2.4. Технология применения методов анализа исследовательских объектов
  18. 7.4.7. Анализ методов обследования организации на месте
  19. 2.4.5. Анализ документов как метод педагогического исследования
  20. 2.2. Методы анализа деятельности коммерческого банка