Методы анализа

  Анализ категории данных файловой системы проводится для определения строения файловой системы и параметров конфигурации для применения более конкретного анализа. При этом также могут быть найдены улики, специфические для данной ситуации. Например, вы можете узнать, какая ОС отформатировала диск, или обнаружить на нем скрытые данные.
Для определения конфигурации файловой системы FAT необходимо найти и обработать загрузочный сектор, структуры данных которого приведены в главе 10. Обработка загрузочного сектора упрощается тем, что он находится в первом секторе файловой системы и содержит простейшие поля. Существует две версии загрузочного сектора, причем обе хорошо документированы. На основании данных из загрузочного сектора вычисляется местонахождение зарезервированной области, области FAT и области данных.
Структура данных FAT32 FSINFO также может предоставить некоторые сведения о недавно выполненных операциях; ее местонахождение указано в загрузочном секторе. Как правило, FSINFO хранится в секторе 1 файловой системы. В FAT32 также существуют резервные копии обеих структур данных.

Факторы анализа
Как вы убедились, данные этой категории предоставляют структурную информацию о файловой системе, причем большая часть этих данных неподконтрольна пользователю. Следовательно, никаких сенсационных находок ожидать не стоит. Вы не найдете значений, показывающих, где и когда была создана файловая система; впрочем, метка OEM и метка тома, хотя и относятся к вспомогательным данным, могут предоставить некоторую полезную информацию, потому что в разных системах используются разные значения по умолчанию. Позднее мы увидим, что в FAT существует специальный файл, имя которого совпадает с именем тома, и этот файл может содержать время создания системы.
Существует ряд мест, не используемых файловой системой; в них могут храниться данные, скрытые от пользователя. Например, между концом загрузочного сектора и завершающей сигнатурой хранятся свыше 450 байт данных. Windows обычно использует это пространство для хранения загрузочного кода системы, но в файловых системах, не являющихся загрузочными, оно не используется.
FAT32 обычно выделяет много секторов в зарезервированную область, но лишь небольшая часть из них используется для хранения основной и резервной копий загрузочного сектора и структуры данных FSINFO. Следовательно, эти секторы могут содержать скрытые данные. Кроме того, в FAT32 структура FSINFO содержит сотни неиспользуемых байтов. ОС обычно стирает содержимое секторов в резервной области при создании файловой системы.
Скрытые данные также могут находиться между концом файловой системы и концом тома. Сравните число секторов файловой системы, заданное в загрузочном секторе, с количеством секторов тома, чтобы определить резервное пространство тома. Учтите, что создать резервное пространство тома относительно несложно — для этого достаточно изменить общее количество секторов в загрузочном секторе. />В файловых системах FAT32 присутствует резервная копия загрузочного сектора, которая должна находиться в секторе 6. Основная копия сравнивается с резервной для выявления расхождений. Если основная копия окажется поврежденной, следует проанализировать резервную копию. Если пользователь изменил какие- либо из меток или других полей основного загрузочного сектора в шестнадцатеричном редакторе, возможно, резервная копия будет содержать исходные данные.
Сценарий анализа
При обыске в доме подозреваемого в шкафу был найден жесткий диск. В процессе снятия данных выяснилось, что первые 32 сектора диска повреждены и прочитать их не удастся. Вероятно, подозреваемый положил диск в шкаф после сбоя и воспользовался новым диском, но мы хотим проанализировать старый диск на наличие улик. На компьютере подозреваемого установлена система Windows ME, соответственно, используется файловая система FAT. Этот сценарий показывает, как найти файловую систему далее в том случае, если таблицы разделов не существует.
Чтобы найти начало файловой системы FAT, мы проведем поиск по сигнатурам 0x55 и ОхАА в последних двух байтах загрузочного сектора. При проведении только одного поиска следует ожидать большого количества ложных совпадений. Если диск заполнен случайными данными, можно ожидать, что сигнатура будет встречаться
каждые 65 536 секторов. Для уменьшения количества ложных совпадений можно увеличить сигнатуру или использовать другие данные. Сценарий показывает, что второй способ хорошо подходит для FAT32, потому что шаблон сигнатур хранится в зарезервированной области файловой системы.
Конечно, программы автоматизированного поиска сделали бы то же самое быстрее, но мы выполним поиск вручную.
Для поиска сигнатур будет использоваться программа sigfind из пакета TSK. Вместо нее можно воспользоваться любой другой программой с возможностью поиска шестнадцатеричных значений. Программа sigfind выводит сектор, в котором была найдена сигнатура, и сообщает расстояние от предыдущего найденного совпадения. Вот как выглядят ее выходные данные: sigfind -о 510 55АА disk-9.dd Block size: 512 Offset: 510 Block: 63 (-)
Block: 64 (+1)
Block: 65 (+1)
Block: 69 (+4)
Block: 70 (+1)
Block: 71 (+1)
Block: 75 (+4)
Block: 128504 (+128429)
Block: 293258 (+164754)
[...]
Первый экземпляр сигнатуры найден в секторе 63; это логично, потому что первый раздел обычно начинается в секторе 63. Мы читаем содержимое сектора и отображаем его на структуру данных загрузочного сектора. Выясняется, что в секторе 6 хранится резервная копия загрузочного сектора, а в секторе 1 файловой системы — структура FSINFO. Также мы узнаем, что файловая система содержит 20 482 812 секторов. Структура данных FSINFO имеет такую же сигнатуру, как и загрузочный сектор, поэтому в секторе 64 тоже найдено совпадение.
Совпадения также обнаруживаются в секторах 69 и 70, содержащих резервные копии загрузочного сектора и FSINFO на расстоянии шести секторов от оригинала. Блоки 65 и 71 заполнены нулями (кроме сигнатур). Совпадение в блоке 128 504 оказывается ложным; при просмотре мы видим случайные данные. Таким образом, на основании информации о расположении загрузочного сектора и относительного местонахождения резервных копий можно сделать вывод, что файловая система занимает на диске секторы с 63 по 20 482 874. Теперь можно просмотреть остальные совпадения в выходных данных sigfind:
[...]
Block: 20112453 (+27031)
Block: 20482875 (+370422)
Block: 20482938 (+63)
Block: 20482939 (+1)
Block: 20482940 (+1)
Block: 20482944 (+4)
Block: 20482945 (+1)
Block: 20482946 (+1)
Block: 20482950 (+4)
Block: 20513168 (+30218)
В пропущенной части были многочисленные ложные совпадения. Мы видим, что в секторе 20 482 875 обнаружено совпадение. Этот сектор находится за концом

предыдущей файловой системы, которая завершается в секторе 20 482 874. Однако закономерность совпадений, начиная с сектора 20 482 875, отличается от предыдущих: следующее совпадение найдено со смещением 63 сектора, а потом следуют несколько близких совпадений. Просматриваем сектор 20 482 875 и выясняем, является ли совпадение ложным:




Совпадение легко принять за ложное, но обратите внимание на четыре завершающие строки и вспомните, о чем говорилось в главе 5 при обсуждении разделов DOS. Этот сектор содержит расширенную таблицу разделов, а таблица начинается с сектора 446. В таблицах разделов DOS используется та же сигнатура, что и в загрузочных секторах FAT. Обработав две ненулевые записи таблицы, мы узнали бы, что раздел FAT32 находится в секторах 20 482 938-40 965 749, а расширенный раздел — в секторах 40 965 750-81 931 499. Это подтверждает результаты sigfind: совпадение было найдено в секторе 20 482 938, а затем еще несколько совпадений со смещениями 1, 6 и 7 секторов для структуры данных FSINFO и резервных копий. На рис. 9.4 показано графическое представление этого примера. На нем изображены две файловые системы, обнаруженные нами, а также некоторые ложные совпадения и расширенные таблицы разделов.
Этот пример показывает, что файловую систему FAT32 можно найти при наличии загрузочного сектора. Поиск 2-байтовой сигнатуры выдает много ложных совпадений, но FAT32 несколько упрощает задачу, потому что мы ожидаем найти совпадения со смещением 1,6 и 7 секторов от структуры данных FSINFO и резервных копий. С FAT12/16 дело обстоит сложнее; резервные структуры в этих системах

отсутствуют, но все, что потребуется, — это найти первое совпадение. Можно начать поиск с сектора 63. После того как файловая система будет найдена, ее размер используется для перехода вперед, после чего поиск продолжается. В поиске файловых систем также могут помочь структуры расширенных таблиц разделов DOS.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Методы анализа:

  1. 4.4.2. Диагностический анализ инновационной среды организации по методу БУУОТ-анализа
  2. Методы анализа и категории данных
  3. 3.1. Количественные и качественные методы экономического анализа
  4. 3.5. Методы факторного анализа экономических показателей
  5. Методы анализа
  6. Методы анализа
  7. Методы анализа
  8. 3.3. Статистические и экономико-математические методы анализа
  9. 3.1. Количественные и качественные методы экономического анализа
  10. 3.6. Индексный метод факторного анализа
  11. 3.3. МЕТОДЫ АНАЛИЗА И ПРОГНОЗИРОВАНИЯ ФИНАНСОВЫХ ПОКАЗАТЕЛЕЙ.
  12. 4.2. Основные методы и виды анализа в системе маркетинга
  13. Методы анализа
  14. 2.4.Метод анализа документов
  15. Методы анализа
  16. Методы анализа
  17. 2.4. Технология применения методов анализа исследовательских объектов
  18. 7.4.7. Анализ методов обследования организации на месте
  19. 2.4.5. Анализ документов как метод педагогического исследования
  20. 2.2. Методы анализа деятельности коммерческого банка