Методы анализа

  Анализ в категории метаданных проводится с целью получения расширенной информации о файле или каталоге. В FAT для этого необходимо найти конкретную запись каталога, обработать ее содержимое и определить, где хранится содержимое файла или каталога.
Поиск всех записей в FAT является сложной задачей, потому что только записи выделенных каталогов обладают полным адресом, состоящим из пути и имени файла. Пример будет приведен в разделе «Сценарии». Свободные записи могут не иметь полного адреса; вероятно, в таких ситуациях будет применяться схема адресации, специфическая для конкретного приложения.
После того как запись каталога будет обнаружена, ее дальнейшая обработка проходит относительно прямолинейно. Чтобы идентифицировать все кластеры, выделенные файлу, мы берем начальный кластер из записи каталога и находим остальные кластеры по структуре FAT.
Факторы анализа
При анализе метаданных в файловой системе FAT необходимо принять во внимание ряд особых обстоятельств. Эти обстоятельства связаны с временными штампами записей каталогов, процедурами выделения и проверками целостности данных.
Во-первых, значения времени хранятся без учета часовых поясов. Данное обстоятельство работает на руку аналитику: становится неважно, на какой часовой пояс настроена система анализа. Кроме того, исчезают трудности с летним временем — вам не придется рассчитывать, нужно ли вычитать или прибавлять час в зависимости от текущего месяца.
Во-вторых, согласно спецификации дата и время последнего обращения и создания не являются обязательными и могут быть равны 0. Как и в большинстве других систем, временные штампы могут быть легко изменены пользователем. Один из документов Microsoft рекомендует разработчикам сохранять время обращения к файлу перед его открытием; это позволит восстановить его, если приложение не сможет прочитать файл [Microsoft, 2003а]. Для подтверждения временных штампов следует использовать дополнительные данные прикладного уровня. Более того, на платформах Microsoft не существует единой, согласованной процедуры обновления временных штампов.
Windows использует в качестве времени модификации последний момент изменения содержимого в локальной системе. В результате копирования может появиться файл со временем создания, соответствующим времени копирования,
и временем модификации, соответствующим последней модификации исходной версии. Такие ситуации возникают достаточно часто и не должны рассматриваться как признак постороннего вмешательства. Время модификации задается с точностью до суток, поэтому не стоит полагаться на него при реконструкции событий в системе.
Из-за специфики процедур выделения новых записей каталогов в ХР имена удаленных файлов остаются в системе дольше, чем можно было бы ожидать, потому что система не использует алгоритм поиска первой доступной записи. Впрочем, не стоит полагать, что используемый алгоритм открывает больше возможностей для восстановления удаленных файлов — кластеры удаленных файлов выделяются новым файлам с такой же скоростью. Следовательно, даже если вы видите имя файла, восстановление его содержимого может оказаться невозможным.
Утилита DEFRAG, входящая в поставку Windows, сжимает каталоги и удаляет неиспользуемые записи.
Кроме того, она перемещает содержимое файлов для снижения фрагментации. В результате запуска DEFRAG записи каталогов для удаленных файлов пропадают, а кластеры перемещаются, поэтому восстановление становится практически невозможным.
Содержимое резервного пространства зависит от ОС, но в системах Microsoft Windows за последние годы оно не заполнялось случайным содержимым памяти. Неиспользуемые секторы последнего кластера файла, выделенного в системе Windows, обычно содержат данные предыдущего файла. Согласно спецификации FAT, операционная система имеет полное право стереть содержимое всех секторов при выделении кластера файлу, но это делается крайне редко.
Обнаружив запись каталога, заполненную нулями, Microsoft Windows не отображает дальнейшие данные. Следовательно, при желании можно без особого труда создать каталог с несколькими файлами и использовать остальную часть пространства каталога для хранения скрытых данных. Чтобы обнаружить подобные тайники, сравните выделенный размер каталога с количеством созданных файлов. Все данные, скрытые подобным образом, должны выявляться в результате поиска в логической файловой системе.
Собирая материал для книги, я обнаружил, что записи каталогов с установленным атрибутом метки тома обладают рядом интересных особенностей. Время последнего обращения и создания в записях метки тома часто обнуляются, но в качестве времени последней модификации Windows обычно устанавливает текущее время при создании файловой системы. Таким образом, по этим записям можно узнать, когда была создана файловая система (хотя, конечно, это значение можно изменить).
В Windows ХР запись каталога с атрибутом метки тома может использоваться для скрытия данных. В конце концов, это самая обычная запись каталога с полем для хранения начального кластера цепочки. Если вручную отредактировать это поле, занести в него адрес неиспользуемого кластера, а затем перейти к FAT и вручную отредактировать содержимое таблицы для создания цепочки, программа ScanDisk в Windows ХР не выдаст каких-либо предупреждений или ошибок. Цепочка кластеров останется выделенной. В общем случае, если запись каталога не ссылается на цепочку кластеров, программа ScanDisk помещает ее в каталог
потерянных кластеров. В Windows 98 программа ScanDisk обнаруживает кластеры, выделенные записям с атрибутом метки тома, и удаляет их.
Другая интересная особенность Windows ХР и атрибута метки тома заключается в том, что количество записей с этим атрибутом может быть произвольным, и они могут располагаться в произвольных местах. Согласно спецификации, файловая система должна содержать только одну запись с этим атрибутом, находящуюся в корневом каталоге, но система не контролирует соблюдение этого требования. Таким образом, вы можете создать в разных каталогах разные записи с атрибутом метки тома и использовать их для скрытия данных. В Windows 98 программа ScanDisk обнаруживает такие записи и оповещает пользователя. В настоящее время эти действия приходится выполнять вручную, но возможно, в будущем появятся программы для их автоматизации. На сайте DFIT(Digital Forensic Tool Testing) имеется тестовый образ для меток томов FAT [Carrier, 2004b]. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Методы анализа:

  1. 4.4.2. Диагностический анализ инновационной среды организации по методу БУУОТ-анализа
  2. Методы анализа и категории данных
  3. 3.1. Количественные и качественные методы экономического анализа
  4. 3.5. Методы факторного анализа экономических показателей
  5. Методы анализа
  6. Методы анализа
  7. Методы анализа
  8. 3.3. Статистические и экономико-математические методы анализа
  9. 3.1. Количественные и качественные методы экономического анализа
  10. 3.6. Индексный метод факторного анализа
  11. 3.3. МЕТОДЫ АНАЛИЗА И ПРОГНОЗИРОВАНИЯ ФИНАНСОВЫХ ПОКАЗАТЕЛЕЙ.
  12. 4.2. Основные методы и виды анализа в системе маркетинга
  13. Методы анализа
  14. 2.4.Метод анализа документов