Методы поиска на прикладном уровне


В начале книги я упоминал о том, что в модели анализа основное внимание будет уделяться уровням томов и файловой системы. В этом разделе мы перейдем

на прикладной уровень и рассмотрим пару методов восстановления удаленных файлов и упорядочения выделенных файлов для анализа. Эти методы не зависят от файловой системы, поэтому в последующих главах они обсуждаться не будут.
Оба метода основаны на том факте, что многие файлы имеют четко определенный формат и включают сигнатуру, уникальную для данного типа файла. Сигнатура может использоваться для определения типа неизвестного файла. Команда file, присутствующая во многих системах семейства UNIX, содержит базу данных сигнатур для идентификации структуры неизвестных файлов (ftp://ftp.astron.com/pub/fiLe).
Восстановление файлов на прикладном уровне
Извлечением данных (data carving) называется процесс поиска во фрагменте данных начальной и конечной сигнатуры для известных типов файлов. В результате строится список файлов, содержащих одну из сигнатур. Как правило, эта процедура выполняется со свободным пространством файловой системы и позволяет аналитику восстанавливать файлы, на которые не ссылается ни одна структура метаданных. Например, изображение в формате JPEG содержит стандартный заголовок и завершитель. Если аналитику потребуется восстановить удаленные графические изображения, он сохранит в файле содержимое свободных блоков и запустит программу извлечения данных. Программа ищет заголовки JPEG и извлекает данные, находящиеся между заголовком и завершителем.
Примером программы, выполняющей такую операцию, является программа foremost (http://foremost.sourceforge.net), разработанная специальными агентами Крисом Кендаллом (Kris Kendall) и Джессе Корнблумом (Jesse Kornblum) из Бюро специальных расследований ВВС США. Программа foremost анализирует файловую систему или дисковый образ на основании содержимого конфигурационного файла, в котором создается запись для каждой сигнатуры. В записи указывается известное значение заголовка, максимальный размер файла, признак учета регистра символов в заголовке, типичное расширение этого типа файлов и необязательный завершитель. Например, для файлов JPEG запись выглядит так: jpg у 2000000 \xff\xd8 \xff\xd9
Это означает, что файл имеет типичное расширение .jpg, s его заголовке и завершителе учитывается регистр символов, заголовок равен 0xffd8, а завершитель — 0xffd9.
Максимальный размер файла составляет 200 000 байт, и если заголовок не найден в пределах этого смещения, извлечение данных прерывается. В наборе данных на рис. 8.21 заголовок JPEG расположен в двух первых байтах сектора 902, а завершитель — в середине сектора 905. Содержимое секторов 902,903,904 и в начале сектора 905 извлекается как изображение JPEG.
Сектор 901 Сектор 902 Сектор 903 Сектор 904 Сектор 905 Сектор 906


0xffd8...



...0xffd9


Рис. 8.21. Блоки физических данных, анализ которых обнаруживает графическое изображение в формате JPEG в секторах 902-905


Аналогичная программа Lazarus из пакета The Coroner’s Toolkit (http://www.porcu- pine.org/forensics/tct.htmL), автор — Дэн Фармер (Dan Farmer), просматривает

каждый сектор низкоуровневого образа и выполняет для него команду file. В результате создаются группы смежных секторов, относящихся к одному типу. Конечный результат работы программы представляет собой список с указанием каждого сектора и его типа. Фактически программа дает возможность сортировать данные по их содержимому. Концепция интересная, однако программа написана на Perl и иногда работает довольно медленно.
Сортировка файлов по типу
Тип файлов может использоваться для упорядочения файлов в файловой системе. Если вы ищете файлы конкретного типа, отсортируйте их на основании структуры содержимого. Например, для каждого файла можно выполнить команду file и сгруппировать однотипные файлы: в одну группу входит графика, в другую — исполняемые файлы, и т. д. Такая возможность предусмотрена во многих программах анализа, но не всегда ясно, как осуществляется сортировка: по расширению или по сигнатуре файла. Программа sorter из пакета TSK сортирует файлы по сигнатуре. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Методы поиска на прикладном уровне:

  1. 1.4.Выборочный метод в прикладной социологии
  2. 7.3. Основы метода поиска супероптимальных решений
  3. 5.2. МЕТОДЫ ИЗМЕРЕНИЯ И СИСТЕМА ПОКАЗАТЕЛЕЙ УРОВНЯ И РАСПРОСТРАНЕНИЯ БЕДНОСТИ
  4. Параграф второй. В поиске целей и методов сравнительного правоведения
  5. 9.3. МОДЕЛИ И МЕТОДЫ ПРИНЯТИЯ РЕШЕНИЙ. ТЕХНОЛОГИИ АКТИВИЗАЦИИ ПЕРСОНАЛА ДЛЯ ТВОРЧЕСКОГО ПОИСКА ИДЕЙ
  6. Методы удовлетворения потребностей высших уровней (Мескон М., Альберт М., Хедоури Ф., 1992)
  7. Глава 10 Ценности на индивидуальном уровне и демократия на системном уровне (проблема кросс-уровневого анализа)
  8. Категория прикладных данных
  9. Категория прикладных данных
  10. Категория прикладных данных
  11. Глава 6 Прикладные исследования