загрузка...

Прямой доступ или BIOS?

  Как показано в главе 2, существует два способа обращения к данным на диске. В первом способе операционная система или программа клонирования обращается к жесткому диску напрямую; для этого программа должна обладать полной информацией о конфигурации оборудования. Во втором способе операционная система или программа клонирования обращается к жесткому диску через прослойку BIOS (Basic Input/Output System), которой известны все подробности конфигурации. На первый взгляд особых различий не видно, и работать через BIOS вроде бы удобнее, потому что BIOS берет на себя все аппаратные тонкости. К сожалению, когда речь идет о расследовании, дело обстоит несколько сложнее.
При обращении через BIOS возникает опасность того, что BIOS вернет неверную информацию о диске. Если BIOS считает, что размер диска составляет 8 Гбайт, тогда как фактический размер равен 12 Гбайт, функции INT 13h предоставят доступ только к первым 8 Гбайт дискового пространства. Следовательно, при клонировании диска последние 4 Гбайт не будут скопированы. Суть происходящего продемонстрирована на рис. 3.1, где два приложения пытаются определить размер диска разными способами.

В другом варианте программа клонирования использует устаревший метод получения размера диска.
Приложение может запросить у BIOS размер диска двумя способами. Во-первых, оно может воспользоваться исходной функцией INT 13h, которая подвержена ограничению в 8 Гбайт и возвращает результат, используя геометрию диска в формате CHS. Во-вторых, приложение может воспользоваться расширенной функцией INT 13h, возвращающей результат в формате LBA. Так, группа CFTT в NIST использовала 2-гигабайтный жесткий диск и компьютер, на котором исходная и расширенная функции INT 13h возвращали разные размеры. Результат расширенной функции был правильным, тогда как исходная функция выдавала заниженный результат [U.S. Department of Justice, 2003].
Время от времени в один из списков рассылки, посвященных цифровой экспертизе, поступают сообщения от пользователей, клонировавших диск двумя разными программами и получивших образы разного размера. Причина обычно заключается в том, что одна программа использовала BIOS, а другая — нет. Убедитесь в том, что вы знаете, как ваша программа обращается к диску, и в случае использования BIOS проследите за тем, чтобы перед копированием она правильно выдавала полный размер диска. BIOS становится еще одним промежуточным звеном, повышающим вероятность внесения ошибок в итоговый образ. Если это возможно, постарайтесь обойтись без участия BIOS. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Прямой доступ или BIOS?:

  1. BIOS и прямой доступ
  2. А) Прямой метод в прогностике
  3. 3. Подбор прямой и репрезентативный
  4. 6.3.4. Метод прямой экспертной оценки
  5. 5.4.4. Порядок доступа к сведениям реестра
  6. 9. Институты прямой демократии. Выборы и референдумы
  7. Глава 5 Информационное обслуживание – система доступа к информации
  8. НЕПРАВОМЕРНЫЙ ДОСТУП К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ (ст. 272 УК РФ).
  9. 10.10. Исключение доступа к рынку, принудительный ассортимент, барьеры входа
  10. Продажа опционов "с покрытием". Ведет ли она прямой дорогой к прибыли?
  11. Свобода доступа к информации. Гласность
  12. РАСШИРЕНИЕ ДОСТУПА К ЗАЕМНЫМ СРЕДСТВАМ МЕЛКОМУ ПРОИЗВОДИТЕЛЮ НА ОСНОВЕ СУБСИДИРОВАНИЯ ПРОЦЕНТНЫХ СТАВОК ПО КРЕДИТАМ
  13. 2. Неравный доступ к управлению компанией при примерном равенстве долей основных собственников
  14. 21.9. Доступ к средствам судебной защиты — оплата по окончании разбирательства, коллективные иски, компенсация судебных расходов и правило 11