загрузка...

Сжатие файла образа


Записываемые в файл данные можно сжать, чтобы они занимали меньше места. Механизм сжатия основан на более эффективном хранении повторяющихся данных. Например, если данные содержат блок из 10 ООО единиц, то после сжатия этот блок может представляться несколькими сотнями бит вместо 10 ООО. Если данные имеют полностью произвольный характер, повторений будет немного и эффективность сжатия снижается. Попытка сжатия уже сжатых данных тоже малоэффективна. Например, графика в формате JPEG уже хранится в сжатом виде, и ее размер практически не изменится в результате повторного сжатия.
Аналитические программы, используемые для работы со сжатыми образами, должны поддерживать соответствующий тип сжатия. Большинство общих схем сжатия требует полной распаковки файла перед его использованием. Примерами служат утилиты Winzip для Windows и gzip для UNIX. Специальные алгоритмы сжатия позволяют выполнять распаковку небольшой части сжатого файла; обычно именно такие алгоритмы применяются в программах снятия данных, чтобы избежать необходимости полной распаковки всего образа.
Преимущество сжатия состоит в том, что снятая с носителя информация сохраняется в файле образа, имеющем меньший размер, хотя реальная экономия зависит от характера данных. Впрочем, наряду с преимуществами имеется ряд недостатков: Возможно, ваш выбор будет ограничен аналитическими программами, поддерживающими данный формат. Снятие данных часто занимает больше времени, потому что программа должна «на ходу» сжимать обрабатываемые данные. Необходимость распаковки изображения при чтении данных замедляет процесс анализа.
Сетевое снятие данных
Файл образа также может создаваться на удаленном компьютере. В этом случае данные читаются с исходного диска, передаются на приемный хост по сети и записываются в файл. Этот метод снятия данных особенно удобен в ситуациях, когда вы не можете получить доступ к анализируемому диску или у вас под рукой нет необходимого адаптера или интерфейса. Многие современные программы поддерживают сетевой режим как при мертвом, так и при живом снятии данных.

Некоторые программы обеспечивают шифрование для сохранения конфиденциальности данных в процессе пересылки. Здесь также может пригодиться сжатие для уменьшения объема данных, передаваемых по медленной сети.
Хеширование и целостность данных
В главе 1 среди основополагающих концепций цифровой экспертизы называлось хеширование анализируемых данных для последующей проверки их целостности. Некоторые программы снятия данных вычисляют хеш-коды в процессе копирования данных, в других случаях приходится использовать отдельную утилиту.
Хеш-коды сохраняются либо во внедренном образе, либо во внешнем файле, прилагаемом к физическому образу. Внедрение хеш-кодов в образ не обеспечивает какой-либо дополнительной безопасности или проверки целостности данных.
Важно понимать, какая же функция отводится хешированию. Хеш-код, хранящийся в изображении, вовсе не гарантирует, что данные не подвергались посторонним модификациям. В конце концов, если злоумышленник изменил образ, он мог пересчитать хеш-коды, даже если они внедрены в формат образа. Написать соответствующую программу довольно легко. Для проверки целостности файла образа по хеш-коду потребуется криптографическая цифровая подпись и доверенный источник. Такое решение сопряжено с основательными непроизводительными затратами; следовательно, гораздо проще сохранить хеш-код на ноутбуке. Если кто-то захочет изменить изображение и пересчитать хеш-код, ему придется получить доступ к вашему ноутбуку.
Хотя хеширование играет важную роль при будущих проверках целостности образа, оно также может использоваться для демонстрации точности процесса снятия данных и отсутствия модификаций исходных данных. Если вычислить хеш-код диска перед снятием данных и сравнить полученное значение с хеш- кодом физического образа, можно показать, что физический образ содержит те же данные, что и исходный диск. В идеальном случае исходный хеш-код должен вычисляться другой программой независимо от инструментария клонирования, чтобы одни и те же ошибки не проявлялись в контрольных данных и в полученном образе.
Учтите, что в процессе хеширования читаются только данные, доступные для программы. Если из-за аппаратных или программных проблем часть содержимого диска окажется недоступной, хеш-код диска может совпасть с хеш- кодом файла образа несмотря на то, что файл образа не представляет всего содержимого диска. Например, если программа может прочитать только первые 8 Гбайт 12-гигабайтного диска, она вычислит хеш-код для первых 8 Гбайт, скопирует первые 8 Гбайт данных и вычислит хеш-код для 8-гигабайтного файла образа.
Также следует подумать о периодичности вычисления хеш-кодов. Хеширование чаще всего применяется для выявления изменений в блоках данных. Если хеш-код показывает, что содержимое блока изменилось, значит, этот блок использоваться не может. Вычисление хеш-кодов для блоков меньшего размера снижает последствия от нарушений целостности данных. Если какой-либо блок данных не проходит проверку целостности, он исключается из дальнейшей
обработки, но остальные части образа вполне могут быть пригодными для использования. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Сжатие файла образа:

  1. РАСШИРЕНИЕ И СЖАТИЕ
  2. Образы-идеалы и образы-идолы 6 культуре
  3. Образ Иисуса Христа и образ Богородицы
  4. Образцы и образы в культуре
  5. ЦЕЛОСТНОСТЬ ХУДОЖЕСТВЕННОГО ОБРАЗА
  6. В.А. Скиба, Л.B. Чернец ОБРАЗ ХУДОЖЕСТВЕННЫЙ
  7. Становление образа себя
  8. Образы новоевропейского человека
  9. § 3. Образ и знак в художественном произведении
  10. КАК ОБРАЗУЮТСЯ ОЗЕРА?
  11. Новый образ России
  12. Общество индустрии образов и знаний
  13. Глава 10. ОБРАЗ ЖИЗНИ ЕГИПТЯН
  14. ГРАФИЧЕСКИЙ ОБРАЗ ПРОБЛЕМЫ
  15. Образ профессиональной деятельности
  16. Обобщающий образ постобщества
  17. 12.1. Типология и образы национализма в России
  18. Образ матери у Шасге-Смиржель
  19. ТЕКСТЫ И ОБРАЗЫ ВОЗЛЮБИВШИХ ВОЙНУ
  20. Глава I. Рекламный и художественный образы: попытка дифференциации