загрузка...

Снятие данных и анализ

  Задачи снятия данных и анализа при программной реализации RAID решаются почти так же, как при аппаратной реализации. При текущей технологии простейший сценарий основан на снятии данных с тома RAID для последующего применения стандартных средств анализа файловой системы. В отличие от аппаратной реализации RAID, некоторые программы анализа позволяют объединять содержимое отдельных дисков.
Возможно, при программной реализации RAID вам не понадобится исходное программное обеспечение для восстановления тома RAID. Например, в Linux предусмотрена поддержка диспетчера логических дисков Windows (LDM) с возможностью правильного объединения дисков Windows. Не все версии ядра Linux поставляются с включенной поддержкой LDM, но ее можно включить при перекомпиляции ядра. Если вы используете Microsoft Windows для создания томов RAID, установите аппаратный блокировщик записи для предотвращения потери данных.
Рассмотрим пример с Windows LDM в Linux. Если загрузить ядро Linux с поддержкой LDM, в системе создается устройство для каждого раздела RAID. Вам придется отредактировать файл /etc/raidtab так, чтобы он правильно описывал конфигурацию RAID и разделы. Например, следующий конфигурационный файл определяет Windows LDM RAID уровня 0 (чередование) с двумя разделами (/dev/hdbl и /dev/hddl), с использованием 64-килобайтных блоков: cat /etc/raidtab raiddev /dev/mdO

raid-level

0

nr-raid-disks

2

nr-spare-disks

0

persistent-superblock 0

chunk-size

64k

device

/dev/hdbl

raid-disk

0

device

/dev/hddl

raid-disk

1


В соответствии с этим файлом, устройство /dev/mdO может монтироваться только для чтения, а для создания его образа можно использовать программу dd. Процесс использования Linux с Windows LDM более подробно описан в разделе «Объединение дисков». Аналогичный процесс используется для реализации программного тома RAID средствами Linux MD в системе снятия данных. Если скопировать файл raidtab из исходной системы, его содержимое может быть взято за основу для создания тома RAID в системе, в которой производится снятие данных.
Программы EnCase (Guidance Software) и ProDiscover (Technology Pathways) импортируют диски из томов RAID Windows и анализируют их так, как если бы они были отдельными томами. Такой метод анализа данных лучше работает в долгосрочной перспективе, потому что он предоставляет доступ к данным, которые могут быть скрыты на отдельных дисках и будут пропущены, если ограничиться снятием только одного тома RAID.
Впрочем, работа с программами Linux и другими приложениями, не использующими официальную спецификацию, всегда сопряжена с определенным риском — программы могут содержать ошибки, приводящие к искажению исходной версии тома RAID.

Общие замечания по поводу анализа
Анализ системы с томами RAID может оказаться сложной задачей, поскольку такие системы встречаются не так часто и имеют разные реализации. Опробуя разные методы снятия данных, будьте очень осторожны и следите за тем, чтобы это не привело к модификации исходных дисков. Используйте аппаратные блокировщики записи или перемычки «только для чтения» на жестких дисках для предотвращения изменений. Также может быть полезно создать образы отдельных дисков перед созданием образа всего тома RAID. Образы отдельных дисков могут содержать скрытые данные, не входящие в том RAID. Случаи со скрытыми данными RAID пока не документированы, но теоретически такая возможность существует — все зависит от того, какая система является объектом анализа. Также нельзя исключать, что для создания тома RAID используется не весь диск. Некоторые системы RAID ограничиваются частью жесткого диска, чтобы диск было проще заменить в случае сбоя. Например, система может использовать только 40 Гбайт на каждом отдельном диске независимо от его фактической емкости (40 или 80 Гбайт). Неиспользуемая область может содержать данные от предыдущего образа, но в ней также могут находиться скрытые данные.
Итоги
В этом разделе был приведен обзор технологии RAID. Массивы RAID широко применяются на высокопроизводительных серверах и получают все большее распространение среди настольных систем, нуждающихся в повышенном быстродействии или емкости диска. Низкоуровневые подробности не рассматривались, потому что они зависят от реализации, а единого стандарта пока не существует. Дополнительная информация приводится в разделе «Объединение дисков», поскольку в поддержке управления томами многих систем присутствует интегрированная программная реализация RAID.
Ключевым фактором успешной экспертизы является опыт снятия данных в системах RAID. Самый простой, хотя и не всегда возможный вариант — снятие всего тома RAID «на месте» и последующий анализ с применением стандартных средств. У такого подхода есть свои недостатки: для сохранения данных необходим диск очень большого размера, а на отдельных дисках могут находиться данные, не входящие в итоговый том RAID. Следовательно, безопаснее также произвести снятие данных с отдельных дисков. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Снятие данных и анализ:

  1. Снятие данных и анализ
  2. Снятие данных с жесткого диска
  3. Анализ данных
  4. Методы анализа и категории данных
  5. 5. ПОСЛЕДОВАТЕЛЬНОСТЬ ДЕЙСТВИЙ ПРИ АНАЛИЗЕ ДАННЫХ
  6. Анализ и интерпретация данных
  7. 4. АНАЛИЗ ДАННЫХ ПОВТОРНЫХ И СРАВНИТЕЛЬНЫХ ИССЛЕДОВАНИЙ
  8. 3.База данных, метод анализа и операционализация
  9. V. АНАЛИЗ ЭМПИРИЧЕСКИХ ДАННЫХ
  10. § 3.4. Преобразование, обобщение и анализ эмпирических данных
  11. Структура основных данных стартового маркетингового анализа
  12. СТРУКТУРА ОСНОВНЫХ ДАННЫХ ПОЛИТИЧЕСКОГО АНАЛИЗА ВНЕШНЕЙ СРЕДЫ, НЕОБХОДИМЫХ МЕЖДУНАРОДНОМУ МЕНЕДЖЕРУ
  13. СТРУКТУРА ОСНОВНЫХ ДАННЫХ ЭКОНОМИЧЕСКОГО АНАЛИЗА ВНЕШНЕЙ СРЕДЫ, НЕОБХОДИМЫХ МЕЖДУНАРОДНОМУ МЕНЕДЖЕРУ
  14. 2. КАК УВИДЕТЬ ДЕНЬГИ НА ЭКРАНЕ МОНИТОРА Технический анализ, формы представления данных о ценах, графические фигуры