Снятие данных и анализ


При анализе данных на томах MD лучше всего снять содержимое тома как единого диска или раздела, а затем воспользоваться стандартными средствами анализа. Проще всего это сделать при наличии постоянного суперблока; в противном случае вам придется создать в системе снятия данных файл /etc/raidtab. Если потребуется создать этот файл, попробуйте получить доступ к каталогу /etc/ на исходном диске и возьмите его за основу.
После того как конфигурационный файл будет создан, устройство MD создается командой raidstart. Команда создает в каталоге /dev/ устройство с именем, указанным в файле. Клонирование тома осуществляется программой dd или ее аналогом. После снятия данных необходимо выполнить команду raidstop для завершения работы с устройством MD. При наличии постоянного суперблока следует помнить, что некоторые параметры обновляются при создании нового устройства командой raidstart. Заранее создайте резервные образы дисков; попробуйте использовать блокировщики записи АТА и SCSI, если они у вас имеются.
Если для каждого раздела DOS, входящего в том, поле раздела равно Oxfd, существует постоянный суперблок, а система настроена на автоматическую идентификацию устройств MD — устройство будет создано в процессе запуска. Как и при выполнении команды raidstart, в процессе создания изменяется время последнего обновления, счетчик и контрольная сумма в суперблоке. Изменения вносятся даже в том случае, если том MD не монтируется!
Если разместить диски в порядке, отличном от исходного, суперблок будет перезаписан.
Это происходит даже без монтирования тома, поэтому примите меры по сокращению изменений на каждом диске. Кроме того, у меня возникали проблемы
при загрузке, когда в системе, используемой для анализа, был установлен только один из двух дисков. Счетчик диска увеличивался, но при следующей загрузке с обоими дисками система Linux отказывалась создавать устройство MD из-за разных значений счетчиков.
Также оказалось, что при использовании дисков MD лучше обойтись без хранения файла raidtab. Это может быть очень опасно, потому что при отключении системы и установке новых дисков Linux попытается обрабатывать их как часть тома. Возможно, стоит внести изменения в сценарии отключения, чтобы они переименовывали файл raidtab — в этом случае файл не будет существовать при следующем включении питания.
Для снятия данных с томов MD можно использовать загрузочные компакт- диски Linux. Некоторые из них обнаруживают тома MD автоматически, другие этого не делают и требуют создать файл /etc/raidtab. Если систему можно загрузить с компакт-диска и создать устройство MD, проведите снятие данных обычным способом. В противном случае снимите данные с каждого диска и документируйте их местонахождение, чтобы свести к минимуму изменения дисков из-за их установки в неверном порядке. Мне так и не удалось воссоздать том MD по физическим образам исходных разделов и устройствам обратной связи. Это означает, что вам, возможно, придется восстановить образы на диск и извлечь данные с дисков в лаборатории. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Снятие данных и анализ:

  1. Снятие данных и анализ
  2. Снятие данных с жесткого диска
  3. Анализ данных
  4. Методы анализа и категории данных
  5. 5. ПОСЛЕДОВАТЕЛЬНОСТЬ ДЕЙСТВИЙ ПРИ АНАЛИЗЕ ДАННЫХ
  6. Анализ и интерпретация данных
  7. 4. АНАЛИЗ ДАННЫХ ПОВТОРНЫХ И СРАВНИТЕЛЬНЫХ ИССЛЕДОВАНИЙ
  8. 3.База данных, метод анализа и операционализация
  9. V. АНАЛИЗ ЭМПИРИЧЕСКИХ ДАННЫХ
  10. § 3.4. Преобразование, обобщение и анализ эмпирических данных