Съемные носители


Большинство съемных носителей также содержит разделы, но на них используются те же структуры данных, что и на жестких дисках. Исключение из правила составляют дискеты, отформатированные для системы FAT 12 в Windows и UNIX. Они не имеют таблицы разделов, а весь жесткий диск рассматривается как один раздел. Образ дискеты можно напрямую проанализировать как файловую систему. Некоторые портативные флеш-диски USB («брелковые диски») не имеют разделов и содержат одну файловую систему, но другие имеют разделы.
Съемные носители большей емкости (скажем, zip-диски Iomega) содержат таблицы разделов. Структура таблицы разделов на zip-диске зависит от того, был ли диск отформатирован для Мае или для PC. Диск, отформатированный для PC, содержит таблицу разделов DOS, и по умолчанию четвертая запись представляет только один раздел.
Карты памяти, часто используемые в цифровых камерах, также обычно содержат таблицу разделов. Многие флэш-карты содержат файловую систему FAT, а для их анализа можно воспользоваться обычными программами. Вот как выглядит таблица разделов на базе DOS для 128-мегабайтной карты памяти: mmls -t dos camera.dd
DOS Partition Table
Units are in 512-byte sectors
Slot              Start              End              Length              Description
00:                                          0000000000              0000000000              0000000001              Primary Table              (#0)
01:                                          0000000001              0000000031              0000000031              Unallocated
02:              00:00              0000000032              0000251647              0000251616              DOS FAT16 (0x06)
Чтобы создать образ карты памяти, достаточно вставить ее в устройство чтения карт с интерфейсом USB или FireWire и выполнить в Linux команду dd.
С дисками CD-ROM дело обстоит сложнее из-за большого количества вариантов. Большинство компакт-дисков использует формат ISO 9660, поддерживаемый многими операционными системами. Формат ISO 9660 устанавливает жесткие ограничения для имен файлов, поэтому были разработаны расширения этого формата (такие, как Joliet и Rock Ridge), обладающие большей гибкостью. Описание компакт-дисков усложняется тем, что один диск может содержать данные в базовом формате ISO 9660 и в формате Joliet. А если компакт-диск является гибридным диском Apple, он также может содержать данные в формате Apple HFS+. Фактическое содержимое файлов хранится в одном экземпляре, но ссылки на эти данные присутствуют в нескольких разных местах.
У записываемых компакт-дисков (CD-R) существует понятие сеанса. Диск CD-R может содержать один или несколько сеансов, а сама концепция сеанса была разработана для того, чтобы данные к CD-R можно было добавлять более одного раза. При каждой записи данных на CD-R создается новый сеанс. В зависимости от операционной системы, в которой используется диск, каждый сеанс может отображаться в виде раздела. Например, я воспользовался приложением Apple OS X
и создал компакт-диск с тремя сеансами. В системе OS X все три сеанса монтировались как файловые системы. При использовании диска в системе Linux последний сеанс монтировался по умолчанию, но два других сеанса также можно было смонтировать, указав их в команде mount. Для определения количества сеансов на диске можно воспользоваться утилитой readcd (http://freshmeat.net/projects/ cdrecord/). Когда тот же диск был открыт в системе Microsoft Windows ХР, система заявила, что он содержит недопустимую информацию, хотя программа SmartProject ISO Buster (http://www.isobuster.com) увидела все три сеанса. Даже если многосеансовый диск создавался в Windows, возможны разные варианты поведения. Таким образом, при анализе CD-R очень важно использовать программу, позволяющую просмотреть содержимое всех сеансов, а не полагаться на стандартное поведение той платформы, на которой осуществляется анализ.

Некоторые компакт-диски также содержат разделы, специфические для «родной» операционной системы. Например, гибридные CD сочетают формат ISO с форматом Apple — внутри сеанса используется карта разделов Apple и файловая система HFS+. К таким дискам применимы стандартные методы анализа для платформы Apple. Например, вот как выглядит результат запуска mmls для гибридного диска: mmls -t mac cd-slice.dmg />MAC Partition Map

Units

i are

in 512-byte sectors




Slot

Start

End

Length

Description

00:


0000000000

0000000000

0000000001

Unallocated

01:

00

0000000001

0000000002

0000000002

Apple partition map

02:


0000000001

0000000002

0000000002

Table

03:


0000000003

0000000103

0000000101

Unallocated

04:

01

0000000104

0000762559

0000762456

Apple_HFS


Многие загрузочные компакт-диски тоже содержат систему разделов определенной операционной системы. Загрузочные диски Sparc Solaris содержат структуру Volume Table of Contents в томе ISO, а в начале загрузочных компакт-дисков Intel может находиться таблица разделов DOS. Эти структуры используются после загрузки операционной системы с компакт-диска, а код, необходимый для загрузки системы, хранится в формате ISO.
Библиография Agile Risk Management, «Linux Forensics — Week 1 (Multiple Session CDRs)». March 19, 2004, http://www.agilerm.net/linuxl.html. Apple, «File Manager Reference». March 1,2004. http://developer.apple.com/documen- tation/Carbon/Reference/File_Manager/index.html. Apple, «Inside Macintosh: Devices». July 3,1996. http://developer.apple.com/documen- tation/mac/Devices/Devices-2.html. Apple, «The Monster Disk Driver Technote». November 22, 1999. http://devel.o- per.apple.com/technotes/pdf/tnll89.pdf.
Brouwer, Andries. «Minimal Partition Table Specification». September 16, 1999. http://www.win.tue.nL/~aeb/partitions/partition_tables. html. Brouwer, Andries. «Partition Types». December 12, 2004. http://www.win.tue.nl/ ~aeb/partitions/partition_types.html. Carrier, Brian. «Entended Partition Test». Digital Forensics Tool Testing Images, July 2003. http://dftt.sourceforge.net/testl/index.html. CDRoller. Reading Data CD, n.d. http://www.cdroller.com/htm/readdata.html. ECMA. «Volume and File Structure of CDROM for Information Interchange». ISO Spec, September 1998. http://www.ecma-international.org/publications/files/ ECMA-ST/Ecma-119.pdf. Landis, Hale. «How it Works: Master Boot Record». May 6, 2002. http://www.ata- atapi.com/hiwmbr.htm. Microsoft. «Basic Disks and Volumes Technical Reference». Windows Server 2003 Technical Ref erence, 2004. http://www.microsoft.com. Microsoft. «Managing GPT Disks in Itamium-based Computers». Windows XP Professional Resource Kit Documentation, 2004a. http://www.microsoft.com. Microsoft. «MS-DOS Partitioning Summary». Microsoft Knowledge Base Article 69912, December 20, 2004b. http://support.microsoft.com/default.aspx?scid=kb;EN- US;69912. Stevens, Curtis, and Stan Merkin. «Е1 Torito: Bootable CD-ROM Format Specification 1.0». January 25,1999. http://www.phoenix.com/resources/specs-cdrom.pdf.


<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Съемные носители:

  1. НОСИТЕЛЬ двойной КОРОНЫ
  2. Пассивное расселение при посредстве активного носителя
  3. 1.1 Свидетель в уголовном процессе как процессуальный носитель доказательной информации
  4. Кем были носители ближневосточной мустьерской культуры?
  5. § 3. «Феномен переживания» личными правами своего носителя и объяснение возможности их осуществления и защиты лицами, которым данные права не принадлежат (п. 1671-1676)
  6. Статья 75. Осмотр и исследование вещественных доказательств, подвергающихся быстрой порче Статья 76. Распоряжение вещественными доказательствами Статья 77. Аудио- и видеозаписи Статья 78. Хранение и возврат носителей аудио- и видеозаписей
  7. 1. ПЕЧАТНАЯ СОЦИАЛЬНАЯ РЕКЛАМА В ПОСТСОВЕТСКУЮ ЭПОХУ НОСИТЕЛИ СОЦИАЛЬНОЙ РЕКЛАМЫ. ПЕЧАТНАЯ СОЦИАЛЬНАЯ РЕКЛАМА
  8. Стандарты интерфейсов
  9. ЗАНЯТИЕ 3 ПРИЕМЫ СБОРА И ОБРАБОТКИ ИНФОРМАЦИИ В БУХГАЛТЕРСКОМ УЧЕТЕ
  10. «Социальность» как свойство субъекта настроений
  11. НЕПРАВОМЕРНЫЙ ДОСТУП К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ (ст. 272 УК РФ).
  12. 2.Формы и области (сферы) развития
  13. ЗАРУБИНЦЫ: ПЕРВАЯ СЛАВЯНСКАЯ ЭКСПАНСИЯ НА СЕВЕР
  14. Неолитическая Палестина. Выводы
  15. § 12. Юридическая личность
  16. А. Р. Лурия МОЗГ И ПСИХИКА