Уровни снятия данных


В общей теории неразрушающего снятия данных сохраняется каждый байт, который может использоваться в качестве улики. Как было показано в главе 1, интерпретация данных может осуществляться на разных уровнях: например, на уровне дисков, томов, файлов и приложений. На каждом уровне абстракции теряется некоторая часть данных. Таким образом, снятие данных должно осуществляться на самом низком уровне, на котором будут находиться улики. В большинстве случаев аналитик снимает содержимое каждого сектора диска; именно этот способ будет рассматриваться в этой главе. Обратите внимание: сохраняя только содержимое секторов с данными, мы теряем информацию, которая может понадобиться специалистам по восстановлению данных.
Чтобы показать, почему снятие данных обычно производится на уровне диска, рассмотрим пару примеров. Допустим, диск был клонирован на уровне тома, с созданием копии каждого сектора в каждом разделе. Такая копия позволит восстановить удаленные файлы в каждом разделе, но анализ секторов, не принадлежащих ни одному из разделов, будет невозможен. Как будет показано в главе 5, на диске с разделами DOS не используются секторы с 1 по 62, и в них могут находиться скрытые данные. При проведении снятия на уровне тома эти скрытые данные будут потеряны.
Теперь предположим, что мы воспользовались утилитой архивации и скопи- ровали только существующие файлы. В этом случае станет невозможным восстановление удаленных файлов, могут стать недоступными все временные данные, а также служебная информация, скрытая в разделах и структурах данных файловой системы. Иногда никаких других данных, кроме архива, не имеется, и аналитик должен извлечь из него максимум пользы. Скажем, в корпоративной среде сервер перестал работать, потому что все его диски были записаны нулями, а затем компьютер был перезагружен. Последний архив системы может содержать информацию о том, кто имел доступ к системе или каким образом злоумышленник проник в нее.
В некоторых системах наше правило относительно снятия данных на минимальном уровне, на котором мы рассчитываем найти улики, означает, что достаточно скопировать только файлы.
Допустим, вы расследуете попытку взлома сети с действующей системой обнаружения вторжений (IDS, Intrusion Detection System), у которой имеется журнал с информацией об атаке. Если вы считаете, что данные IDS не подвергались посторонним изменениям, то все улики существуют на файловом уровне; можно просто скопировать необходимые журналы и предпринять необходимые шаги по их сохранению. Если есть подозрение, что данные IDS были изменены, то информацию следует копировать на дисковом уровне для проведения анализа всех данных.
Тесты программ снятия данных
Клонирование является критической составляющей процесса расследования, и Национальный институт стандартов и технологий (NIST, National Institute of Standards and Technology) провел сравнительное тестирование распространенных программ клонирования. В рамках проекта CFTT (Computer Forensic Tool

Testing) в NIST был разработан набор требований и тестов для утилит создания образов дисков. Результаты и спецификации приведены на веб-сайте (http:// www.cftt.nist.gov/diskjmaging.htm).
Чтение исходных данных
В соответствии с общей теорией клонирования, описанной в предыдущем разделе, процесс состоит из двух основных частей. Сначала данные необходимо прочитать из источника, а затем записать их в приемник. Поскольку в книге основное внимание уделяется анализу томов и данных файловых систем, мы рассмотрим процесс клонирования на уровне диска (поскольку именно на этом уровне хранится большинство структур данных томов). В этом разделе будут рассмотрены вопросы, связанные с чтением диска, а в следующем речь пойдет о записи. Предполагается, что в качестве источника используется типичная система IA32 (например, x86/i386). Мы рассмотрим различные способы обращения к данным, обработку ошибок и снижение риска записи данных на исследуемый диск.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Уровни снятия данных:

  1. Режимы снятия данных
  2. УПРАЖНЕНИЯ ДЛЯ СНЯТИЯ МЫШЕЧНЫХ ЗАЖИМОВ
  3. Глава 10 Ценности на индивидуальном уровне и демократия на системном уровне (проблема кросс-уровневого анализа)
  4. ДЫХАТЕЛЬНАЯ ГИМНАСТИКА ДЛЯ СНЯТИЯ НАПРЯЖЕНИЯ ОКОЛОГОРТАННОЙ МУСКУЛАТУРЫ
  5. 3. Защита прав на программы для ЭВМ и базы данных Регистрация программ для ЭВМ и баз данных
  6. Хранение и использование персональных данных работников. Передача персональных данных работников
  7. Понятие персональных данных работника. Обработка персональных данных работника
  8. Снятие данных и анализ
  9. Снятие данных и анализ
  10. Уровни
  11. Использование учетных данных о персонале
  12. alt="" />Запись снятых данных
  13. Категория прикладных данных
  14. Киоски данных
  15. Структуры данных
  16. Анализ данных
  17. Структуры данных
  18. Структуры данных