Восстановление удаленных разделов


Желая помешать цифровой экспертизе, злоумышленники часто заново разбивают диск на разделы или стирают информацию о существующих разделах. Похожая, но более безобидная проблема возникает при восстановлении системы с поврежденными структурами разделов. В таких ситуациях анализ заметно усложняется. К счастью, существует несколько программ, упрощающих восстановление разделов. В этом разделе будет рассказано, как работают эти программы.
Средства восстановления разделов исходят из предположения, что в каждом разделе находилась файловая система. Многие файловые системы начинаются со структуры данных с постоянной сигнатурой. Например, файловая система FAT
содержит значения 0x55 и ОхАА в байтах 510 и 511 первого сектора. Программа восстановления ищет сигнатуры и определяет по ним возможное начало раздела.
При обнаружении сигнатуры часто выполняются дополнительные проверки с диапазонами значений, допустимых для некоторых полей структуры данных. Например, одно из полей файловой системы FAT определяет количество секторов в кластере; значение поля представляет собой степень 2 (например, 1, 2, 4, 8, 16, 32, 64 или 128). Любое другое значение свидетельствует о том, что сектор не является частью загрузочного сектора файловой системы FAT, хотя он и заканчивается сигнатурой 0х55АА.
Механизм поиска зависит от конкретной программы. Одни программы просматривают каждый сектор и сравнивают его содержимое с известными сигнатурами. Другие анализируют данные только на границах цилиндров, потому что разделы чаще всего создаются именно там. Третьи по данным служебных структур определяют размер файловой системы и переходят к ее концу, где продолжают поиск других известных структур данных.
Например, в системе Linux для восстановления разделов применяется программа gpart (http://www.stud.uni-hannover.de/user/76201/gpart/). Программа gpart способна идентифицировать несколько файловых систем, для чего она проверяет содержимое секторов и делает выводы относительно того, какая система является наиболее вероятной.
Ее стандартный вывод содержит слишком мало информации для наших целей, поэтому в командную строку следует включить флаг -V.
В следующем примере на диске находится три раздела, однако таблица разделов была стерта. Программа gpart была запущена для физического образа диска с флагом -v для определения границ исходных секторов: gpart -v disk2.dd Warning: strange partition table magic 0x0000.
[...]
Begin scan...
Possible partition(D0S FAT). size(800mb), offset(Omb) type: 006(0x06)(Primary 'big' DOS (gt;32MB)) size: 800mb #s(1638566) s(63-1638628) chs:              (0/1/1)-(101/254/62)d (0/1/1)-(101/254/62)r
hex:              00 01 01 00 06 FE 3E 65 3F 00 00 00 A6 00 19 00
Possible partition(DOS FAT). size(917mb), offset(800mb) type: 006(0x06)(Primary ’big’ DOS (gt;32MB)) size: 917mb #s(1679604) s(1638630-3518233) chs:              (102/0/1)-(218/254/62)d (102/0/1)-(218/254/62)r
hex:              00 00 01 66 06 FE 3E DA E6 00 19 00 34 AE 1C 00
Possible partitiondinux ext2). size(502mb). offset(1874mb) type: 131(0x83)(Linux ext2 filesystem)) size: 502mb #s(1028160) s(3839535-4867694) chs:              (239/0/1)-(302/254/63)d (239/0/1)-(302/254/63)r
hex:              00 00 01 EF 83 FE 7F 2E 2F 96 ЗА 00 40 ВО OF 00
Из результатов видно, что на диске, по всей вероятности, существовало два раздела FAT и один раздел Ext2. Поле в конце строки size: показывает местонахождение раздела в секторах. Если бы флаг -v не был задан, то эта информация не

выводилась бы. Другая аналогичная утилита — TestDisk Кристофа Гренье (Christophe Grenier) (http://www.cgsecurity.org/testdisk.html). Помните, что автоматизированное восстановление работает только при простейшем удалении или повреждении таблицы разделов.
Итоги
Все носители информации большого объема содержат некоторую разновидность системы томов, которая анализируется при каждом расследовании (даже если это не очевидно). Системы томов предназначены для логической организации носителей, а системы разделов описывают начало и конец каждого раздела. В этой главе был приведен общий обзор технологии, а в следующей главе мы подробно рассмотрим несколько систем создания разделов и томов.


<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Восстановление удаленных разделов:

  1. 3.6. Примерная структура управления удаленных подразделений. Виды деятельности удаленных подразделений
  2. Статья 313. Порядок восстановления утраченного судебного производства Статья 314. Подача заявления о восстановлении утраченного судебного производства Статья 315. Оставление заявления о восстановлении утраченного судебного производства без движения или рассмотрения Статья 316. Отказ в восстановлении утраченного судебного производства Статья 317. Решение суда о восстановлении утраченного судебного производства Статья 318. Прекращение производства по делу о восстановлен
  3. Удаление
  4. Методы надежного удаления
  5. УДАЛЕНИЕ ПАРОВ
  6. 4.1. Сущность удаленного банкинга.
  7. Workzilla – удаленный помощник
  8. 3.4. Виды удаленных подразделений
  9. Преимущества удаленной работы
  10. 3.5. Порядок открытия, регистрации и ликвидации различных удаленных подразделений
  11. Статья 192. Удаление суда для принятия решения
  12. Восстановление НДС
  13. Восстановление налога
  14. Восстановление срока исковой давности
  15. Восстановление промышленности
  16. 4.9. ВОССТАНОВЛЕНИЕ ОСНОВНЫХ СРЕДСТВ
  17. 2.5. Восстановление речи при семантической афазии
  18. § 3. Продление и восстановление процессуальных сроков