загрузка...

Введение


Как было показано в главе 1, первой фазой цифрового анализа является сохранение цифрового «места преступления». Обычно для сохранения системы создаются полные копии жестких дисков, которые затем доставляются в лабораторию для проведения стороннего анализа. Эту фазу можно сравнить с процессом создания точной копии здания, в котором было совершено реальное преступление, чтобы следователи могли спокойно заняться поиском улик в лаборатории.
Общая процедура снятия данных
В самой общей и интуитивно понятной процедуре снятия данных один байт с исходного носителя информации (источника) копируется в приемное устройство, после чего эта процедура многократно повторяется. Происходит примерно так, как если бы вы при копировании документа вручную читали отдельную букву, знак препинания или пробел из оригинала и записывали его в копию. Такой способ работает, но большинство читателей вряд ли будут им пользоваться — ведь они могут запоминать целые слова, а копировать документ по одному или нескольким словам гораздо эффективнее, чем по отдельным знакам. Компьютеры действуют по тому же принципу, и копирование данных из анализируемых систем производится блоками размером от 512 до многих тысяч байтов.
Размер одного передаваемого блока обычно кратен 512 байтам, то есть размеру сектора на большинстве дисков. Если при чтении данных с анализируемого диска происходит ошибка, большинство программ снятия данных записывает в приемник нули.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Введение:

  1. 3. Последствия введения наблюдения
  2. Введение
  3. 4. Последствия введения наблюдения.
  4. 4. Последствия введения внешнего управления
  5. ВВЕДЕНИЕ
  6. ВВЕДЕНИЕ
  7. ВВЕДЕНИЕ
  8. Введение
  9. Введение
  10. ВВЕДЕНИЕ
  11. 2. Порядок введения наблюдения и срок его проведения.
  12. 3. Порядок введения финансового оздоровления и его последствия.
  13. ВВЕДЕНИЕ В ФОНИКУ
  14. 3. Порядок введения финансового оздоровления