Предисловие . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
От издательства . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Структура книги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Ресурсы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Благодарности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Часть I. Основы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Глава 1. Основы цифровых расследований . . . . . . . . . . . . . . . . . . . .26
Цифровые расследования и улики . . . . . . . . . . . . . . . . . . . . . . . .26
Процесс анализа места цифрового преступления . . . . . . . . . . . . . . . . .27
Фаза сохранения системы . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Фаза поиска улик . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Фаза реконструкции событий . . . . . . . . . . . . . . . . . . . . . . . . . .29
Общие рекомендации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Анализ данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Типы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Необходимые и вспомогательные данные . . . . . . . . . . . . . . . . . . . . .34
Инструментарий эксперта . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
EnCase (Guidance Software) . . . . . . . . . . . . . . . . . . . . . . . . . .35
Forensic Toolkit (Access Data) . . . . . . . . . . . . . . . . . . . . . . . .36
ProDiscover (Technology Pathways) . . . . . . . . . . . . . . . . . . . . . . 36
SMART (ASR Data) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
The Sleuth Kit/Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
Глава 2. Основные принципы работы компьютеров . . . . . . . . . . . . . . . . 38
Организация данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
Двоичная, десятичная и шестнадцатеричная запись . . . . . . . . . . . . . . . 38
Размеры данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
Строковые данные и кодировка символов . . . . . . . . . . . . . . . . . . . . 42
Структуры данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
Флаги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Процесс загрузки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46
Процессор и машинный код . . . . . . . . . . . . . . . . . . . . . . . . . . .46
Местонахождение загрузочного кода . . . . . . . . . . . . . . . . . . . . . . 47
Технологии жестких дисков . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Геометрия и внутреннее устройство жесткого диска . . . . . . . . . . . . . . .48
Интерфейс ATA/IDE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Типы адресации секторов . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
BIOS и прямой доступ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
Диски SCSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
Глава 3. Снятие данных с жесткого диска . . . . . . . . . . . . . . . . . . . 63
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63
Общая процедура снятия данных . . . . . . . . . . . . . . . . . . . . . . . . 63
Уровни снятия данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64
Тесты программ снятия данных . . . . . . . . . . . . . . . . . . . . . . . . .64
Чтение исходных данных . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
Прямой доступ или BIOS? . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Режимы снятия данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66
Обработка ошибок . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67
Область НРА . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
DCO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Аппаратная блокировка записи . . . . . . . . . . . . . . . . . . . . . . . . .68
Программная блокировка записи . . . . . . . . . . . . . . . . . . . . . . . . 70
Запись снятых данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
Выбор приемника . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Формат файла образа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Сжатие файла образа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Сетевое снятие данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Хеширование и целостность данных . . . . . . . . . . . . . . . . . . . . . . .74
Практический пример с использованием dd . . . . . . . . . . . . . . . . . . . 75
Источник . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75
НРА . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Приемник . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77
Обработка ошибок . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78
Криптографическое хеширование . . . . . . . . . . . . . . . . . . . . . . . . 79
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80
Часть II. Анализ томов . . . . . . . . . . . . . . . . . . . . . . . . . . . .81
Глава 4. Анализ томов . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82
Общие положения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Концепция тома . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83
Общая теория разделов . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Использование томов в UNIX . . . . . . . . . . . . . . . . . . . . . . . . . .84
Общая теория объединения томов . . . . . . . . . . . . . . . . . . . . . . . .85
Адресация секторов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86
Основы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87
Проверка целостности . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
Получение содержимого разделов . . . . . . . . . . . . . . . . . . . . . . . .89
Восстановление удаленных разделов . . . . . . . . . . . . . . . . . . . . . . 90
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Глава 5. Разделы на персональных компьютерах . . . . . . . . . . . . . . . . .93
Разделы в DOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Общий обзор . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Основные концепции MBR . . . . . . . . . . . . . . . . . . . . . . . . . . . .94
Концепция расширенного раздела . . . . . . . . . . . . . . . . . . . . . . . .95
Структуры данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
Разделы Apple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
Общий обзор . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
Структуры данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113
Съемные носители . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Глава 6. Разделы в серверных системах . . . . . . . . . . . . . . . . . . . .117
Разделы BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117
Общий обзор . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117
Структуры данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128
Сегменты Sun Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Общий обзор . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
Структуры данных Sparc . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Структуры данных 1386 . . . . . . . . . . . . . . . . . . . . . . . . . . . .134
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137
Разделы GPT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
Общий обзор . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
Структуры данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Глава 7. Многодисковые тома . . . . . . . . . . . . . . . . . . . . . . . . .143
RAID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Уровни RAID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143
Аппаратная реализация RAID . . . . . . . . . . . . . . . . . . . . . . . . . 146
Программная реализация RAID . . . . . . . . . . . . . . . . . . . . . . . . .147
Общие замечания по поводу анализа . . . . . . . . . . . . . . . . . . . . . .150
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
Объединение дисков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Общий обзор . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
Linux MD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Linux LVM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154
Microsoft Windows LDM . . . . . . . . . . . . . . . . . . . . . . . . . . . .156
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Часть III. Анализ файловых систем . . . . . . . . . . . . . . . . . . . . . .163
Глава 8. Анализ файловых систем . . . . . . . . . . . . . . . . . . . . . . .164
Что такое файловая система? . . . . . . . . . . . . . . . . . . . . . . . . .164
Категории данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Необходимые и вспомогательные данные . . . . . . . . . . . . . . . . . . . . 166
Методы анализа и категории данных . . . . . . . . . . . . . . . . . . . . . .167
Категория данных файловой системы . . . . . . . . . . . . . . . . . . . . . .168
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Категория данных содержимого . . . . . . . . . . . . . . . . . . . . . . . . 169
Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Методы надежного удаления . . . . . . . . . . . . . . . . . . . . . . . . . .175
Категория метаданных . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Общая информация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Категория имен файлов . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Методы надежного удаления . . . . . . . . . . . . . . . . . . . . . . . . . .192
Категория прикладных данных . . . . . . . . . . . . . . . . . . . . . . . . .192
Журналы файловой системы . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Методы поиска на прикладном уровне . . . . . . . . . . . . . . . . . . . . . 193
Восстановление файлов на прикладном уровне . . . . . . . . . . . . . . . . . 194
Сортировка файлов по типу . . . . . . . . . . . . . . . . . . . . . . . . . .195
Конкретные файловые системы . . . . . . . . . . . . . . . . . . . . . . . . .195
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Глава 9. FAT: основные концепции и анализ . . . . . . . . . . . . . . . . . .198
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Категория файловой системы . . . . . . . . . . . . . . . . . . . . . . . . . 199
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .204
Сценарий анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Категория содержимого . . . . . . . . . . . . . . . . . . . . . . . . . . . .207
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209
Сценарий анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Категория метаданных . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .219
Сценарии анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Категория данных имен файлов . . . . . . . . . . . . . . . . . . . . . . . . 222
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .224
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .225
Сценарии анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Общая картина . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
Создание файлов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
Пример удаления файла . . . . . . . . . . . . . . . . . . . . . . . . . . . .228
Прочее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Восстановление файлов . . . . . . . . . . . . . . . . . . . . . . . . . . . .229
Определение типа файловой системы . . . . . . . . . . . . . . . . . . . . . .231
Проверка целостности данных . . . . . . . . . . . . . . . . . . . . . . . . .232
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .233
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Глава 10. Структуры данных FAT . . . . . . . . . . . . . . . . . . . . . . . 235
Загрузочный сектор . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Структура FSINFO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
FAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240
Записи каталогов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Записи каталогов для длинных имен файлов . . . . . . . . . . . . . . . . . . 245
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Глава 11. NTFS: основные концепции . . . . . . . . . . . . . . . . . . . . . 250
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Все данные - файлы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Концепции MFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251
Содержимое записи MFT . . . . . . . . . . . . . . . . . . . . . . . . . . . .252
Адреса записей MFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Файлы метаданных файловой системы . . . . . . . . . . . . . . . . . . . . . .254
Атрибуты записей MFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Заголовки атрибутов . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
Содержимое атрибутов . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Стандартные типы атрибутов . . . . . . . . . . . . . . . . . . . . . . . . . 257
Другие концепции атрибутов . . . . . . . . . . . . . . . . . . . . . . . . . 259
Базовые записи MFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Сжатые атрибуты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260
Шифрование атрибутов . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Индексы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265
В-деревья . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265
Атрибуты индексов NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Программы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .270
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Глава 12. NFTS: анализ . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Категория данных файловой системы . . . . . . . . . . . . . . . . . . . . . .273
Файл $MFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .273
Файл: $MFTMirr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Файл $Boot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Файл $Volume . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Файл $AttrDef . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .277
Тестовый образ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
Сценарий анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Категории данных содержимого . . . . . . . . . . . . . . . . . . . . . . . . 281
Кластеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Файл $Bitmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Файл $BadClus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .282
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .283
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .285
Сценарий анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Категория метаданных . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Атрибут $STANDARD_INFORMATION . . . . . . . . . . . . . . . . . . . . . . . .286
Атрибут $FILE_NAME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Атрибут $DATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .288
Атрибут $ATTRIBUTE_LIST . . . . . . . . . . . . . . . . . . . . . . . . . . .289
Атрибут $SECURITY-DESCRIPTOR . . . . . . . . . . . . . . . . . . . . . . . . 291
Файл $Secure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Тестовый образ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .293
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .296
Сценарий анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Категория имен файлов . . . . . . . . . . . . . . . . . . . . . . . . . . . .300
Индексы каталогов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .300
Корневой каталог . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Ссылки на файлы и каталоги . . . . . . . . . . . . . . . . . . . . . . . . . 301
Идентификаторы объектов . . . . . . . . . . . . . . . . . . . . . . . . . . .302
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .302
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .303
Сценарий анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Категория прикладных данных . . . . . . . . . . . . . . . . . . . . . . . . .306
Дисковые квоты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Журналы файловых систем . . . . . . . . . . . . . . . . . . . . . . . . . . .306
Журнал изменений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Общая картина . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310
Создание файла . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Пример удаления файла . . . . . . . . . . . . . . . . . . . . . . . . . . . .312
Разное . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
Восстановление файлов . . . . . . . . . . . . . . . . . . . . . . . . . . . .314
Проверка целостности данных . . . . . . . . . . . . . . . . . . . . . . . . .314
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .315
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Глава 13. Структуры данных NTFS . . . . . . . . . . . . . . . . . . . . . . .317
Базовые концепции . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .317
Маркеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .317
Записи MFT (файловые записи) . . . . . . . . . . . . . . . . . . . . . . . . 318
Заголовок атрибута . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Стандартные атрибуты файлов . . . . . . . . . . . . . . . . . . . . . . . . .324
Атрибут $STANDARD_INDORMATION . . . . . . . . . . . . . . . . . . . . . . . .324
Атрибут $FILE_NAME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Атрибут $DATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .328
Атрибут $ATTRIBUTE_LIST . . . . . . . . . . . . . . . . . . . . . . . . . . .328
Атрибут $OBJECT_ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Атрибут $REPARSE_POINT . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Атрибуты и структуры данных индексов . . . . . . . . . . . . . . . . . . . . 331
Атрибут $INDEX_ROOT . . . . . . . . . . . . . . . . . . . . . . . . . . . . .331
Атрибут $INDEX_ALLOCATION . . . . . . . . . . . . . . . . . . . . . . . . . .332
Атрибут $BITMAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .334
Структура данных заголовка индексного узла . . . . . . . . . . . . . . . . . 334
Структура данных обобщенного индексного элемента . . . . . . . . . . . . . . 335
Структура данных индексного элемента каталога . . . . . . . . . . . . . . . .336
Файлы метаданных файловой системы . . . . . . . . . . . . . . . . . . . . . .339
Файл $MFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .339
Файл $Boot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Файл $AttrDef . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .341
Файл $Bitmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Файл $Volume . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Файл $ObjId . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .344
Файл $Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .345
Файл $LogFile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .347
Файл $UsrJrn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .351
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Глава 14. Ext2 и Ext3: концепции и анализ . . . . . . . . . . . . . . . . . .352
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Категория данных файловой системы . . . . . . . . . . . . . . . . . . . . . .354
Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .358
Сценарий анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Категория содержимого . . . . . . . . . . . . . . . . . . . . . . . . . . . .362
Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .363
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .364
Сценарий анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Категория метаданных . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .371
Выделение индексных узлов . . . . . . . . . . . . . . . . . . . . . . . . . .371
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .374
Сценарий анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Категория данных имен файлов . . . . . . . . . . . . . . . . . . . . . . . . 376
Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .380
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .382
Сценарии анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Категория прикладных данных . . . . . . . . . . . . . . . . . . . . . . . . .387
Журналы файловой системы . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Сценарий анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Общая картина . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .390
Пример создания файла . . . . . . . . . . . . . . . . . . . . . . . . . . . .391
Пример удаления файла . . . . . . . . . . . . . . . . . . . . . . . . . . . .393
Разное . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Восстановление файлов . . . . . . . . . . . . . . . . . . . . . . . . . . . .395
Проверка целостности данных . . . . . . . . . . . . . . . . . . . . . . . . .396
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .397
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Глава 15. Структуры данных Ext2 и Ext3 . . . . . . . . . . . . . . . . . . . 399
Суперблок . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .399
Таблица дескрипторов групп . . . . . . . . . . . . . . . . . . . . . . . . . 403
Битовая карта блоков . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Индексные узлы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Расширенные атрибуты . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Запись каталога . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .412
Символическая ссылка . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Хеш-деревья . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .415
Структуры данных журнала . . . . . . . . . . . . . . . . . . . . . . . . . . 416
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .421
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
Глава 16. UFS1 и UFS2: концепции и анализ . . . . . . . . . . . . . . . . . .422
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
Категория данных файловой системы . . . . . . . . . . . . . . . . . . . . . .423
Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .430
Категория содержимого . . . . . . . . . . . . . . . . . . . . . . . . . . . .430
Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .432
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .433
Категория метаданных . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .436
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .437
Категория данных имен файлов . . . . . . . . . . . . . . . . . . . . . . . . 438
Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Алгоритмы выделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . .439
Методы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Факторы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .440
Общая картина . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .441
Создание файла . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Пример удаления файла . . . . . . . . . . . . . . . . . . . . . . . . . . . .443
Разное . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Восстановление файлов . . . . . . . . . . . . . . . . . . . . . . . . . . . .445
Проверка целостности данных . . . . . . . . . . . . . . . . . . . . . . . . .446
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .447
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Глава 17. Структуры данных UFS1 и UFS2 . . . . . . . . . . . . . . . . . . . 448
Суперблок UFS1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Суперблок UFS2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Сводка групп цилиндров . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Дескриптор группы UFS1 . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Дескриптор группы UFS2 . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
Битовые карты блоков и фрагментов . . . . . . . . . . . . . . . . . . . . . .460
Индексные узлы UFS1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .461
Индексные узлы UFS2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .464
Расширенные атрибуты UFS2 . . . . . . . . . . . . . . . . . . . . . . . . . .465
Записи каталогов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Итоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .468
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Приложение. The Sleuth Kit и Autopsy . . . . . . . . . . . . . . . . . . . .469
The Sleuth Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Программы для работы с диском . . . . . . . . . . . . . . . . . . . . . . . .470
Программы для работы с томами . . . . . . . . . . . . . . . . . . . . . . . .470
Программы файловой системы . . . . . . . . . . . . . . . . . . . . . . . . . 470
Программы поиска . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .474
Режимы анализа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Алфавитный указатель . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476