М а т е р и а л ы X I I В с е р о с с и й с к о й н а у ч н о - п р а к т и ч е с к о й к о н ф е р е н ц и и
П о с в я щ а е т с я 8 5 - л е т и ю в ы с ш е г о п е д а г о г и ч е с к о г о о б р а з о в а н и я в А р з а м а с е и
8 0 - л е т и ю п р о ф е с с о р а В я ч е с л а в а П а в л о в и ч а П у ч к о в а
535
Процедура анализа томов
Для осуществления анализа носителя информации эксперту необходимо
снять информацию (сделать полную копию) с жесткого диска, с последующим
импортом полученных данных в программную среду для самого анализа.
Для определения начала и конца раздела, программа должна
проанализировать таблицы разделов. Важной особенностью анализа данных
носителя является существование секторов, не принадлежащих ни одному
разделу. Именно в этих «задворках» может содержаться информация, которую
злоумышленник хотел бы скрыть.
Далее рассмотрим базовые методы анализа томов.
Все методы приблизительно реализуют одни базовый принцип: поиск
таблиц разделов, их анализ и, как следствие, получение представления о
структуре дисков.
После завершения данной процедуры и получения необходимой
информации, данные передаются специальному программному средству,
которое делает выбор данных для анализа удобным для эксперта.
Частой особенностью процедуры анализа является наличие данных, не
относящихся ни к одному разделу. Такие данные необходимо извлекать
непосредственно из родительского тома.
Также нужно отметить, что объединение томов не является необходимым
условием для анализа данных.
Данные, не относящиеся ни к одному из разделов, принято находить
следующим способом:
Эксперт сам, либо с использованием программных средств, производит
проверку каждого раздела, по отношению к другим. Реализовать это можно с
помощью нахождения последнего раздела, и сравнением адреса его конечной
точки с адресом конца родительского тома. Также существует метод сравнения
начала и конца смежных разделов. При таком методе возможны 4 различных
варианта развития событий:
Последующий сектор начинается спустя несколько ячеек памяти после
предыдущего (следовательно, присутствуют ячейки, не входящие ни в один
раздел, и эти данные необходимо проанализировать); следующий сектор
начинается сразу за предыдущим; следующий сектор начинается до конца
предыдущего (такое развитие событий недопустимо и свидетельствует о
наличии повреждения в таблице разделов); один раздел находится внутри
другого. Недопустим, аналогично с третьим вариантом.
Получение данных.
Для получения информации с диска различным программным средствам
необходимы различные входные данные.
По этому признаку средства анализа делятся на 2 группы:
