" Н а у к а м о л о д ы х " , 2 6 н о я б р я 2 0 1 9 г . , А р з а м а с
П о с в я щ а е т с я 8 5 - л е т и ю в ы с ш е г о п е д а г о г и ч е с к о г о о б р а з о в а н и я в А р з а м а с е и
8 0 - л е т и ю п р о ф е с с о р а В я ч е с л а в а П а в л о в и ч а П у ч к о в а
536
1. Программы, которым необходим образ каждого раздела носителя, с
которым будет производиться работа, отдельно.
2. Программы, требующие полный образ всего носителя.
Наиболее часто используемым средством получения данных является
утилита dd и ее модификации. Принцип ее работы будет рассмотрен во второй
части курсовой работы.
Восстановление удаленных разделов носителя.
Довольно
часто
в
практике
компьютерных
преступлений
злоумышленники используют прием переразметки разделов. Он заключается в
удалении изначальных границ раздела и создании новых границ вручную.
Данный метод позволяет создавать некие пространства данных, не относящиеся
ни к одному разделу и, соответственно, скрытые от пользователя. Также
используется более простой метод, заключающийся в простом удалении
информации о границах раздела, без создания новых меток. Примерно такая же
проблема возникает при попытке восстановления поврежденных разделов
материального носителя, что, несомненно, усложняет анализ данных. Для
снижения подобных рисков были созданы определенные программные
средства, которые будут более подробно рассмотрены во второй части данной
работы.
Практически все программы такого уровня работают по общему
принципу: выдвигается предположение, что в каждом разделе своя файловая
система. Определить ее можно по сигнатуре, которая для каждой файловой
системы своя (Пример: FAT содержит значения 0x55 и ОхАА в байтах 510 и
511 первого сектора). Программа-анализатор находит эти значения и на их
основе производит первичную разметку. Далее производятся тесты на
выявление диапазона, допустимого для некоторых ключевых полей файловых
систем (Пример: в файловой системе FAT присутствует поле, определяющее
количество секторов в кластере, и это значение всегда равно степени двойки).
Провал данного теста говорит о том, что сектор не принадлежит к загрузочному
сектору данной файловой системы, даже при его окончании на заданную
последовательность байт. В случае, если тесты пройдены успешно, программа
выполняет разметку и выдает конечный результат эксперту.
Заключение
Теоретический анализ литературы различных источников позволяет
сделать следующий вывод:
В практике компьютерной криминалистики существует несколько
стандартных алгоритмов анализа томов тех или иных систем, однако на
практике применения данных алгоритмов не всегда хватает для восстановления
носителя или извлечения из него необходимой информации. Вследствие этого
