Журнал Компьютерра -33 от 13 сентября 2005 года   ::   Компьютерра Журнал 605

Как показывает опыт, эта информация является критически важной не только для отыскания улик и восстановления уничтоженных данных, но и для адекватной оценки имеющихся у аналитика инструментов. Параллельно описываются структуры хранения и представления данных, анализируются примеры образов диска, прорабатываются различные сценарии расследования. Все примеры рассматриваются с применением известных программ анализа файловой системы, причем с явным упором на инструментарий с открытыми исходными кодами - как наиболее гибкий, доверяемый и полезный в работе.

Среди важнейших тем, затронутых в книге, отметим следующие:

- сохранение «цифровой сцены преступления» и снятие «слепка» жесткого диска;

- выявление скрытых данных в Host Protected Area (служебной области жесткого диска);

- считывание исходных данных: прямой доступ против доступа через BIOS, обработка ошибок доступа;

- анализ разделов, файловых систем FAT, NTFS, Ext2, Ext3, UFS1 и UFS2;

- исследование содержимого распределенных дисковых томов (RAID и disk spanning);

- отыскание улик: метаданные файла, восстановление уничтоженных файлов, места сокрытия данных и другие хитрости;

- использование инструментария The Sleuth Kit, Autopsy Forensic Browser и других родственных программ с открытыми кодами.

Подробности о деятельности Брайана Кэрриера, о разработанных им программах анализа, а также содержательные фрагменты книги можно найти на сайте www.digital-evidence.org .