<<
>>

Категория имен файлов

К категории имен файлов относятся данные, благодаря которым пользователь может ссылаться на файл по имени (вместо адреса его метаданных). В минимальном варианте эта категория данных включает только имя файла и адрес его метаданных.

В некоторых файловых системах к ней также причисляется информация

о              типе файла или временные штампы, но такая классификация не является стандартной.

Один из важных этапов анализа имен файлов — определение местонахождение корневого каталога, необходимого для поиска файла по полному имени. Например, в Windows каталог С:\ является корневым каталогом диска С:. В каждой файловой системе используется свой способ определения местонахождения корневого каталога.

Общие сведения

В этом разделе мы рассмотрим общие концепции категории имен файлов. Эта категория относительно проста; нас интересует только метод восстановления файлов по именам.

Восстановление файлов по именам

Как было показано при описании категории метаданных, удаленные файлы можно восстановить по метаданным. При восстановлении, основанном на именах файлов, имя удаленного файла и соответствующий ему адрес метаданных используются для восстановления содержимого файла по метаданным. Иначе говоря, вся «черная работа» выполняется на уровне метаданных, а на уровне имен файлов мы ограничиваемся идентификацией записей метаданных, используемых для восстановления.

На рис. 8.17 показаны два имени файлов и три записи метаданных. Файл favo- rites.txt удален, а его имя ссылается на свободную запись метаданных. Мы можем попытаться восстановить его содержимое, используя методы восстановления по метаданным. Обратите внимание: содержимое, связанное с записью метаданных тоже можно восстановить, но его имя уже утрачено. В этом разделе рассматриваются некоторые проблемы, связанные с восстановлением файлов по именам.

favorites.txt

г

Запись метаданных 3

Запись метаданных 2


-

0

1

2

3

4

5

6

7

8

9

10

11

Выделено

Свободно

Рис. 8.17. Поиск в структурах метаданных позволит узнать, какой из них был выделен заданный блок данных

В разделе «Восстановление файлов по метаданным» приводятся примеры того, как повторное выделение блоков данных и их десинхронизация с метаданными усложняют процесс восстановления. Сейчас мы рассмотрим эти примеры более подробно и разберемся, как нарушается синхронизация имен файлов с метаданными.

Допустим, имеется файл, в структуре имени файла которого присутствует имя fiLel.dat; структура ссылается на запись метаданных 100 (рис. 8.18 (А)). Файл был удален, а обе структуры (имени файла и метаданных) были освобождены, однако указатель в структуре имени файла не был стерт. Новый файл fiLe2.dat создается в новой структуре данных, и ему заново выделяется запись метаданных 100 (рис. 8.18 (В)). Позднее файл file2.dat также был стерт, а его структуры имени файла и метаданных освободились (рис. 8.18 (С)). Если проанализировать систему в этом состоянии, мы найдем в ней две структуры имени файла, ссылающиеся на одну запись метаданных.

Неизвестно, какому файлу принадлежит содержимое, адрес которого хранится в записи метаданных 100— filel.dat или file2.dat.


| Свободно |

| ЙьщегеноГ]

Рис. 8.18. Последовательность состояний при создании и удалении файлов: в состоянии (В) две структуры имен файлов ссылаются на одну структуру метаданных. Невозможно определить, к какой из них относится содержимое файла

Чтобы ситуация стала еще более запутанной, продолжим этот пример. Файл file3.dat создается в новой записи метаданных 200 и блоке данных 1000 из предыдущего примера (рис. 8.19 (А)). Файл file3.dat удаляется, и структура имени файла передается файлу file4.dat (который нас не интересует). Затем создается файл file5.dat с записью метаданных 100 и блоком данных 1000 (рис. 8.19 (С)). Файл file5.dat тоже удаляется. Наконец, создается файл file6.dat, которому повторно выделяется та же структура имени файла, что и file5.dat, но этот файл использует новую запись метаданных 300 и новый блок данных 2000 (рис. 8.19(C)).

А)

Рис. 8.19. Последовательность состояний при создании и удалении файлов: в состоянии (С) нарушается синхронизация некоторых указателей

Предположим, что система анализируется в этом состоянии. Мы сталкиваемся со следующими проблемами: На блок данных 1000 ссылаются две записи метаданных, и мы не знаем, какая из них была последней; также неизвестно, существовали ли другие записи метаданных, ссылавшиеся на нее с момента повторного выделения. На запись метаданных 100 ссылаются две структуры имен файлов, и мы не знаем, какая из них была последней; также неизвестно, существовали ли другие записи, ссылавшиеся на нее с момента повторного выделения.

В нашем примере последним был файл file5.dat, но он более не существует. На запись метаданных 200 не ссылается ни одна структура имени файла, поэтому мы не можем определить имя хотя бы одного файла, которому она была выделена.

Эти проблемы могут повлиять на работу эксперта в нескольких отношениях. Представьте программу анализа, которая читает список файлов в каталоге и выводит рядом с каждым именем соответствующие временные штампы. Информация о времени и содержимом filel.dat и file2.dat будет неверной, потому что она в действительности относится к файлу file5.dat, имя которого более не существует. Значения, связанные с записью метаданных 200, не будут присутствовать в списках файлов, потому что с этой записью не связана структура имени. Именно из-за таких ситуаций я разделил категории имен файлов и метаданных; было бы неправильно считать, что между ними существует более тесная связь.

Итак, при анализе удаленных файлов с точки зрения имен следует помнить, что записи метаданных и блоки данных могли быть выделены новому файлу. Также помните, что вам придется проанализировать свободные записи метаданных, чтобы найти те из них, на которые не ссылаются структуры имен файлов. 

<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Категория имен файлов:

  1. Категория данных имен файлов
  2. Категория данных имен файлов
  3. Категория имен файлов
  4. Записи каталогов для длинных имен файлов
  5. Категория файловой системы
  6. Категория данных файловой системы
  7. Категория данных файловой системы
  8. Категория данных файловой системы
  9. КАТЕГОРИИ ПРАКТИКИ И КАТЕГОРИИ АНАЛИЗА
  10. Конкретные файловые системы
  11. Шифрование файлов
  12. Файловый хостинг
  13. Что такое файловая система?