<<
>>

Обработка ошибок

В процессе чтения данных с диска программа клонирования должна обрабатывать возникающие ошибки. Причины могут быть различными: как отказ всего диска, так и сбои в ограниченном количестве секторов.

При повреждении части секторов клонирование возможно — но при условии, что программа обработает все ошибки.

Общепринятый способ обработки поврежденных секторов заключается в сохранении адреса и записи нулей на место данных, которые не удалось прочитать. Запись нулей сохраняет правильное местонахождение остальных данных. Если бы поврежденные секторы просто игнорировались, то полученная копия оказалась бы слишком маленькой, а многие аналитические программы не смогли бы с ней работать. На рис. 3.2 показана последовательность клонируемых секторов. Три сектора содержат ошибки, и прочитать их не удалось, поэтому в копию на их место записываются нули.

342622

хххххх хххххх

826193

153068

хххххх

648633

774628

1 г 1 г 1

Г 1

Г Л

г

342622

000000 000000

826193

153068

000000

648633

774628

Оригинал

Копия

Рис. 3.2. Оригинал содержит три ошибки, замененные нулями

Область НРА

При снятии данных с дисков АТА следует обращать внимание на защищенную область НРА диска, поскольку в ней могут храниться скрытые данные.

Если программа снятия данных не пытается обнаружить НРА, эти данные не будут клонированы. За дополнительной информацией о НРА обращайтесь к главе 2.

Программа обнаруживает присутствие НРА, сравнивая результаты выполнения двух команд АТА. Команда READ_NATIVE_MAX_ADDRESS возвращает общее количество секторов на диске, а команда IDENTIFY_DEVICE — количество секторов, доступных для пользователя. Если область НРА существует, эти два числа будут различаться.

Если у вас нет программы, которая выполняла бы необходимые команды АТА, вероятно, вам придется сравнить количество секторов, скопированных в процессе снятия данных, с количеством секторов, указанным на наклейке на диске. Многие современные программы снятия данных обнаруживают присутствие НРА. Также

существуют специализированные утилиты, такие как BXDR (http://www.sanderson- forensics.co.uk/BXDR.htm) Пола Сэндерсона (Paul Sanderson), diskstat из пакета The Sleuth Kit, DRIVEID компании MyKey Technology (http://www.mykeytechnology.com) и hpa Дэна Mapeca (Dan Mares) (http://www.dmares.eom/maresware/gk.htm#HPA).

Если на диске будет обнаружена область НРА и вы захотите получить доступ к скрытым данным, придется изменить конфигурацию диска. Чтобы удалить НРА, следует задать максимальный сектор, адресуемый пользователем, равным максимальному сектору на диске. При этом можно использовать бит устойчивости, чтобы изменения в конфигурации были утрачены при следующем отключении питания жесткого диска. Выполнению команды могут помешать некоторые аппаратные блокировщики записи, о которых речь пойдет далее.

Процесс удаления НРА сопряжен с изменением конфигурации диска. Существует крайне малая вероятность того, что в контроллере диска или программе снятия данных неверно реализован механизм изменения НРА, и попытка снятия защиты приведет к потере данных. Следовательно, перед удалением НРА стоит создать полный образ диска. Если в процессе удаления будут нанесены какие- либо повреждения, у пользователя останутся исходные данные для анализа.

Пример диска с НРА будет рассмотрен далее в этой главе. Факт снятия НРА обязательно должен быть отражен в ваших заметках.

DCO

При снятии данных с современных дисков АТА также следует проверить наличие области DCO (Device Configuration Overlay), из-за которой размер диска кажется меньше фактического. Область DCO в целом похожа на НРА, причем обе области могут существовать на диске одновременно (тема DCO также обсуждалась в главе 2).

Присутствие DCO обнаруживается сравнением результатов двух команд АТА. Команда READ_NATIVE_MAX_ADDRESS возвращает максимальный сектор диска, доступный для обычных команд АТА, а команда D EVICE_C0N FIG U RATIO N_ID Е NTIFY — физическое количество секторов. Если результаты двух команд различаются, значит, на диске существует защищенная область DCO и ее необходимо удалить для снятия всей информации.

Чтобы удалить область DCO, необходимо изменить конфигурацию диска командой D EVIСЕ_С0N FIG U RATIO N_SЕТ или D EVICE_C0N FIG URATIO N_RESET. Оба изменения имеют постоянный характер и не пропадают при сбросе, как это возможно при создании областей НРА. В настоящее время лишь немногие программы способны обнаруживать и удалять DCO. Например, программа Image MASSter Solo от ICS (http://www.icforensic.com) копирует секторы, скрытые в DCO. Как и в случае с НРА, самое безопасное решение заключается в полном копировании диска с областью DCO, ее удалении и создании второй копии. Не забудьте документировать факт удаления DCO. Кроме того, проверьте, не запрещено ли удаление DCO аппаратным блокировщиком записи. 

<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Обработка ошибок:

  1. Обработка ошибок
  2. 4.5. Понятие ошибок и недобросовестных действий
  3. 21.2. Издержки ошибок в гражданских делах
  4. Интеграция: тысяча смертельных ошибок
  5. МЕНЬШЕ ОШИБОК
  6. Навык № 25 Избегайте десяти самых частых ошибок
  7. ПОЧЕМУ ОТСЛЕЖИВАНИЕ ЗАЩИЩЕНО ОТ ОШИБОК
  8. Статья 213. Исправление описок и явных арифмети- ческих ошибок в решении
  9. По пути ошибок: стратегии, которые заводят в тупик
  10. Глава 2 УСТРАНЕНИЕ ДИАЛЕКТНЫХ ОШИБОК В РЕЧИ СТУДЕНТОВ
  11. Snow Brand Milk не делает выводов из собственных ошибок
  12. Обработка корпуса