<<
>>

Программы анализа

  Все программы, упоминавшиеся в главе 1, поддерживают работу с образами NTFS, но могут предоставлять различные уровни доступа к отдельным атрибутам. Для просмотра различных атрибутов в системе Windows можно воспользоваться программой nfi.exe от компании Microsoft [Microsoft, 2000].
Программа выводит содержимое MFT в рабочей системе, включая имена атрибутов и адреса кластеров. При проведении экспертизы она не принесет особой пользы, потому что система должна быть «живой», однако программа поможет в изучении NTFS. Утилита Марка Руссиновича (Mark Russinovich) NTFSInfo [Russinovich, 1997] выводит аналогичную информацию.

Пакет TSK позволяет просмотреть содержимое любого атрибута. Чтобы примеры двух следующих глав стали более понятными, я опишу синтаксис просмотра различных атрибутов. Вспомните, что каждый атрибут обладает типом и каждому атрибуту в записи MFT присваивается уникальный идентификатор. При помощи этих двух значений можно отобразить любой атрибут.

Вместо одного адреса метаданных программе icat передается адрес и тип атрибута. При наличии нескольких атрибутов такого типа к ним добавляется уникальный идентификатор. Например, чтобы просмотреть атрибут $FILE_NAME (тип 48) записи MFT 34, следует использовать запрос «34-48». Для просмотра атрибута $DATA (тип 128) запрос принимает вид «34-128». Если существуют другие атрибуты $DATA, в запрос также включается уникальный идентификатор атрибута. Скажем, для атрибута с идентификатором 3 будет использоваться строка «34-128-3».

Программа istat из пакета TSK выводит все атрибуты файла. Пример вывода для атрибутов записи MFT:

[...]

Type: $STANDARD_INF0RMATI0N (16-0)              Name: N/A              Resident              size: 72

Type: $FILE_NAME (48-2) Name: N/A              Resident              size: 84

Type: $0BJECT_ID (64-8) Name: N/A              Resident              size: 16

Name: $DATA (128-3) Name: $Data Non-Resident, Encrypted size: 4294

94843 94844 94845 94846 94847 94848 102873 102874

102875

Name: $DATA (128-5) Name: ADS Non-Resident, Encrypted size: 4294

102879 102880 102881 102882 102883 102884 102885 102886

102887

Type: $LOGGED_UTILITY_STREAM (256-7) Name: $EFS Non-Resident size: 552 102892 102893

Итоги

Все важнейшие данные в NTFS ассоциируются с файлами или индексами.

В этой главе были рассмотрены важнейшие концепции NTFS — записи MFT, атрибуты и индексы. На основе этих концепций мы перейдем к рассмотрению конкретных атрибутов и категорий в главе 12.

Библиография Cooperstein, Jeffrey, and Richter, Jeffrey. «Keeping an Eye on Your NTFS Drives: The Windows 2000 Change Journal Explained». Microsoft SystemsJournal, September 1999. http://www.microsoft.com/msj/0999/journal/journaLaspx. Cooperstein, Jeffrey, and Richter, Jeffrey. «Keeping an Eye on Your NTFS Drives, Part II: Building a Change Journal Application». Microsoft SystemsJournal, October 1999. http://www.microsoft.com/msj/1099/journaL2/journaL2.aspx. Linux NTFS Project. NTFS Documentation. 1996-2004. http://linux-ntfs.source- forge.net/ntfs/index.html.

Microsoft. «Analysis of Reported Vulnerability in the Windows 2000 Encrypting File System (EFS)». 1999. http://www.microsoft.com/technet/security/news/analefs.mspx. Microsoft. «Description of NTFS Date and Time Stamps for Files and Folders». Microsoft Knowledge Base Article 299648, 2003. http://support.microsoft.com/ default.aspx?scid=kb;en-us;299648. Microsoft. «INFO: Understanding Encrypted Directories». Microsoft Knowledge Base Article 248723, 2003. http://support.microsoft.com/default.aspx?scid=kb;en- us;248723amp;sd=tech. Microsoft. «Overview of FAT, HPFS and NTFS File Systems». Microsoft Knowledge Base Article 100108, 2003. http://support.microsoft.com/default.aspx?scid=kb;EN- US;100108. Microsoft. «Windows NT 4.0 and Windows 2000 OEM Support Tools». February 2,2000. http://www.microsoft.com/downLoads/details.aspx?FamilyId=82D6AB58-890C- 405F-B532-B75lD9217CA4amp;displaylang=en. Microsoft. «Windows Server 2003 Technical Reference». Storage Technologies Collection Section, 2004. http://www.microsoft.com/resources/documentation/Windows- Serv/2003/aU/techref/en-us/Default.asp?url=/resources/documentation/windowsServ/ 2003/all/techref/en-us/W2K3TR_ntfs/intro.asp. Microsoft. «Windows XP Professional Resource Kit Documentation».

Chapter 13- File Systems, 2004. http://www.microsoft.com/resources/documentation/Windows/XP/ aU/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en- us/prork_overview.asp. Microsoft MSDN Library. «Change Journals» 2004. http://msdn.microsoft.com/ Library/default.asp?url=/library/en-us/fUeio/base/change Journals, asp. Microsoft TechNet. «Encrypting File System in Windows XP and Windows Server 2003». 2002. http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.- mspx#XSLTsectionl22121120120. Russinovich, Mark. «Inside Encrypting File System». Part 7, Windows and .NET Magazine Network, June 1999. http://www.winntmag.com/Artides/Print.cfm?ArtideID=5387. Russinovich, Mark. «Inside Encrypting File System». Part 2, Windows and.NET Magazine Network, July 1999. http://www.winntmag.com/Artides/Print.cfm7Ar- ticleID=5592. Russinovich, Mark. «Inside Win2K NTFS». Pan 1, Windows and .NET Magazine Network, November 2000. http://www.winntmag.com/Articles/Printcfm?ArtideID=15719. Russinovich, Mark. «Inside Win2K NTFS». Part 2, Windows and .NET Magazine Network, Winter 2000. http://www.winntmag.com/Artides/Print.cfm?ArtideID=15900. Solomon, David, and Mark Russinovich. Inside Windows 2000. 3rd ed. Redmond: Microsoft Press. 2000.

<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Программы анализа:

  1. Мир-системный анализ как исследовательская программа И. Валлерстайна
  2. ОРГАНИЗАЦИЯ И ПРОГРАММА, МЕТОДЫ АНАЛИЗА И ПРОГНОЗА СОЦИОЛОГИЧЕСКОЙ ИНФОРМАЦИИ, ПРОЕКТИРОВАНИЕ РЕШЕНИЙ ПРОБЛЕМ ФИЗИЧЕСКОЙ КУЛЬТУРЫ И СПОРТА
  3. Программа курсов повышения квалификации по программе "Налоги и налоговое право" 26, 27, 28 октября 2009 года, Екатеринбург
  4. Бим-Бад Б.М., Гавров С.Н.. Модернизация института семьи: социологический, экономический и антрополого-педагогический анализ: Монография / предисл. Л. С. Перепелкин. Федеральная целевая программа "Культура России". М.: Интеллектуальная книга - Новый хронограф. 352 с., 2010
  5. ПРОГРАММЫ ПРАВИТЕЛЬСТВА И ПРОГРАММЫ ФОНДОВ
  6. 3. Защита прав на программы для ЭВМ и базы данных Регистрация программ для ЭВМ и баз данных
  7. 1.6. Взаимосвязь производственного и финансового анализа. Характеристика управленческого анализа
  8. 4.4.2. Диагностический анализ инновационной среды организации по методу БУУОТ-анализа
  9. 2.2. ЭКОНОМИЧЕСКИЙ, ПРАВОВОЙ И ПОЛИТИЧЕСКИЙ АНАЛИЗ В КОНТЕКСТЕ ЗАДАЧ МЕЖДУНАРОДНОГО МЕНЕДЖМЕНТА. СТРАНОВЫЙ МАРКЕТИНГОВЫЙ АНАЛИЗ
  10. 6. Анализ спроса. Оценка затрат или анализ процентных и непроцентных расходов
  11. 2. Программа социологического исследования
  12. 4.3 . Инновационные программы
  13. 1.2.Программа и план исследования
  14. Н. В. Войтоловский, А. П. Калинина, И. И. Мазурова. Экономический анализ: Основы теории. Комплексный анализ хозяйственной деятельности организации : учебник. 2-е изд., перераб. и доп. — М.: Высшее образование. — 513 с. — (Университеты России)., 2007
  15. 7.4. Муниципальные целевые программы