5. Исследование файлов, зависящих от ос

Некоторые файлы доступны программам только в той ОС, в которой они были созданы. Например, это относится к почте Outlook Express. Однако, если мы не хотим использовать ОС исследуемого диска и нет возможности сделать копию этого диска, приходится действовать по-другому. У большинства программ, в том числе у почтовых, существует средство импорта, то есть загрузки данных из других файлов. Кстати, в случае почтовых файлов это средство позволяет прочитать и письма «закрытой» паролем почты.

Применительно к Outlook Express методика восстановления доступа к почтовым данным такова. Находятся файлы папки Outlook Express и из них копируются Folders.dbx и те файлы, которые представляют предполо­жительный интерес для восстановления: Входящие.dbx, Отправленные.dbx, Удаленные.dbx, Черновики.dbx или файлы пользователей.

На стендовой ОС эти файлы будут импортированы.

Рис. 1. Процедура импорта сообщений из почтовых файлов исследуемого компьютера

ОС Windows позволяет разграничить доступ к файлам NTFS (закладка «Безопасность» у свойств папок и файлов). Поэтому, загрузив эту ОС с другого компьютера, можно и не получить доступ к защищенным папкам и файлам. Однако, проблема решается использованием, например, ОС Linux, в которой драйвер доступа к файловой системе NTFS реализован не полностью, в нем права доступа не учитываются.

При определенных усилиях можно получить доступ к этим файлам и в ОС Windows. Для этого администратору нужно стать владельцем этих проблемных файлов (операция выполняется рекурсивно для папок), после этого изменить свойства безопасности для объектов, разрешив, например, группе «Все» полный доступ.

6. Создание и исследование образов дисков

Образ диска (image) – файл, содержащий в себе полную копию содержания и структуры файловой системы и данных, находящихся на диске – таком как компакт-диск, дискета или раздел жесткого диска. Термин описывает любой такой файл, причём не важно, был ли образ получен с реального физического диска или нет. Таким образом, образ диска содержит всю информацию, необходимую для дублирования структуры, расположения и содержания данных какого-либо устройства хранения информации. Обычно образ диска просто повторяет набор секторов носителя, игнорируя файловую систему, построенную на нём.

Первоначально образы дисков использовались для резервного копирования и копирования дисков, при котором точное сохранение исходной структуры было необходимым и/или целесообразным. С появлением оптических носителей (CD, DVD) более часто встречающимся видом образов стали образы CD/DVD-диска, часто в форме .ISO-файла, содержащего файловую систему ISO 9660, обычно используемую на таких дисках. Формат ISO стал наиболее часто используемым форматом для образов дисков.

Назначения образа диска:

Резервное копирование. Обычная программа резервного копирования сохраняет только файлы, к которым имеется доступ; загрузчик и файлы, заблокированные операционной системой, могут быть не сохранены. Образ диска содержит все данные, имевшиеся на диске.

Распространение программного обеспечения. Образы дисков часто используются для распространения больших программных пакетов (например, дистрибутивов операционной системы GNU/Linux или BSD), в частности, через интернет.

Виртуальные диски. Образы дисков могут использоваться в качестве устройства хранения для эмуляторов и виртуальных машин.

Тиражирование однотипных систем. При массовой установке программного обеспечения на компьютеры с одинаковой конфигурацией на один компьютер устанавливаются все драйверы и необходимое программное обеспечение и снимается образ диска, который впоследствии устанавливают на остальные компьютеры.

В целях экспертизы данных предпочтительнее будут те программы создания образов дисков, которые работают не с файлами, а с физическими блоками диска. При этом в дальнейшем можно будет исследовать и содержимое удаленных файлов, то, что осталось на диске от них, а также содержимое папки, в которой были ранее файлы.

Среди программ некоторые при сохранении образа сжимают его данные. Такой образ можно использовать только для создания копии диска для исследования. Непосредственное экспертное изучение этого образа невозможно. Выбрать приемлемый вариант программы (коммерческий или свободное ПО) можно в Интернете по адресу:

ru.wikipedia.org/wiki/Список_ПО_для_резервного_копирования

Одним из распространенных на сегодняшний день программным средством, обеспечивающим эти функции, является комплекс программ фирмы Acronis.

Сам образ диска можно изучать любыми программами просмотра, например, входящими в состав файловых менеджеров. От программы требуется только, чтобы она понимала при поиске разные кодировки, а также, чтобы могла искать двоичные данные.

Не обязательно, что найденные программой просмотра контексты будут лежать в конкретных файлах. Но вопросы к эксперту могут ограничиваться наличием информации на диске, а также ее содержанием. В случае нахождения текстового файла его содержание или хотя бы часть нетрудно восстановить из образа.

Насколько усложняет работу с диском его сжатый формат, настолько сложным оказывается и поиск текстов, которые хранились в архивах или представлены современными форматами .docx. Здесь можно учитывать то, что все файлы на диске всегда начинаются на начале кластера, архивы имеют известные сигнатуры в начале файла, а файлы .docx представляют собой архивы формата PKZIP.

1 Среди других инструментальных экспертных средств на сайтах экс­перт­ных учреждений называют такие программы, как Vogon International, ILOOK Investigator, ProDiscover, SMART, Paraben, Accessdata, Oxygen Software. Программы имеют ссылки для скачивания.