Криминалистика файловой системы

Copyright © 2025 John Wiley & Sons, Inc.

Первая публикация на английском языке: Февраль 2025

Все права защищены, включая права на интеллектуальный анализ текста и данных и обучение искусственным технологиям или аналогичным технологиям.

Опубликовано John Wiley & Sons, Inc., Хобокен, Нью-Джерси.

Одновременно опубликовано в Канаде.

Никакая часть данной публикации не может быть воспроизведена, сохранена в поисковой системе или передана в любой форме или любыми средствами, электронными, механическими, фотокопированием, записью, сканированием или иным образом, за исключением случаев, разрешённых в соответствии с разделом 107 или 108 Закона США об авторском праве 1976 года, без предварительного письменного разрешения Издателя или разрешения посредством уплаты соответствующей платы за копию в Copyright Clearance Center, Inc., 222 Rosewood Drive, Danvers, MA 01923, (978) 750-8400, факс (978) 750-4470 или на веб-сайте www.copyright.com. Запросы издателю на получение разрешения следует направлять в Отдел разрешений, John Wiley & Sons, Inc., 111 River Street, Hoboken, NJ 07030, (201) 748-6011, факс (201) 748-6008 или через интернет по адресу http://www.wiley.com/go/permission.

Уполномоченным представителем производителя в соответствии с Общим регламентом ЕС по безопасности продукции является Wiley-VCH GmbH, Boschstr. 12, 69469 Weinheim, Germany, e-mail: Product_Safety@wiley.com.

Торговые марки: Wiley и логотип Wiley являются товарными знаками или зарегистрированными товарными знаками John Wiley & Sons, Inc. и/или её филиалов в США и других странах и не могут использоваться без письменного разрешения. Все другие товарные знаки являются собственностью их соответствующих владельцев. John Wiley & Sons, Inc. не связана ни с одним продуктом или поставщиком, упомянутым в этой книге.

Ограничение ответственности/Отказ от гарантии: Хотя издатель и автор приложили все усилия для подготовки этой книги, они не делают никаких заявлений или гарантий относительно точности или полноты содержания этой книги и, в частности, отказываются от любых подразумеваемых гарантий товарной пригодности или пригодности для определённой цели. Никакая гарантия не может быть создана или расширена торговыми представителями или письменными торговыми материалами. Советы и стратегии, содержащиеся в настоящем документе, могут не подходить для вашей ситуации. Вам следует проконсультироваться со специалистом, если это уместно. Кроме того, читатели должны знать, что веб-сайты, перечисленные в этой работе, могли измениться или исчезнуть между моментом написания этой работы и моментом ее прочтения. Ни издатель, ни авторы не несут ответственности за какую-либо потерю прибыли или любые другие коммерческие убытки, включая, помимо прочего, особые, случайные, косвенные или другие убытки.

Wiley также публикует свои книги в различных электронных форматах. Некое содержимое, которое появляется в печатном виде, может быть недоступно в электронных форматах. Для получения дополнительной информации о продуктах Wiley посетите наш веб-сайт по адресу www.wiley.com.

Библиотека Конгресса подала заявку на каталогизацию в публикации:

ISBN твёрдой копии: 978-1-394-28980-6

Дизайн обложки: Wiley

Изображение на обложке: © aleksandarvelasevic/Getty Images

Набор в 9.5/12.5pt STIXTwoText by Straive, Chennai, India

www.wiley.com

2025-03-04

Широкое распространение цифровых доказательств в современных расследованиях привела к необходимости в более опытных аналитиках, которые способны осмысленно интерпретировать цифровые доказательства. Многие цифровые доказательства хранятся в файловой системе, и правильное восстановление этой информации имеет решающее значение для расследования. Хотя существует множество автоматизирующих восстановление данных из файловых систем инструментов, необходимо более глубокое понимание того, что именно делают эти инструменты. Это позволяет эксперту проверять результаты инструментов криминалистики файловых систем, что приводит к большему доверию восстановленным доказательствам.

Целевая аудитория нашей книги — все, кто заинтересован в цифровых расследованиях и желает знать, как из файловых систем восстанавливать доказательства. В неё входят студенты университетов, изучающие модули или даже целые программы в области цифровой криминалистики и кибербезопасности, а также сотрудники правоохранительных органов (или прочие следователи), которым поручено восстанавливать информацию из файловых систем и объяснять её актуальность. Для обеих аудиторий основная цель данной книги — снабдить глубоким пониманием того, как восстанавливаются сведения из обычных файловых систем.

Эта книга состоит из пяти отдельных частей. В первой части приведены необходимые всем экспертам в области цифровой криминалистики предварительные сведения. В частях II–IV представлена техническая часть согласно их названию. Эти части посвящены распространённым для каждой из наиболее популярных операционных систем (Windows, Linux и Mac OS) файловым системам . В части V обсуждается будущее криминалистики файловых систем и то, какие новые (а также ряд прежних) задачи стоят перед этой дисциплиной.

Часть I, "Начальные сведения", начинается с общего ознакомления с цифровой криминалистикой и обсуждает некоторые лежащие в основе этой области принципы. Данная глава также знакомит читателя с методологиями цифровой криминалистики и с тем, как они применяются для оптимизации расследования. В главе 2 описывается операционная система Linux и то, как её можно использовать для анализа файловой системы. В оставшейся части текста будут приведены примеры с использованием командной строки Linux, но от читателей не требуется следовать данному правилу. Глава 2 содержит введение в Linux для тех, кто хочет применять его в дальнейшем. Для тех же, кто не собирается пользоваться ею (или уже использует), эту главу можно и пропустить. Глава 3 обсуждает вопросы представления информации. Компьютеры способны обрабатывать и хранить только двоичные данные (единицы и нули). То, как эти единицы и нули интерпретируются в виде значимых сведений, имеет жизненно важное значение. В данной главе показано, как в вычислительных системах представляются числа, текст и время, а также как мы интерпретируем необработанные шестнадцатеричные данные, с которыми мы встречаемся при расследовании файловой системы. Заключительная глава этой части знакомит читателя с дисковым хранилищем, разделами и файловыми системами. В этой главе описываются используемые в настоящее время наиболее распространённые схемы разбиения на разделы, а также показано, как их можно расположить. Затем приводится описание файловой системы и существующие в рамках этой организационной структуры и различные понятия. Глава заканчивается введением в процесс выборки данных с диска – как мы получаем собственно файловые системы, которые позднее будем обрабатывать, – а также анализом этих файловых систем.

В части II представлено семейство файловых систем Windows, хотя более точно его можно было бы назвать семейством Microsoft. Сюда входят FAT (глава 5), exFAT (глава 6) и NTFS (глава 7). На протяжении многих лет стандартом для съёмных носителей служили варианты файловой системы FAT. Хотя по мере того, как доминирующей становится exFAT ситуация меняется, в ходе расследований по-прежнему обнаруживается большое количество устройств с файловой системой FAT. Это, в сочетании с относительной простотой файловой системы FAT, означает, что она является идеальным выбором для первой изучаемой в этой книге файловой системы. Впоследствии была введена файловая система exFAT. Хотя некоторые считают её ещё одним вариантом файловой системы FAT, она достаточно развита, чтобы заслуживать отдельной главы. На сегодняшний день это самая распространённая из применяемых в съёмных носителях файловая система. Как FAT, так и exFAT поддерживаются всеми основными операционными системами и, в качестве таковых, могут быть использованы во многих случаях. Последней файловой системой Windows в данном тексте является NTFS. Файловая система New Technology по умолчанию применяется во всех системах Windows, а раз так, очень часто используется в цифровых расследованиях.

Часть III знакомит с файловыми системами Linux. Она начинается с файловых систем семейства ext (главы 8 и 9). Многие могут задаться вопросом, насколько важны эти главы, поскольку Linux редко используется в цифровых расследованиях. Тем не менее, это одни из самых важных применяемых в наши дни файловых систем. Семейство ext - это используемые по умолчанию в телефонах Android файловые системы, а раз так, это одна из наиболее часто встречающихся при расследовании применяемых файловых систем. Знакомство с этими файловыми системами имеет жизненно важное значение для всех специалистов по криминалистике файловых систем. Файловые системы семейства ext широко используются во многих устройствах Интернета вещей. И, хотя они не часто применяются в домашних компьютерах, для аналитика они являются очень важными файловыми системами. В этой части книги также представлены две менее распространённые файловые системы Linux: XFS (глава 10) и BtrFS (глава 11). Данные файловые системы встречаются в некоторых дистрибутивах Linux, а также в крупномасштабных приложениях для хранения данных, например, в центрах обработки данных. По мере увеличения ёмкости хранилища устройств эти файловые системы будут становиться все более распространёнными и на домашнем рынке.

В части IV рассматриваются файловые системы Apple. В течение многих лет устройства Apple применяли файловую систему HFS+ (глава 12). С конца 2017 года устройства Apple начали пользоваться файловой системой APFS (глава 13). Это современная файловая система, которая способна действенно масштабироваться до размеров современных устройств. В связи с популярностью устройств Apple (телефонов, планшетов, компьютеров и т.д.) данная файловая система очень часто встречается в современных цифровых расследованиях. Заключительная часть нашей книги посвящена будущему и, в частности, рассматривает проблемы, с которыми сообщество столкнётся в ближайшие годы.

Каждая из глав о файловой системе (главы 5-13) организована схожим образом. Первоначально для всякой файловой системы приводится описание общего расположения и собственно присутствующих в этой файловой системе структур. Далее следует её анализ вручную, при котором читатель может ознакомиться со всеми необходимыми для восстановления содержимого файла и метаданных шагами. Наконец, каждая глава заканчивается подробными разделами для каждой файловой системы. Сюда всегда входят такие темы, как удалённые и фрагментированные файлы, а также соотносимые к каждой из рассматриваемых файловых систем вопросы.