<<
>>

3.2. Оценка данных, находящихся в удалённых файлах и перезаписанных «поверх» другими файлами

Данное описание показывает, как легко могут быть ошибочно истолкованы сведения о файлах, которые были удалены, либо удале­ны и перезаписаны «поверх» другими файлами. Это относится толь­ко к FAT-дискам, где сведения о файлах сохраняются как элементы каталога.

Обычно при удалении файла остается элемент каталога, откуда EnСase и получает соответствующие сведения.

В какой-то момент информация, содержащаяся в элементе ка­талога удаленного файла, будет соответствующим образом изме­нена, и область дискового пространства, содержавшая файл, будет считаться свободной. Если существует другой, ранее созданный, элемент каталога, указывающий на тот же самый начальный кла­стер, указанная область данных не будет отображаться как свобод­ная, а будет считаться принадлежащей другому файлу, не имеюще­му к ней никакого отношения.

Несмотря на то, что такие случаи достаточно редки, они всё же могут иметь место и должны быть учтены.

Элементы каталога для директории My Pictures (C:/My Documents/My

Pictures)

Name

(Имя)

Created (дата соз­дания) Written (дата последней за­писи в файл) Accessed (дата по­следнего доступа к файлу) Size (раз­мер) Cluster

(номер

началь­

ного

класте­

ра)

04/01/01

15:06:54

04/01/01

15:06:56

04/01/01 0 42958
04/01/01

15:06:54

04/01/01

15:06:56

04/01/01 0 0
ROJEC~2.

JPG

11/03/01

06:01:18

11/03/01

06:01:12

20/07/01 XXXXXX 100

Примечание: В действительности, случай, используемый для при­мера, маловероятен, однако, для более простого объяснения, описывает­ся именно такая ситуация.

Представленная в табличном виде структура условно выбран­ного каталога показывает, что файл «_rojec~2.jpg» начинается с кла­стера 100. Этот файл удалён (первый символ в имени файла заменен знаком «_»). Данные этого файла всё еще присутствуют в полном объёме на диске и данные из соответствующего элемента каталога всё еще читаемы. Предположим, что другой файл с именем «hc32. jpg» сохраняется на диске. Операционная система определяет, что данные кластера 100 можно перезаписать новыми, так как файл, ра­нее занимавший его, считается удаленным. Поэтому, новый файл со­храняется в этом месте (при этом создается новый элемент каталога).

Элементы каталога для директории My Pictures (C:/My Documents/My

Pictures)

№те

(имя)

Created (дата соз­дания) Written (дата последней записи в файл) Accessed (дата по­следнего доступа к файлу) Size (раз­мер) Cluster

(номер

началь­

ного

кластера)

04/01/01

15:06:54

04/01/01

15:06:56

04/01/01 0 42958
04/01/01

15:06:54

04/01/01

15:06:56

04/01/01 0 0
ЯО-

ше~2.

.те

11/03/01

06:01:18

11/03/01

06:01:12

20/07/01 XXXXXX 100
HC32.JPG 11/03/01

06:01:18

11/03/01

06:01:12

11/01/02 XXXXXX 100

Как показывают данные таблицы, теперь и файл «hc32.jpg» также начинается с кластера 100, поэтому EnCase отобразит файл «_ROJEC~2.jpg» со значком X (удален и перезаписан), а в нижнем основании окна EnCase покажет рядом со значком *-► имя «пере­крывающего» файла - «hc32.jpg». Таким образом, при выборе любо­го файла будет отображаться содержимое файла «hc32.jpg».

Предположим, что файл «hc32.jpg» удаляется. EnСase пометит его значком 0 (удаленный), а сведения о файле и его содержание будут доступны, так как файл не был перезаписан «поверх».

Предположим, что пользователь в течение некоторого времени «бродил» в Интернете, где «натолкнулся» на изображение непри­стойного характера, которое было автоматически кэшировано в пап­ку Temporary Internet Files и было записано в область диска (начи­нающуюся с кластера 100), ранее занимаемую файлом «hc32.jpg». Каталог будет выглядеть следующим образом (табл. 3.2.3).

Таблица 3.2.3
Элементы каталога для директории My Pictures (C:/My Documents/My Pictures)
Name

(имя)

Created (дата соз­дания) Written (дата по­следней записи в файл) Accessed

(дата

послед­

него

доступа к файлу)

Size (раз­мер) Cluster (номер на­чального кластера)
04/01/01

15:06:54

04/01/01

15:06:56

04/01/01 0 42958
04/01/01

15:06:54

04/01/01

15:06:56

04/01/01 0 0
indecent.

JPG

xxxxxxxx

xxxxxxxx

xxxxxxxx

xxxxxxxx

xxxxxxxx XXXXXX 100

Если бы состояние данных на диске оставалось бы таким к на­чалу исследования, то проблема бы не возникла, так как EnCase бы отразила следующее (см.

табл. 3.2.4).

X ROJEC-2. jPg Перекрыт файлом «mdecent.jpg», поэтому, указывает на кластер 100 , т.е. содержание непристойного со­держания)
X hc32.jpg Перекрыт файлом «indecent.jpg», поэтому, указывает на кластер 100 , т.е. содержание непристойного со­держания)
Indecent.jpg Указывает на кластер 100 , т.е. непристойного содер­жания

Папка Temporary Internet Files предназначена для автоматиче­ского сохранения множества временных файлов, полученных из Интернета. Предположим, что в дальнейшем содержимое указанной папки будет удалено. В этом случае EnCase всё равно бы устано­вила данные, находящиеся в файле «Indecent.jpg». Но если факти­чески элемент каталога в папке Temporary Internet Files был также удален, то не остается более указателей на кластер 100 или ссылок на файл «indecent.jpg». Поэтому теперь только элементы каталога файлов «ROJEC~2.jpg» и «hc32.jpg» будут ссылаться на кластер 100 и, следовательно, на изображение непристойного характера, хотя со­держание этих файлов и не имело ничего общего с указанным изо­бражением.

Таким образом, в случае, если «источником» изображения не­пристойного характера являлась папка Temporary Internet Files, и нигде в другом месте диска, не сохранялось пользователем, то пользователь мог вообще не знать о том, что таковое изображение содержится на его компьютере.

<< | >>
Источник: П.В. Лещев, Р.Р. Юлдашев. КРИМИНАЛИСТИКА: ИСПОЛЬЗОВАНИЕ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ В ЭКСПЕРТНЫХ ИССЛЕДОВАНИЯХ Учебное пособие. 2013

Еще по теме 3.2. Оценка данных, находящихся в удалённых файлах и перезаписанных «поверх» другими файлами:

  1. ДАННЫЕ, КОТОРЫМИ ОПЕРИРУЕТ ПСИХОЛОГИЯ ЛИЧНОСТИ
  2. Пятифакторная модель: самооценки Джима и оценки, данные его женой, по вопроснику NEO-PI
  3. 4.2.Информация как объект права
  4. 2. Порядок разработки и официальная регистрация программ для ЭВМ и баз данных
  5. 5.3. Оценка имущества должника
  6. 7.1. Как встречать милиционеров. Первые действия работников
  7. 3.2. Технология внутрифирменного управления корпоративными знаниями
  8. 3.6. Оценка возврата от инвестиций в технологии электронного управления документами
  9. 8.6.2. Подготовка и проведение оценки деятельности персонала
  10. 3.4.1. Методы многокритериальной оценки альтернатив
  11. 3.4.2. Методы экспертной оценки
  12. 8.3. Информационная система и технология обработки статистических данных
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Акционерное право - Бюджетная система - Горное право‎ - Гражданский процесс - Гражданское право - Гражданское право зарубежных стран - Договорное право - Европейское право‎ - Жилищное право - Законы и кодексы - Избирательное право - Информационное право - Исполнительное производство - История политических учений - Коммерческое право - Конкурсное право - Конституционное право зарубежных стран - Конституционное право России - Криминалистика - Криминалистическая методика - Криминальная психология - Криминология - Международное право - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Образовательное право - Оперативно-розыскная деятельность - Права человека - Право интеллектуальной собственности - Право собственности - Право социального обеспечения - Право юридических лиц - Правовая статистика - Правоведение - Правовое обеспечение профессиональной деятельности - Правоохранительные органы - Предпринимательское право - Прокурорский надзор - Римское право - Семейное право - Социология права - Сравнительное правоведение - Страховое право - Судебная психиатрия - Судебная экспертиза - Судебное дело - Судебные и правоохранительные органы - Таможенное право - Теория и история государства и права - Транспортное право - Трудовое право - Уголовное право - Уголовный процесс - Философия права - Финансовое право - Экологическое право‎ - Ювенальное право - Юридическая антропология‎ - Юридическая периодика и сборники - Юридическая техника - Юридическая этика -