Strati di astrazione dei dati in Imaging forense

Naviga le tue risposte
6

Sono un po 'confuso da varie fonti sul livello di astrazione e sui livelli che un file risiede nell'imaging forense. Ho trovato due spiegazioni leggermente diverse:

Il primo include

  • a) Livello fisico (settori, cilindri, ecc.)

  • b) Livello dati (spazio non allocato ecc.)

  • c) Livello metadati (i-node, flussi di dati alternativi ecc.)

  • e) File System Layer (superblocco, settore di avvio ecc.)

  • f) Livello nome file

Il secondo include:

  • a) Supporto fisico (settori, cilindri, ecc.)
  • b) Livello file multimediale (partizioni ecc.)
  • c) Livello di sistema (settore di avvio ecc.)
  • d) Livello applicazione (ascii ecc.)

Ho notato alcune somiglianze, ma cerco di capire se il primo è un'estensione del secondo o altro. Qualcuno può chiarirlo?

    
posta user3127632 09.08.2014 - 15:10
fonte

2 risposte

1

Quando si acquisisce un'immagine forense, in genere è possibile utilizzare un'immagine physical o logical di un'unità. Vedi questo articolo per le differenze.

Quando crei un'immagine fisica forense, il tuo imager legge i valori di un'unità a bit per l'intero disco (spazio non allocato e tutto) mentre se stai per acquisire un'immagine logica, il riproduttore di immagini interroga il sistema operativo e riprova solo i valori di bit "attivi" all'interno dell'unità.

    
risposta data 14.10.2014 - 20:37
fonte
1

Quindi questi due sembrano avere una sovrapposizione, con il primo che è più dettagliato. Fammi provare a unirli: 

a) Physical Layer, the bare drive. (sectors,cylinders etc.) 

    1. Unallocated space/slack space

b) Physical media Layer

   1. File System Layer (superblock, boot sector, partitions, etc.)

   2. File Metadata Layer (i-nodes, alternative data streams etc.)

   3. File Name/Application Layer (userland data, ascii text, etc)

Ha più senso?

Inoltre, per legare la domanda di Matthew Peters, l'imaging può avvenire sul livello fisico o sul livello FS. L'imaging a livello fisico copia i bit così come sono, i settori danneggiati e tutto il resto. Ottieni anche quello che viene chiamato "spazio allentato". Lo spazio allentato è solo sezioni inutilizzate del disco, ma se qualcosa viene eliminato è tipicamente contrassegnato come "inutilizzato". Ma i dati vivono ancora in spazi vuoti, pronti per essere rimossi da una copia fisica del disco. La copia fisica è la più completa e consigliata per l'analisi forense. La copia logica è buona se non è possibile disattivare il sistema per l'imaging o se la copia fisica è impossibile.

    
risposta data 13.01.2015 - 15:58
fonte

Leggi altre domande sui tag

Abilitare la virtualizzazione, affrontando il rischio di pillola blu? Condivisione dei risultati della scansione Nmap in una pagina Web [chiusa]