Читаем Журнал «Компьютерра» №33 от 13 сентября 2005 года полностью

Но прежде чем углубляться в содержание и расписывать достоинства этой работы, скажем хотя бы несколько слов о ее авторе. В кругах специалистов Брайан Кэрриер — личность достаточно известная, поскольку является создателем нескольких весьма популярных среди компьютерных криминалистов инструментов с открытым исходным кодом, например The Sleuth Kit («Набор сыщика», комплект Unix-утилит для анализа содержимого жесткого диска) и Autopsy Forensic Browser («Браузер для судебно-медицинского вскрытия», интерфейсная надстройка для The Sleuth Kit). В прошлом Кэрриер работал в знаменитой «хакерской» фирме @stake (ранее L0pht), специализирующейся на компьютерной безопасности, где возглавлял «Команду скорой помощи» и «Лабораторию цифровой криминалистики». Многие годы Кэрриер преподавал свою специфическую науку на разнообразных курсах и семинарах повышения квалификации для специалистов, а в настоящее время готовится к защите диссертации по информатике и цифровой криминалистике в Университете Пэдью.

Как пишет в предисловии сам автор, главная цель книги — упорядочить и свести воедино «низкоуровневые подробности» о системах файлов и томов жесткого диска. Хотя Кэрриер по профессии является программистом-разработчиком, он решил написать эту книгу, поскольку в море справочной литературы явно ощущалась нехватка документации, в которой различные файловые системы разбирались бы по косточкам. Подавляющее большинство цифровых улик, накапливающихся в компьютере, как известно, хранится в файловой системе. Но незнание тонкостей ее работы не позволяло «цифровому следователю» — будь он аналитиком спецслужбы, детективом, специалистом по ИТ-безопасности в корпорации или просто сотрудником бюро по восстановлению данных — эти самые улики обнаружить.

Начиная с общего обзора принципов «цифрового расследования» и основ устройства ПК, Кэрриер переходит к обстоятельному, подробно иллюстрированному описанию современных файловых систем. Как показывает опыт, эта информация является критически важной не только для отыскания улик и восстановления уничтоженных данных, но и для адекватной оценки имеющихся у аналитика инструментов. Параллельно описываются структуры хранения и представления данных, анализируются примеры образов диска, прорабатываются различные сценарии расследования. Все примеры рассматриваются с применением известных программ анализа файловой системы, причем с явным упором на инструментарий с открытыми исходными кодами — как наиболее гибкий, доверяемый и полезный в работе.

Среди важнейших тем, затронутых в книге, отметим следующие:

— сохранение «цифровой сцены преступления» и снятие «слепка» жесткого диска;

— выявление скрытых данных в Host Protected Area (служебной области жесткого диска);

— считывание исходных данных: прямой доступ против доступа через BIOS, обработка ошибок доступа;

— анализ разделов, файловых систем FAT, NTFS, Ext2, Ext3, UFS1 и UFS2;

— исследование содержимого распределенных дисковых томов (RAID и disk spanning);

— отыскание улик: метаданные файла, восстановление уничтоженных файлов, места сокрытия данных и другие хитрости;

— использование инструментария The Sleuth Kit, Autopsy Forensic Browser и других родственных программ с открытыми кодами.

Подробности о деятельности Брайана Кэрриера, о разработанных им программах анализа, а также содержательные фрагменты книги можно найти на сайте www.digital-evidence.org. В ответ на часто задаваемый вопрос, почему на обложке столь серьезного справочника помещены какие-то легкомысленные цветочки, автор отвечает примерно так: «На самом деле это вовсе и не цветы, а такие специфические животные — морские ежи, имеющие обыкновение прятаться от врагов в скалах и вооруженные ядовитыми иглами».

Автор: БЕРД КИВИ

Отступая от традиции «Железного потока» сообщать о готовых к продаже новинках, рискнем заглянуть в ближайшее будущее и отметим прорыв в области гибких ЖК-дисплеев. Фирма Philips Polymer Vision умудрилась сконструировать 5-дюймовый дисплей PV-QML5, который может скручиваться в трубочку диаметром всего 15 мм. Он имеет разрешение 320x240 точек, контрастность 10:1 и четыре градации яркости.