Capas de abstracción de datos en imágenes forenses

Navega tus respuestas
6

Estoy un poco confundido por varias fuentes sobre el nivel de abstracción y las capas en que un archivo reside en imágenes forenses. He encontrado dos explicaciones ligeramente diferentes:

El primero incluye

  • a) Capa física (sectores, cilindros, etc.)

  • b) Capa de datos (espacio no asignado, etc.)

  • c) Capa de metadatos (i-nodos, flujos de datos alternativos, etc.)

  • e) Capa del sistema de archivos (superbloque, sector de arranque, etc.)

  • f) Capa de nombre de archivo

El segundo incluye:

  • a) Capa de medios físicos (sectores, cilindros, etc.)
  • b) Capa de archivo multimedia (particiones, etc.)
  • c) Capa del sistema (sector de arranque, etc.)
  • d) Capa de aplicación (ascii, etc.)

Observo que hay algunas similitudes, pero trato de averiguar si la primera es una extensión de la segunda. ¿Alguien puede aclarar esto?

    
pregunta user3127632 09.08.2014 - 15:10
fuente

2 respuestas

1

Cuando toma una imagen forense, generalmente puede tomar una imagen physical o logical de una unidad. Consulte este artículo para ver las diferencias.

Cuando creas una imagen forense física, tu imager está leyendo los valores de una unidad poco a poco para toda la unidad (espacio sin asignar y todo), mientras que si vas a tomar una imagen lógica, el imager consulta el sistema operativo y vuelve a intentarlo. solo los valores de bit 'activos' dentro de la unidad.

    
respondido por el Matthew Peters 14.10.2014 - 20:37
fuente
1

Entonces, estos dos parecen tener alguna superposición, con el primero más detallado. Déjame intentar fusionarlos: 

a) Physical Layer, the bare drive. (sectors,cylinders etc.) 

    1. Unallocated space/slack space

b) Physical media Layer

   1. File System Layer (superblock, boot sector, partitions, etc.)

   2. File Metadata Layer (i-nodes, alternative data streams etc.)

   3. File Name/Application Layer (userland data, ascii text, etc)

¿Esto tiene más sentido?

Además, para vincularse con la pregunta de Matthew Peters, las imágenes pueden ocurrir en la capa Física o en la capa FS. Las imágenes en la capa física copian los bits como son, sectores dañados y todo. También obtienes lo que se llama "espacio flojo". El espacio de holgura es solo secciones del disco que no se utilizan, pero si algo se elimina, normalmente se marca como "no utilizado". Pero los datos siguen viviendo en un espacio vacío, listos para ser retirados de una copia física de la unidad. La copia física es la más completa y recomendada para el análisis forense. La copia lógica es buena si no puede apagar el sistema para obtener imágenes o si la copia física es imposible.

    
respondido por el Ohnana 13.01.2015 - 15:58
fuente

Lea otras preguntas en las etiquetas

Precauciones de seguridad para iPads compartidos en un entorno corporativo orientado al cliente Implicaciones de seguridad de los APN privados / corporativos