Если следствие зашло в жесткий диск…
АрхивАмериканское издательство Addison-Wesley уже вторым изданием выпустило совсем новую книгу - справочное пособие Брайана Кэрриера "Криминалистический анализ файловой системы".
Американское издательство Addison-Wesley уже вторым изданием выпустило совсем новую книгу (ее первый тираж появился в марте этого года) - справочное пособие Брайана Кэрриера "Криминалистический анализ файловой системы" ("File System Forensic Analysis" by Brian Carrier, Addison-Wesley Professional, 2005).
Если солидный шестисотстраничный справочник для специалистов сразу же попадает в разряд бестселлеров - значит, перед нами далеко не заурядная книга.
Но прежде чем углубляться в содержание и расписывать достоинства этой работы, скажем хотя бы несколько слов о ее авторе. В кругах специалистов Брайан Кэрриер - личность достаточно известная, поскольку является создателем нескольких весьма популярных среди компьютерных криминалистов инструментов с открытым исходным кодом, например The Sleuth Kit ("Набор сыщика", комплект Unix-утилит для анализа содержимого жесткого диска) и Autopsy Forensic Browser ("Браузер для судебно-медицинского вскрытия", интерфейсная надстройка для The Sleuth Kit). В прошлом Кэрриер работал в знаменитой "хакерской" фирме @stake (ранее L0pht), специализирующейся на компьютерной безопасности, где возглавлял "Команду скорой помощи" и "Лабораторию цифровой криминалистики". Многие годы Кэрриер преподавал свою специфическую науку на разнообразных курсах и семинарах повышения квалификации для специалистов, а в настоящее время готовится к защите диссертации по информатике и цифровой криминалистике в Университете Пэдью.
Как пишет в предисловии сам автор, главная цель книги - упорядочить и свести воедино "низкоуровневые подробности" о системах файлов и томов жесткого диска. Хотя Кэрриер по профессии является программистом-разработчиком, он решил написать эту книгу, поскольку в море справочной литературы явно ощущалась нехватка документации, в которой различные файловые системы разбирались бы по косточкам. Подавляющее большинство цифровых улик, накапливающихся в компьютере, как известно, хранится в файловой системе. Но незнание тонкостей ее работы не позволяло "цифровому следователю" - будь он аналитиком спецслужбы, детективом, специалистом по ИТ-безопасности в корпорации или просто сотрудником бюро по восстановлению данных - эти самые улики обнаружить.
Начиная с общего обзора принципов "цифрового расследования" и основ устройства ПК, Кэрриер переходит к обстоятельному, подробно иллюстрированному описанию современных файловых систем. Как показывает опыт, эта информация является критически важной не только для отыскания улик и восстановления уничтоженных данных, но и для адекватной оценки имеющихся у аналитика инструментов. Параллельно описываются структуры хранения и представления данных, анализируются примеры образов диска, прорабатываются различные сценарии расследования. Все примеры рассматриваются с применением известных программ анализа файловой системы, причем с явным упором на инструментарий с открытыми исходными кодами - как наиболее гибкий, доверяемый и полезный в работе.
Среди важнейших тем, затронутых в книге, отметим следующие:
Подробности о деятельности Брайана Кэрриера, о разработанных им программах анализа, а также содержательные фрагменты книги можно найти на сайте www.digital-evidence.org. В ответ на часто задаваемый вопрос, почему на обложке столь серьезного справочника помещены какие-то легкомысленные цветочки, автор отвечает примерно так: "На самом деле это вовсе и не цветы, а такие специфические животные - морские ежи, имеющие обыкновение прятаться от врагов в скалах и вооруженные ядовитыми иглами".