Некоммерческие наборы инструментов, предназначенные для судебного дублирования
Усовершенствованное устройство loopback в системе Linux
В последней секции, чтобы получить доступ к разделу, мы должны были изменить смещение с помощью losetup, потому что устройства loopback не распознают таблиц разделов. При монтировании файловой системы на устройствах loopback процесс угадывания, где начинается раздел, может оказаться утомительным и ненужным. К счастью, NASA разработало новое усовершенствованное loopback -устройство для решения проблемы смещения, и это значительно облегчает процесс судебного анализа.
На момент написания этой книги усовершенствованное устройство loopback не было связано с каким-либо дистрибутивом Linux, но его можно было найти на общедоступном FTP-сервере, расположенном на ftp://ftp.hq.nasa.gov/pub/ig/ccd/enhanced_loo pback/. Необходимо выполнить две установки, чтобы получить усовершенствованные функциональные возможности. Одна установка обновит ядро на модифицированное, а другая добавит инструментальные средства, необходимые для использования дополнительных возможностей, которые может предоставить новое ядро.
Реализация
Сначала отредактируйте свой файл lilo.conf, который определяет, что будет загружено после запуска системы. Отредактируйте текущий файл lilo.conf, подражая следующему файлу, полученному из системы RedHat Linux 7.2.
prompt
timeout=50
default=linux
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
message=/boot/message
linear
image= /boot/vmlinuz-2.4.7-10
label=linux
initrd=/boot/initrd-2.4.7-10.imp
read-only
root=/dev/hda2
image= /boot/vmlinuz-2.4.17-xfs-enhanced_loop
label=linux_enhanced
root=/dev/hda2/dev/hda2, но оно может быть иным для вашего конкретного судебного компьютера. Кроме того, описываемый здесь процесс работает в системе RedHat Linux 7.2. Установка нового ядра может происходить по разному для разных дистрибутивов Linux, поэтому вам, вероятно, придется почитать документацию, сопровождающую ваш конкретный дистрибутив системы Linux.
Чтобы установить усовершенствованное ядро loopback, загрузите и извлеките его в каталог, используя утилиту tar. Следующая командная строка извлекает исходный код ядра системы.
forensic# tar xzvf linux-2.4.17-xfs-enhanced.tar.gz-C/usr/src
После того как исходный код ядра разархивирован, ядро должно повторно компилироваться. Имейте ввиду, что различные инсталляции будут отличаться друг от друга, потому что платформы, на которых будет выполняться это ядро, могут использовать разные аппаратные средства. Следовательно, во время выполнения команды make menuconfig вы должны выбрать опции, подходящие для вашей платформы. Компиляция может быть выполнена следующими командными строками:
forensic# cd /usr/src/inux-2.4.17-xfs-enhanced_loop forensic# make menuconfig forensic# make dep forensic# make clean forensic# make bzImage forensic# make modules forensic# make modules_install forensic# cd arch/i386/boot forensic# cp bzImage /boot/vmlinuz-2.4.17-xfs-enhanced_loop forensic# lilo -v
После установки ядра необходимо установить двоичные файлы набора инструментов loopback, используя следующую командную строку:
forensic# rpm -ivh --force loop-utils-0.0.1-1.i386.rpm
Теперь перезагрузите систему и не забудьте выбрать новое ядро, набрав linux_enhanced в строке приглашения начальной загрузки LILO, иначе вы перезагрузите ваше старое ядро. Когда машина перезагрузится, войдите в систему с привилегированными правами (root). Теперь вы запустите усовершенствованное ядро (что вы, вероятно, наблюдали во время входа в систему).
После установки комплекта инструментальных средств loopback начинается реальное волшебство. С тем же самым файлом улик, который использовался в предыдущем разделе (disk.bin), вы можете смонтировать исходные данные, найденные в разделе Windows 98, используя утилиту losetup тем же самым способом, но без смещения. Дополнительный флаг -r к утилите losetup позволяет сделать файл улик доступным только для чтения, что всегда является хорошей мерой безопасности. После того как файл улик был связан с файлом устройства /dev/loop0, наберите в командном приглашении dmesg, чтобы отобразить разделы, найденные в файле улик. Просто смонтируйте раздел так, как бы вы сделали это на любом физическом жестком диске. В этом сценарии разделы начинают заполнять другие зацикленные ( loop ) устройства с увеличивающимися второстепенными номерами файлов устройств. Например, первый раздел теперь будет называться /dev/loop1, второй -/dev/loop2, и так далее. Процесс показан ниже.
forensic# losetup /dev/loop0 /mnt/storage/disk.bin forensic# mount -o ro /dev/loop0 /mnt/evidence forensic# ls /mnt/evidence
Следующие команды нарушат связи, созданные предыдущими командами:
forensic# cd /mnt/storage forensic# umount/mnt/evidence forensic# losetup-d /dev/loop0