Введение
В настоящее время разработаны и используются различные накопители для хранения компьютерной информации. Федеральным законом от 28 июля 2012 г. N 143‒ФЗ «О внесении изменений в Уголовно-процессуальный кодекс Российской Федерации» был обозначен новый вид вещественных доказательств – электронные носители информации [1]. Накопители информации, объединенные в RAID (от англ. «Redundant Array of Inexpensive/Independent Disks» – «Избыточный Массив Недорогих/Независимых Дисков») [6], также относятся к таким доказательствам. Существует несколько уровней RAID (3,4,5,6 и другие), в технологии хранения и записи информации которых используются блоки четности, содержащие контрольные суммы записанных блоков данных. Такие массивы носят название «отказоустойчивый массив с распределенной четностью», среди которых RAID 5 является одним из самых распространенных [4, c.426]. Данный факт обусловлен сочетанием характеристик, обеспечивающих повышенную надёжность хранения информации с сохранением высокого уровня производительности выполнения операций с данными, так как блоки данных и контрольные суммы записываются циклически на все накопители массива [2, с.2718]. В связи с чем, в рамках производства судебной компьютерно-технической экспертизы ставятся задачи по исследованию информации, содержащейся в RAID 5. Вышеизложенные обстоятельства определяют актуальность темы исследования, ее теоретическую и практическую значимость.
Цель исследования – изучение практических аспектов, связанных с получением доступа к данным, содержащимся в накопителях на жёстких магнитных дисках (далее – НЖМД), объединенных в RAID 5. С учетом особенностей уровня RAID была поставлена задача разработать алгоритм определения таких криминалистически значимых параметров как последовательность накопителей при записи на них информации и уровень RAID.
Материалы и методы исследования
Материалы исследования составили НЖМД, объединенные в RAID 5 и специализированные программные средства. Методологическую основу исследования составили источники, содержащие особенности записи и хранения информации в массивах RAID 5. В процессе исследования применялись следующие методы – анализ, синтез, дедукция, сравнение, выдвижение и проверка гипотез.
Результаты исследования и их обсуждение.
Подготовительный этап исследования. В ходе компьютерно-технического исследования важной задачей, ставящейся перед экспертом, является обеспечение сохранности криминалистически значимой компьютерной информации в неизменном виде. В связи с чем, прежде чем приступить к исследованию содержимого объектов, необходимо произвести ряд подготовительных действий: сфотографировать объекты исследования [5, c.44], создать их образ содержимого, выполнить «монтирование» созданных образов и т.д. [3, c.107].
Получение доступа к данным, содержащимся в RAID 5. На данном этапе исследования представлен алгоритм определения последовательности накопителей при записи на них информации и уровня RAID на примере следующих объектов исследования: три накопителя на жестких магнитных дисках (далее – НЖМД №5.1, НЖМД №5.2, НЖМД №5.3).
В ходе проведения исследования было проанализировано содержимое предоставленных НЖМД в шестнадцатеричном формате. В результате анализа было выявлено, что у НЖМД №5.1 на смещении «45430380» содержится метка «R.A.I.D.5» («52004100490044003500»), в то время как на нулевом смещении данных обнаружено не было (рис. 1).
На НЖМД №5.2 на смещении «00000000» были обнаружены данные, свидетельствующие о том, что объект является не первоочередным накопителем информации при записи данных (как правило, имеют представление в виде символов «€..€..€» либо «h.h.h»). Метка «R.A.I.D.» отсутствует (рис. 2).
Рис.1. Данные, обнаруженные на НЖМД №5.1 (на смещениях «00000000» и «45430380»)
Рис.2. Данные, обнаруженные на НЖМД №5.2 (на смещении «00000000»)
Рис.3. Данные, обнаруженные на НЖМД №5.3 (на смещениях «00000000» и «45430380»)
При исследовании НЖМД №5.3 на смещении «00000000» были также обнаружены данные, свидетельствующие о том, что накопитель информации является не первоочередным при записи данных (представлены в виде символов «€..€..€»). Метка «R.A.I.D.5» была найдена на смещении «45430380» (рис. 3).
На основе полученных данных было установлено, что НЖМД №5.1 имеет первый порядковый номер при записи информации, НЖМД №5.2 является вторым в последовательности записи информации, НЖМД №5.3 имеет третий порядковый номер.
Далее, выбрав объекты исследования с соблюдением установленного порядка и указав такие параметры как начальный сектор «135168», уровень RAID – RAID 5 и размер страйпа – 512 КБ, распределение четности – «левое, симметричное», с помощью программных средств «UFS Explorer Professional Recovery», «R-studio», «PC-3000 Data Extractor UDMA RAID Edition» был получен доступ к файловой системе (ext 4) собранного массива. Отметим, что исследуемый RAID был создан посредством использования возможностей операционной системы Linux, в связи с чем, для получения доступа к пользовательским файлам необходимо перейти по пути «home-usr-рабочий стол». Сравнительным анализом данных, записанных в RAID 5 и полученных в результате объединения НЖМД в массив, было выявлено, что был получен доступ ко всей пользовательской информации: каталоги: «Дети зоопарк», «Дипломы, сертификаты», файл «Purple документы.png», «конференция-конструктор.docx», «Конференция.pdf».
Обратим внимание, что не исключены ситуации, когда в результате утери или повреждения накопителей информации, на исследование предоставляется лишь часть RAID. Так как в технологии хранения и записи информации RAID 5 используются блоки четности, содержащие контрольные суммы записанных блоков данных [4, c.426], возможно восстановление данных при отсутствии одного из накопителей информации.
Для сбора массива RAID 5 с помощью программных средств «UFS Explorer Professional Recovery», «PC-3000 Data Extractor UDMA RAID Edition» минимальное количество накопителей информации должно ровнять трем, в связи с чем, необходима замена отсутствующего объекта. Это возможно путем добавления «пустого» накопителя информации либо путем дублирования одного из присутствующих накопителей информации. Отметим, что в результате исследования, было выявлено, что получение доступа к данным возможно при условии наличия первых двух в последовательности записи накопителей информации. Так, например, при наличии НЖМД №5.1 и №5.2 для восстановления данных в пункте меню «Построить RAID», выберем НЖМД №5.1, НЖМД №5.2 и продублируем НЖМД №5.2. Анализ восстановленных данных показал, что при отсутствии третьего в очередности записи информации накопителя, был получен доступ к содержимому всех ранее записанных файлов и каталогов.
Акцентируем внимание, что при восстановлении данных в условиях отсутствия одного из накопителей информации, соблюдение очередности при выборе накопителей оказывает существенное влияние на результативность. Так, при отсутствии НЖМД №5.3 при объединении накопителей информации в следующем порядке: НЖМД №5.1, НЖМД №5.1, НЖМД №5.2, также была восстановлена структура всех файлов и каталогов. Однако часть файлов отображалась некорректно: при восстановлении файла «Purple документы.png» было изменено содержимое, а также была нарушена четкость изображения (рис. 4).
Рис.4. Файл «Purple документы.png», восстановленный в результате сбора RAID 5 из а) НЖМД №5.1, НЖМД №5.2, НЖМД №5.2; б) НЖМД №5.1, НЖМД №5.1, НЖМД №5.2
Алгоритм определения криминалистически значимых параметров в RAID 5
|
Тип массива |
RAID 5 |
|
Краткая характеристика |
Файл делится на блоки данных (страйпы), которые параллельно записываются на накопители информации. Для повышения надежности используется запись контрольных сумм. Минимальное количество накопителей информации – 3. |
|
Метка «R.A.I.D» |
На первом (в последовательности записи) накопителе информации (НЖМД №5.1) содержится метка «R.A.I.D». На нулевом смещении информация отсутствует. На втором накопителе информации метка «R.A.I.D» отсутствует (НЖМД №5.2). На нулевом смещении содержится информация (как правило, в виде символов «€..€..€» либо «h.h.h»). На третьем накопителе информации (НЖМД №5.3) содержится метка «R.A.I.D». На нулевом смещении содержится информация (как правило, в виде символов «€..€..€» либо «h.h.h»). |
|
Результаты восстановления данных при наличии всех составляющих RAID |
C помощью специализированных программных средств восстановлены все пользовательские файлы и каталоги. |
|
Результаты восстановления данных при наличии части RAID |
При наличии первого и второго в последовательности записи информации накопителя с помощью «UFS Explorer Professional Recovery» и «PC-3000 Data Extractor UDMA RAID Edition» восстановлены все пользовательские файлы и каталоги при условии соблюдения их последовательности. При наличии первого и второго накопителя информации при несоблюдении их последовательности была восставлена структура всех файлов и каталогов, однако содержимое файлов было видоизменено. |
Обобщая итоги исследования НЖМД №5.1, НЖМД №5.2, НЖМД №5.3, являющихся составными частями RAID 5, отметим, что в связи с используемой технологией записи информации, представляется возможным получить доступ к данным, в том числе и при отсутствии одного из накопителей информации (при условии наличия первых двух в очередности записи информации накопителей). Путем исследования данных каждого составляющего массива в шестнадцатеричном формате, представилось возможным определить последовательность устройств при записи на них информации и уровень RAID. Основные результаты исследования НЖМД №5.1, НЖМД №5.2, НЖМД №5.3, являющихся составными частями RAID 5, представлены в таблице.
Заключение
В результате проведенного исследования были изучены практические аспекты, связанные с получением доступа к данным, содержащимся на накопителях на жёстких магнитных дисках, объединенных RAID 5, а именно, с учетом особенностей уровня RAID был разработан алгоритм определения таких криминалистически значимых параметров как последовательность накопителей при записи на них информации и уровень RAID.