Filsystemer

Viden om filsystemer er meget vigtigt indenfor computer forensics. Mange forskellige typer videregående undersøgelser omfatter undersøgelser af f.eks. hvordan data opbevares på et system, hvordan data på et tidligere tidspunkt har været opbevaret på systemet, hvilken data kan gendannes efter at være slettet eller flyttet, eller undersøgelser af hvordan data med forskellige teknikker kan være skjult på et system.

Mange forensics undersøgelser foretages typisk med meget specialiserede programmer, men for at forstå hvad programmerne laver - og for at gå et skridt videre end programmerne - kræver undersøgelserne typisk omfattende viden om hvordan forskellige typer filsystemer virker. I mange tilfælde kan bevismateriale fra forensic undersøgelser af et filsystem således benyttes til at underbygge andre typer bevismateriale.

Viden om hvordan programmerne man benytter til at udføre ens undersøgelser virker, og om hvordan hackere potentielt kan forsøge at omgå programmerne, er også vigtig viden for enhver seriøs undersøger.

Jeg havde planlagt en længere tekst om filsystemer og forensics, men for nylig udgav Brian Carrier sin bog "File System Forensic Analysis", der gennemgår stort set alt nødvendig information om filsystemer. Så KØB DEN!

Kapitel 5
Kaptiel 5 fra bogen - PC-based partitions - kan læses gratis på Internettet.

Der er en række links her på siden til grundlæggende information om filsystemer, men Brian Carriers bog kan ikke anbefales nok.