Sektorlar deb ataladi
Download 119.78 Kb.
|
ntfs
|
Ma’lumotlarni fayl tizimlarining metama’lumotlar maydoniga yashirish steganografik fayl tizimining yaratilishi bilan boshlandi. Bu GNU/Linux operatsion tizimining ext2 fayl tizimiga asoslangan StegFS fayl tizimi edi. Bundan tashqari fayl tizimining ishlash faoliyatiga deyarli ta’sir ko‘rsatmaydigan juda ko‘p boshqa yashirin maydonlar mavjud. Ular yordamida konfidensial ma’lumotlarni berkitish va mazmuni himoyalash mumkin. Eng ko‘p foydalaniladigan yashirin maydonlarga fayllarning foydalanilmaydigan maydonlari (File Slack) va ma’lumotlarning muqobil maydonlarini yaqqol misol bo‘la oladi. Unchalik taniqli bo‘lmagan maydonlarga fayl tizimining kelgusi kengayishlari uchun zahira maydonlari va vaqt belgilari ma’lumotlar tuzilmalari kiradi. Raqamli sud ekspertizasi nuqtai nazaridan ushbu maydonlar shubhali izlarni topishda hal qiluvchi rol vazifasini bajaradi. Quyida fayl tizimining ma’lumot yashirish mumkin bo‘lgan ba’zi bir maydonlarini ko‘rib o‘tsak: Ma’lumotlarni “nosoz” deb belgilangan klasterlarda (Bad clusters) yashirish. Qattiq diskda noto‘g‘ri yozilgan yoki o‘qiladigan, oddiy holatda kirish cheklangan sektorlar “nosoz” sektorlar deb ataladi. NTFS fayl tizimining Master File Table (MFT) qismida “nosoz” klasterlar ($Badclus) nomli ro‘yxat mavjud bo‘lib, bu ro‘yxatda diskdagi barcha buzilgan klasterlarning raqamlari yozilgan bo‘ladi. Shu ro‘yxat yordamida fayl tizimi ishlamaydigan klasterlarga murajaat qilib o‘tirmaydi. Yashirin hujjatlarni “nosoz” klasterlarga guruhlab, ma’lumotlarni yashirish uchun shu klasterlarning ko‘rsatkichlarini $Badclus ro‘yxatining bajariluvchi ma’lumotlari qatoriga qo‘shiladi. Bu usulda yashirilgan ma’lumotlarning hajmi cheklanmagan. Ma’lumotlarni yashirishning fayllarning qo‘shimcha klasterlari (Extra Cluster of Files) usuli. Bu usulda ma’lumotlarni yashirish fayllar uchun mo‘ljallangan qo‘shimcha klasterlardan foydalanish bilan bog‘liq. Tasavvur qilaylik, 10752 bitga ega bo‘lgan fayl berilgan bo‘lsin. NTFS fayl tizimi har biri 8 sektordan iborat 3 ta klasterni fayl uchun ajratadi. Lekin foydalanuvchi ma’lumotlarni yashirish maqsadida ko‘proq klasterlarni belgilashi mumkin. Bu maxfiy ma’lumotlarning hajmini yashirish bilan cheklanmaydi. Chunki shubhali ma’lumotlar foydalanuvchilarning ehtiyojlariga qarab fayllarning ortiqcha klasterlari qismi sifatida qaralishi mumkin. Ushbu ma’lumotlar yashirish usulining kamchiliklaridan biri bu saqlangan fayllar hajmini o‘zgartirish imkoniyatining yo‘qligidir. Fayllar hajmining ortishi bilan yashirin ma’lumotlar yo‘qoladi. Saqlanadigan fayllarning barqarorligi bu usulning eng asosiy talabidir. Bu usulni aniqlash Windows operatsion tizimning buyruqlar satrida “chkdsk” buyrug‘i yordamida amalga oshiriladi. Fayllarning foydalanilmaydigan maydonlarida (File Slack Space) ma’lumotlarni yashirish. Fayllarning foydalanilmaydigan maydonlari – bu ruxsat etilgan ma’lumotlar faylining oxirgi blogi va saqlash uchun ajratilgan maydonning oxiri orasidagi farq hisoblanadi. Windows operatsion tizimining fayl tizimlarida klasterlar fiksirlanagan hajmga ega. Odatda klasterlar 4KB, 8KB, 16KB, 32KB,64KB, 128KB hajmlarga ega bo‘ladi. Klaster hajmi aniqlanganidan so‘ng ma’lumotlarni o‘qish va yozish klaster bo‘yicha amalga oshiriladi. Misol uchun hajmi 32KB li klaster berilgan bo‘lsin. Fayl hajmi 15KB bo‘lsa tizim unga 32KB maydon ajratadi. 32KBli maydonning fayl egallagan real hajmi 15KBni tashkil etadi. Qolgan 17KB maydondan boshqa hujjatlar foydalana olmaydi. Bu maydon fayllarning foydalanilmaydigan maydonlari deb ataladi. Bu maydonlarning ikki xil turi mavjud: operativ xotiradagi foydalanilmaydigan maydonlar va qattiq diskdagi foydalanilmaydigan maydonlar. NTFS fayl tizimining foydalanilmaydigan maydonlariga yashirin ma’lumotlarni Slacker.exe dasturiy vositasida yoziladi. Ma’lumotlarning muqobil maydonlarida ma’lumotni yashirish (Alternate Data Stream, AltDS) usuli. Ma’lumotni muqobil maydonlarda yashirish NTFS fayl tizimining o‘ziga xos xususiyatlaridan biridir. Bu usulda fayl tizimini qayta tiklamasdan fayl mexanizmiga qo‘shimcha atribut yoki informatsiyani qo‘shish mumkin. Bu usulning ishonchlilik darajasi qolgan usullarga qaraganada past hisoblanadi. Chunki AltDS maydonli fayllar NTFS fayl tizimidan boshqa tizimga o‘tkazilganda fayllarning maydonlari avtomatik ravishda o‘chirib yuboriladi. Fayl tizimi asosida ma’lumotlarni yashirish uchun “fishy” tizimi natijalari yordamida hozirgi kunda eng ommabop fayl tizimlari bo‘lgan NTFS, FAT va ext4 lar uchun ma’lumotlarni yashirish usullarini tahlil qilish mumkin. Tahlil natijalari quidagi jadvalda berilgan. Jadvalda ✓ belgisi bilan belgilangan maydonlar tekshirish o‘tkazilgan usullarni, ✗belgisi bilan belgilangan maydonlar hali o‘rganish jarayoni kechayotganini va – belgisi bilan bu usul boshqa fayl tizimlarida mavjud emasligini bildirish uchun ishlatilgan. Bundan tashqari jadvalda yashirish usullarning hajmi, bardoshliligi va aniqlanish ehtimolliklari ham baholangan. Oxirgi ustunlardagi H, A va B harflari mos ravishda yashirish usuli hajmi, aniqlanish ehtimolligi hamda bardoshliligini tasvirlash uchun ishlatilgan (=past; =o‘rtacha, =yuqori).
Download 119.78 Kb. Do'stlaringiz bilan baham: 
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||