File System Forensic Analysis 这本书的网站:http://www.digital-evidence.org/fsfa/
Preface:
1. 本书主要目标:描述数据如何在硬盘(disk)上存储,介绍管理这些数据所用到的各个层次的数据结构及它们之间的的同步。
(describe how data are stored on disk and the various data structures that need to be in sync for you to view it.)
由于这本书的应用背景是数字取证(digital forensics)领域,所以另一个主题是描述在哪里寻找数字证据
(and describe where and how digital evidence can be found.)
2. 这本书的读者定位是:想了解基本概念和理论的新手
(new to this field, interested in learning the general theory)
Chapter 1 Digital Investigation Foundations
1. 本书把存储系统(storage system)看成如下的层次结构
其中加粗的 “卷(volume)” 和 “文件系统(file system)” 两部分是本书讨论的主要内容,而从存储设备上讲,本书主要讨论具有非易失性(non-volatile)的硬盘。
2. 数字数据(digital data),本身是0、1序列,看不出信息;而人为的以设计好的数据结构去解析它,就会得到有用的信息。
(When analyzing digital data, we are looking at an object that has been designed by people.)
3. 卷是一种逻辑上的表示,从卷这一层出发,可以把物理上的多个硬盘组装(assembly)为一个卷,或把一个卷分区(partition)为多个卷。
(there are two major concepts in this layer. One is partitioning, where we divide a single volume into multiple smaller volumes, and the other is assembly, where we combine multiple volumes into one larger volume.)
4. 进入每个卷内,就到了更加抽象的一层,最常见的是一个文件系统。
(Inside each volume can be any type of data, but the most common contents are file systems.
A collection of data structures that allow an application to create, read, and write files.)
觉得作者是以用户观点描述了文件系统,翻了翻操作系统的课本,有如下表述:
一般来讲,文件系统应具备以下功能:文件与目录管理、文件存储空间管理、文件的共享和保护、用户接口
5.进入文件系统,其中用户文件的内容,需要根据具体的文件类型来分析。
(The structure of each file is based on the application or OS that created the file.)
6. 这一自底向上的数据提取过程,可以表示为这张图
