超级会员免费看
数字取证与事件响应中的存储、证据获取及框架
1. 存储系统基础
在计算机系统中,存储是数据的重要载体。非易失性存储介质能够在断电后依然保存数据,常见的有不同类型的硬盘驱动器(HDD),像机械硬盘、固态PATA和SATA驱动器,还有闪存驱动器和存储卡等。较新的存储设备,如固态硬盘(SSD),采用一种名为NAND闪存的特殊闪存来存储数据。这种闪存比传统机械驱动器速度更快、更耐用,因为它没有移动部件,但目前成本仍然较高。
数据在存储时,最小的分配单位被称为簇,簇中可能存在未使用的空间,即松弛空间,数据可以隐藏在其中。数据本身有不同的状态,包括静止、传输和使用中。无论数据处于何种状态,都会有关于数据本身的一些信息,即元数据。
用户或操作系统访问的数据会临时存储在易失性内存(RAM)中。虽然数据可以在非易失性内存中长时间存储,但当易失性内存(RAM)的电荷消失时,数据也会丢失。硬盘上有一个名为分页文件的区域可以充当虚拟RAM,让计算机认为它拥有比实际安装更多的RAM。
笔记本电脑也使用DDR RAM,但采用更紧凑的小外形双列直插式内存模块(SODIMM)。操作系统可以将硬盘的一部分用作RAM的扩展,即虚拟内存。对于内存有限的计算机或笔记本电脑来说,这是个不错的选择。虽然硬盘比RAM慢得多,但硬盘上的交换文件或分页文件可以存储访问频率较低的文件和程序,使RAM可用于存储频繁访问的数据。这个过程涉及操作系统交换不常用的数据页,并将数据移动到硬盘上的专用分页文件区域。
在法医调查中,分页文件非常重要。它虽然不像RAM那样易失(因为存储在硬盘上),但在Windows中是一个隐藏文件,名为pagefile.sys。应该使用合适的工具对其进行检查,因为该文件可能
订阅专栏 解锁全文
扫一扫
57
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
