File Carving og Data Recovery

Processen med at hente utilgængelige, formaterede eller beskadigede eller beskadigede data fra et lagringsmedium, når det ikke er tilgængeligt via normale metoder kaldes Datagendannelse. Information hentes typisk fra lagringsmedier; for eksempel interne og eksterne harddiske (HDD'er); solid-state-drev (SSD'er); flashdrev; magnetisk lagring, såsom cd'er og dvd'er; RAID-undersystemer; og andre elektroniske gadgets. Gendannelse kan være påkrævet på grund af fysisk skade på lagerenheder eller legitim skade på filsystemet, hvilket forhindrer systemet i at blive monteret af værtsarbejdsoperativsystemet (OS). Et endeligt mål er at duplikere alle grundlæggende poster fra de skadede medier til et nyt drev. Det er muligt at tage en sikkerhedskopi af information hurtigt ved hjælp af en Live CD eller DVD, idet du starter legitimt fra ROM, snarere end at bruge det beskadigede drev eller enheden til at hente oplysninger fra systemet.

Live cd'er eller dvd'er tilbyder en måde at starte systemdrevet på, såvel som det flytbare eller faste mediedrev, så du kan bruge filadministratoren eller softwaren til at indlæse filen. En diskserver kan ødelægge disse sager og gemme værdifulde eller proprietære datafiler i separate rum i OS-filerne.

Fil udskæring er en procedure, der anvendes i pc-kriminalitetsundersøgelse for at udtrække oplysninger fra en harddisk eller andre lagerenheder uden hjælp fra filsystemtabellen, der oprindeligt oprettede den originale fil. File Carving er en strategi, der antager kontrol over dokumenter i ikke-allokeret rum uden data og bruges til at gendanne information for at spille en computeriseret klinisk undersøgelse. Denne proces blev oprindeligt kaldt "design", som er en generel betegnelse for fjernelse af organiseret information fra rå information i lyset af de særlige attributter for organisationsmønsteret for den lagrede information.

En retsmedicinsk metode, der gendanner dokumenter, afhænger af filernes struktur og indhold uden de relevante filsystemmetadata. Filudskæring giver dig mulighed for at gendanne filer fra ikke-allokeret plads i ethvert drev. Det område af drevet, der er angivet med filsystemstrukturen (filtabel), der ikke indeholder nogen filsystemoplysninger, kaldes ikke-allokeret plads.

Manglende eller beskadigede filsystemstrukturer kan påvirke hele drevet. Kort sagt, mange filsystemer sletter ikke data, når de slettes. I stedet fjerner det simpelthen viden om, hvor det kommer fra. Scanning af rå bytes og ordning af dem er den grundlæggende proces med File Carving. Denne proces udføres af undersøge overskriften (første byte) og sidefod (sidste byte) af en fil.

Filudskæring er en fremragende måde at gendanne filer og filfragmenter på, når tekst er beskadiget eller mangler. Det bruges ofte af fagfolk i fejlfinding til at genoverveje beviset. Et eksempel på forbuddet og evnen til at evakuere medier opstod, da oplysningerne blev fjernet fra Osama Bin Ladens lejre under angrebet af US Seals Navy. Forensics Investigators brugte filgendannelsesmetoder til at gendanne data fra de drev og systemer, der blev brugt i lejrene.

Oversigt over filsystemer

EN filsystem is en type database, der bruges til lagring, opdatering og hentning af filer eller flere antal filer. Det er en måde, hvorpå filer arkiveres logisk og navngives til arkivering og gendannelse. Der er forskellige typer filsystemer nævnt nedenfor:

Windows-filsystem: Microsoft Windows bruger kun to typer FAT og NTFS.

• FED, hvilket betyder 'filallokeringstabel', er den enkleste type filsystem, der indeholder en opstartssektor, en filallokeringstabel og en simpel lagerplads til lagring af filer og mapper. For nylig kom FAT i FAT16, FAT12 og FAT32. FAT32 er kompatibel med Windows-baserede lagerenheder. Windows kan ikke oprette et FAT32-filsystem med en fil større end 32 GB.
• NTFS, forkortelse af "New Technology File System" er nu et standardfilsystem til filer større end 32 GB. Kryptering og adgangskontrol er nogle af de vigtigste egenskaber ved dette filsystem.

Linux-filsystem: Linux er et meget brugt open source-operativsystem og blev udviklet til test og udvikling. Dette operativsystem var beregnet til at bruge forskellige filsystemkoncepter. I Linux er der flere typer filsystemer.

• Ext2, Ext3, Ext4 - Dette er det lokale eller standard Linux-filsystem. Rødfilsystemet er generelt mcapped til hele Linux-distributionen. Ext3-filsystemet er en fremragende opdatering af det tidligere anvendte Ext2-filsystem; det bruger transaktionsfilen til at skrive.  Ext4 er en udvidelsesfil, der understøtter Ext3-information og filtilskrivning.
• ReiserFS - Filsystemproblemet løses ved at gemme mange små filer på én gang. Filhåndtereren griner godt, og tilladelsen til den kompatible fil, lagring af filkoden, filen indeholder metadata i tilstanden til ikke at bruge det store filsystem på grund af dets størrelse.
•  XFS - XFS-filsystemet fungerer godt og bruges i vid udstrækning til arkivering af filer. Denne filsystemtype er populær på IRIX-servere.
• JFS - IBM udviklede dette filsystem, og det er blevet et filsystem, der bruges på næsten alle Linux-distributioner

macOS-filsystem: Apple Macintosh-operativsystemet bruger kun HFS + filsystem uden HFS filsystemudvidelse. MacOS, iPhones, iPads og alle andre Apple-produkter bruger HFS + filsystem. Nogle Apple Server-produkter bruger Hscan-filsystemet. Dette berømte filsystem holder styr på oplysninger relateret til mappevisning, windows placering osv.

Fil udskæring teknikker

Under den digitale undersøgelse er det nødvendigt at analysere de forskellige typer medier. Gældende information kan findes på flere lagerenheder og i pc-hukommelsen. Forskellige typer information kan blive opdelt, f.eks. E-mail, elektroniske rapporter, rammelogfiler og medieoptegnelser. Filudskæring er en gendannelsesteknik, hvor kun indholdet og strukturen i filen betragtes i stedet for filmetadata, der bruges til organisering af data på lagringsmediet.

Nedenfor er nogle filhugstterminologier, du skal huske:

• Blok - Den mindste størrelse af dataenheder, der kan skrives til lagring
• Header - Udgangspunktet for filen.
• Sidefod - De sidste bytes i filen.
• Fragment - En eller flere blokke tilhører en enkelt fil.
• Base-fragment - Første fragment af filbeholder, filens overskrift.
• Fragmenteringspunkt - Den sidste blok lige før fragmentering finder sted. Flere fragmenter i enhver fil resulterer i flere fragmenteringspunkter.

De øverste universelle universelle filudskæringsteknikker er som følger:

• Sidehovedfodteknik (eller sidehoved - "maksimal filstørrelse") - Den grundlæggende strategi her er at skære filer baseret på titel og håndskrift eller samlede filer.

1. JPG- eller JPEG-udvidelsesfiler - “\ XFF \ xD8” og “\ xFF \ xD9.”
2. GIF - med titlen "\ x47 \ x49 \ x46 \ x38 \ x37 \ x61" og "\ x00 \ x3B" sidefod.
3. PST: “! BDN ”overskrift uden bundfod.
4. Hvis filsystemet ikke har en base, det maksimale antal filer, der bruges i udskæringsprogrammet.

• Filstrukturbaseret udskæring

1. Filens interne layout bruges som en grundlæggende teknik.
2. Sidehoved, sidefod, ID-strenge og størrelsesinformation er grundlæggende elementer.

• Indholdsbaseret udskæring

Indholdsstrukturen er gratis (MBOX, HTML, XML)

• Materialets egenskaber

1. Tæl tegn
2. Tekst / sproggenkendelse
3. Sort og hvid dataliste
4. Informationsentropi
5. Statistiske egenskaber (Chi²)

Udskæring af en fil (uden brug af værktøj)

Dernæst vil vi se, hvordan man udskærer en .jpeg-fil uden brug af et værktøj. Først skal vi kende strukturen på .jpeg-fil (sidehoved og sidefod osv.). For at gøre dette åbner vi en .jpeg-billede i Hex redaktør for at undersøge, hvad header og sidefod af .jpeg-fil ser ud.

Her fandt vi filoverskriften ( FFD8FFE0). For at finde sidefoden undersøger vi de sidste bytes i filen.

Her har vi filfoden eller traileren (FFD9).

Hvis du har et dokument med et billede i det, kan du skære billedet ved at kende dets overskrift og sidefod.

Nu har vi en ordfil med et billede i den. Vi udskærer billedet ved hjælp af denne teknik.

Den første ting, vi skal gøre, er at åbne dette orddokument med Hex redaktør ved at klikke Fil >> Åbn.

Her kan vi se en figur, der viser ordfilens data i hexadecimal form. Som vi allerede ved, er .jpeg-filen har en overskriftsværdi på FFD8FFE0, så vi vil søge efter filoverskriften ved at trykke på Ctrl + F eller Søg >> File og indtastning af den kendte headerværdi (valg af datatype med hex-værdi er meget vigtigt i dette trin).

Vi finder en signaturværdi ved forskydning 14FD.

Derefter skal vi søge efter en sidefod eller trailer. Vi ved, at .jpeg-filen har en sidefodsværdi på FFD9, så vi søger efter filfoden ved at trykke på Ctrl + F eller Søg >> File og indtastning af den kendte sidefodværdi (valg af datatype med hex-værdi er meget vigtigt.

Vi finder en sidefodsværdi ved forskydning 2ADB.

I øjeblikket har vi sidehovedet og sidefoden af ​​et jpeg-dokument, og som vi for nylig sagde, er det mellem header og sidefod informationen om en jpeg-post. Her duplikerer vi hele informationens firkant med sidehoved og sidefod og gemmer det som en anden fil.

Gå til REDIGER >> Vælg Bloker og indtast begge følgende vilkår:

Fil header forskydning: 14FD

Offset på filfod:  2ADB

Efter indtastning af disse værdier, hele .jpeg-filen markeres med blåt. For at gemme den som en dfil, skal du kopiere den ved at højreklikke og vælge Kopi, eller ved at trykke på Ctrl + C. Derefter indsætter vi oplysningerne i en ny fil. En dialogboks vises, og vi klikker Okay. Nu er vi klar til at gemme filen ved at klikke på Fil >> Gem som eller trykke på Ctrl + S. Hvis du åbner denne kopierede fil, vil du se det samme billede som i det originale dokument. Dette er den grundlæggende teknik til udskæring af mediefiler.

Data Carving Tools

Værktøjer til datagendannelse spiller en vigtig rolle i de fleste retsmedicinske efterforskninger, da smarte angribere altid forsøger at slette bevis for deres forbrydelser. Nedenfor er nogle vigtige værktøjer til datagendannelse i Linux og Windows.

• Frem for alt (filudskæringsværktøj)

Sådan gendannes filer, der går tabt på grund af deres interne datastrukturer, headere og sidefødder, først og fremmest, Kan bruges. Først og fremmest tager input input i forskellige billedformater, såsom AFF eller råformater, som kan genereres ved hjælp af en række forskellige værktøjer, såsom FTK Imager, DD, encase osv.  Du kan navigere til først og fremmest hjælpesiden for at lære og udforske dens kraftfulde kommandoer ved hjælp af følgende kommando:

[email protected]: ~ $ fremst -h Gendan filer fra et diskbillede baseret på filtyper, der er specificeret af
bruger ved hjælp af -t-kontakten.
jpg Support til JFIF- og Exif-formaterne, inklusive implementeringer
bruges i moderne digitale kameraer.
gif
png
bmp Support til Windows bmp-format.
avi
exe Support til Windows PE-binære filer udpakker DLL- og EXE-filer
sammen med deres kompileringstider.
mpg Understøttelse af de fleste MPEG-filer (skal begynde med 0x000001BA)
wav
riff Dette ekstraherer AVI og RIFF, da de bruger den samme fil til‐
mat (RIFF). note hurtigere end at køre hver for sig.
wmv Note kan også udtrække wma-filer, da de har et lignende format.
ole Dette griber enhver fil ved hjælp af OLE-filstrukturen. Det her
inkluderer PowerPoint, Word, Excel, Access og StarWriter
doc Bemærk, at det er mere effektivt at køre OLE, efterhånden som du får mere ud af det
din sorteper. Hvis du vil ignorere alle andre OLE-filer, skal du bruge
det her.
zip Bemærk, at det udtrækkes .jar-filer også, fordi de bruger et lignende
format. Open Office-dokumenter er bare zip-XML-filer, så de
ekstraheres også. Disse inkluderer SXW, SXC, SXI og SX? til
ubestemte OpenOffice-filer. Office 2007-filer er også XML
baseret (PPTX, DOCX, XLSX)
rar
htm
cpp C kildekodedetektion, bemærk, at dette er primitivt og kan generere
andre dokumenter end C-kode.
mp4 Understøttelse af MP4-filer.
alle Kør alle foruddefinerede ekstraktionsmetoder. [Standard, hvis ikke -t er
specificeret]

• BinWalk

BinWalk bruges til at styre binære biblioteker og udtrække vigtige data fra firmwarebilleder. Dette værktøj er fantastisk til dem, der ved, hvordan man bruger det. BinWalk betragtes som et af de bedste tilgængelige værktøjer til reverse engineering og udpakning af firmwarebilleder. BinWalk er nem at bruge og leveres med enorme muligheder. Du kan navigere til binwalks hjælpeside for at lære mere ved hjælp af følgende kommando:

[email protected]: ~ $ binwalk --help Signatur Scanningsindstillinger:
-B, --signature Scan målfil (er) for almindelige filsignaturer
-R, --raw = Scan målfil (er) for den specificerede rækkefølge af bytes
-A, --opcodes Scan målfil (er) for almindelige eksekverbare opkodesignaturer
-m, --magic = Angiv en brugerdefineret magisk fil, der skal bruges
-b, --dumb Deaktiver nøgleord for smarte signaturer
-I, --invalid Vis resultater markeret som ugyldige
-x, --exclude = Ekskluder resultater, der matcher
-y, --include = Vis kun resultater, der matcher
Ekstraktionsmuligheder:
-e, --extract Uddrag automatisk kendte filtyper
-D, --dd = Uddrag signaturer, giv filerne en udvidelse af og udfør
-M, --matryoshka Rekursivt scanne udpakkede filer
-d, - dybde = Begræns matryoshka rekursionsdybde (standard: 8 niveauer dyb)
-C, --directory = Uddrag filer / mapper til et brugerdefineret bibliotek (standard: nuværende arbejdsmappe)
-j, - størrelse = Begræns størrelsen på hver udpakkede fil
-n, --count = Begræns antallet af udpakkede filer
-r, --rm Slet udskårne filer efter udpakning
-z, --carve Carve data fra filer, men udfør ikke ekstraktionsværktøjer
Entropi-analysemuligheder:
-E, --entropy Beregn filentropi
-F, --fast Brug hurtigere, men mindre detaljeret entropianalyse
-J, --Save Gem plot som en PNG
-Q, --negend Udelad forklaringen fra entropi-plotgrafen
-N, --nplot Generer ikke en entropi-plotgraf
-H, --høj = Indstil den stigende kant entropi udløsertærskel (standard: 0.95)
-L, --low = Indstil tærskelværdien for faldende kant entropi (standard: 0.85)
Binære forskelle muligheder:
-W, --hexdump Udfør en hexdump / diff af en fil eller filer
-G, --grøn Vis kun linjer, der indeholder byte, der er ens mellem alle filer
-i, --red Vis kun linjer, der indeholder byte, der er forskellige blandt alle filer
-U, --blue Vis kun linjer, der indeholder bytes, der er forskellige blandt nogle filer
-w, --terse Diff alle filer, men viser kun en hex-dump af den første fil
Indstillinger for rå kompression:
-X, --deflate Scan efter rå deflate kompressionsstrømme
-Z, --lzma Scan efter rå LZMA-komprimeringsstrømme
-P, - delvis Udfør en overfladisk, men hurtigere, scanning
-S, - stop Stop efter det første resultat
Generelle muligheder:
-l, --length = Antal bytes, der skal scannes
-o, --offset = Start scanning ved denne filoffset
-O, --base = Tilføj en base-adresse til alle trykte forskydninger
-K, --block = Indstil filblokstørrelse
-g, --swap = Vend hver n byte før scanning
-f, --log = Logresultater til fil
-c, --csv Logresultater til fil i CSV-format
-t, --term Formatér output, så det passer til terminalvinduet
-q, --quiet Undertryk output til stdout
-v, --verbose Aktiver verbose output
-h, --help Vis hjælpoutput
-a, --finclude = Scan kun filer, hvis navne matcher denne regex
-p, --fexclude = Scan ikke filer, hvis navne matcher denne regex
-s, --status = Aktiver statusserveren på den angivne port

Gendannelse af data fra formaterede diske

Værktøjer til datagendannelse skal vælges omhyggeligt for at gendanne oplysninger fra formaterede diske, USB-flashdrev og hukommelseskort. Værktøjer designet til at gennemføre forskellige aktiviteter kan give uventede resultater. Nedenfor ser vi på nogle af forskellene mellem forskellige datagendannelsesværktøjer til datakorrektion i formaterede drev.

Unformat

Den første fatale fejl, som mange computerbrugere laver, når de ved et uheld formaterer deres drev, er at finde, installere og bruge "uformaterede" værktøjer. Der er mange af disse værktøjer på markedet; nogle er kommercielle, og andre er gratis varer. Formålet med disse værktøjer er at genopbygge eller genskabe den forformaterede disk ved at gendanne filsystemet.

Selvom dette kan virke som en levedygtig tilgang til de uerfarne, kan det ende med at blive en større fejl end at miste filerne i første omgang. Formatering af disken skyller det originale filsystem og erstatter det i det mindste delvist, normalt i starten. Når du prøver at gendanne dit gamle filsystem, er det bedste, du kan få, en disk, der kan læses med nogle af dine filer. Alt kan ikke gendannes nøjagtigt som det var på denne måde, og de mest dyrebare filer kan blive kompromitteret med kun tilfældige prøver af de originale filer på disken. Når du tænker på "formatering" af et systemdrev, så glem det; i det mindste nogle systemfiler er væk. Selvom du kan starte operativsystemet, får du aldrig et stabilt system.

Fortryd sletning

Den anden fejl, som mange computerbrugere laver, er at bruge gendannelsesværktøjer. Selvom disse værktøjer findes og har en tendens til at udføre deres arbejde i god tro, er de ikke designet til at håndtere diske med et ekskluderet filsystem. Selv med nogle af de bedste gendannelsesværktøjer, såsom RS File Recovery, kan du slette flere filer, men det handler om det.

Partition Recovery

For at gendanne filer skal du kigge efter et partitionsgendannelsesværktøj som RS Partition Recovery. Dette værktøj er designet til at håndtere distribuerede, formaterede og beskadigede diske og kan scanne hele overfladen på en disk eller partition for at gendanne alt, hvad den kan finde. Selvom filsystemet er tomt eller slettet, kan dette værktøj gendanne mange typer filer, såsom dokumenter, billeder og videoer, gennem sin signaturfunktion. Men selvom segmenterede gendannelsesværktøjer er i topklasse til datagendannelse, er de normalt ret dyre. Hvis du kun vil gendanne en formateret disk, kan det være nyttigt at søge og gemme i stedet.

FAT og NTFS Recovery

Du kan spare op til 40% på omkostningerne ved Partition RS-gendannelse ved at vælge et værktøj, der kun gendanner FAT- eller NTFS-formaterede diske. Husk, at du bliver nødt til at købe et værktøj, der passer til det originale filsystem og ikke det, der er skrevet ovenfor. Hvis det originale drev er NTFS, skal du hente NTFS Recovery RS. Hvis det er FAT eller FAT32, skal du hente FAT Recovery RS. På denne måde får du de samme kvalitetsværktøjer, men du vil være begrænset til FAT- eller NTFS-formatering. Dette er det perfekte valg til et unikt job.

Carving Files (ved hjælp af et værktøj)

PhotoRec er en fantastisk software, der bruges til at skære filer og især jpeg- eller billedfiler (det er derfor, det hedder Photo Recovery). PhotoRec overser dokumentrammen og forfølger de grundlæggende oplysninger, så det fungerer uanset om dine mediers rekordramme er blevet alvorligt skadet eller omformateret. Fotorec er let tilgængelig på Windows-operativsystemer.

Som et eksempel gendanner vi billedfiler fra et 8 GB flashdrev ved hjælp af dette værktøj.

Først skal du køre PhotoRec.exe fil og start applikationen. Vi ser en skærm som denne:

Her viser vi alle partitioner. Vi vælger / K som vores ønskede mål, hvorfra data kan gendannes.

Vi kan se, hvilket filsystem denne partition bruger her, og der er fire muligheder i bunden.

Søg - Dette søger i den partition, der indeholder filer til gendannelse.
Muligheder - Bruges til mindre ændringer i indstillingerne.
Filopt - Bruges til at ændre de typer filer, der skal gendannes.
Afslut - Afslutter processen.

Vi vælger Filopt (Filindstillinger):

Dette giver os muligheder for at vælge de filer, vi vil gendanne fra den ønskede partition. Trykker på S fjerner markeringen af ​​alle indstillingerne. Vi vælger JPG-billeder, da vi kun vil gendanne billedfiler fra drevet. Dernæst vil vi trykke på B.

For at vælge Filsystem, gå tilbage til hovedindstillingerne og vælg Andet. Med hensyn til opsvingsmuligheder har vi to valg:

• komme sig fra hele partitionen
• opsving fra kun ikke-allokeret plads (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3 osv.). Ved hjælp af denne mulighed gendannes kun de filer, der er slettet.

Nu er alt, hvad vi skal gøre, at indstille det sted, hvor de slettede filer skal gendannes. Derefter starter gendannelsesprocessen og slutter efter at have taget noget tid.  Derefter ser vi efter de gendannede filer på det indstillede sted. De gendannede billedfiler vil være der.

Konklusion

Fil udskæring er et velkendt retsmedicinsk computerudtryk til beskrivelse af identificering af filtyper og fjernelse af dem fra ikke-underordnede klynger ved hjælp af filunderskrifter. En filsignatur, også kendt som et magisk tal, er en numerisk eller permanent tekstværdi, der bruges til at identificere filformatet. Udvinding af filer eller data er et udtryk, der anvendes inden for retsmedicinsk informatik. En edb retsmedicinsk undersøgelse er anskaffelse, verifikation, analyse og dokumentation af beviser indeholdt i et computersystem, et netværk af computere eller andre former for digitale medier. Uddrag af meningsfulde data fra rådata kaldes udskæring.

File Sculpting er identifikation og gendannelse af filer baseret på formatanalyse. I retsmedicinsk databehandling er skulpturering en nyttig måde at finde skjulte eller slettede filer på digitale medier. Filer kan skjules i områder som mistede klynger, ikke-allokerede klynger og afspilning af diske eller digitale medier. For at bruge denne ekstraktionsmetode skal en fil have en standard signatur kaldet a filhoved, i begyndelsen af ​​filen. For at få filoverskriften fortsætter gendannelsesværktøjet med at spørge, indtil det når sidefoden af ​​filen i slutningen af ​​filen. Dataene mellem overskrift og sidefod ekstraheres og analyseres for at sikre integritet. Flere skulpturmetoder bruges i dets algoritmer afhængigt af filtypen.

Moderne operativsystemer sletter ikke helt slettede filer uden brugertilladelse. Slettede filer kan gendannes gennem forskellige retsmedicinske værktøjer og taktikker, hvis de slettede filer ikke føjes til en anden fil. Beskadigede filer kan gendannes, hvis dataene ikke bliver beskadiget uden genkendelse.

Der er stor forskel mellem filgendannelse og filudskæring. Filgendannelse bruger oplysninger fra filsystemet; ved at bruge disse oplysninger kan flere filer gendannes. Hvis oplysningerne er forkerte, fungerer de ikke. Med fremkomsten af ​​filudskæringer har retshåndhævende, teknikere og retsmedicinere fundet et andet værktøj, der kan bruges til at gendanne slettede data. Selvom det ikke altid er perfekt og raffineret, kan værktøjer som Først skalpel, og Fotorec har gjort filrekreation lettere end nogensinde.