Phenquestions
Live CD или DVD предлагают способ загрузки системного диска, а также съемного или фиксированного носителя, что позволяет использовать файловый менеджер или программное обеспечение для загрузки файла. Дисковый сервер может повредить эти корпуса и хранить ценные или проприетарные файлы данных в отдельных отсеках в файлах ОС.
Файл Резьба - это процедура, используемая при исследовании места преступления на ПК для извлечения информации с жесткого диска или других запоминающих устройств без помощи таблицы файловой системы, которая изначально создала исходный файл. File Carving - это стратегия, которая предполагает контроль над документами в нераспределенном пространстве без данных и используется для восстановления информации для проведения компьютеризированного клинического обследования. Первоначально этот процесс назывался «проектирование», что является общим термином для удаления организованной информации из необработанной информации в свете конкретных атрибутов структуры организации хранимой информации.
Криминалистический метод восстановления документов зависит от структуры и содержимого файлов без соответствующих метаданных файловой системы. Вырезание файлов позволяет восстанавливать файлы из нераспределенного пространства на любом диске. Область диска, указанная структурой файловой системы (файловой таблицей), которая не содержит информации о файловой системе, называется нераспределенным пространством.
Отсутствующие или поврежденные структуры файловой системы могут повлиять на весь диск. Проще говоря, многие файловые системы не удаляют данные при их удалении. Вместо этого он просто исключает знание того, откуда он. Сканирование необработанных байтов и приведение их в порядок - основной процесс вырезания файлов. Этот процесс выполняется проверка заголовка (первые байты) и нижнего колонтитула (последние байты) файла.
Вырезание файлов - отличный способ восстановить файлы и фрагменты файлов, когда текст поврежден или отсутствует. Он часто используется профессионалами при поиске и устранении неисправностей для повторного изучения доказательств. Пример запрета и возможности эвакуировать СМИ произошел, когда информация была удалена из лагерей Усамы бен Ладена во время атаки ВМС США. Эксперты-криминалисты использовали методы восстановления файлов для восстановления данных с дисков и систем, используемых в лагерях.
Обзор файловых систем
А файловая система is тип базы данных, используемый для хранения, обновления и извлечения файлов или нескольких файлов. Это способ логического архивирования файлов и присвоения им имен для архивирования и восстановления. Ниже перечислены различные типы файловых систем:
Файловая система Windows: Microsoft Windows использует только два типа FAT и NTFS.
- ТОЛСТЫЙ, что означает «таблица размещения файлов», это простейший тип файловой системы, содержащий загрузочный сектор, таблицу размещения файлов и простое пространство для хранения файлов и папок. Недавно FAT вошел в FAT16, FAT12 и FAT32. FAT32 совместим с устройствами хранения на базе Windows. Windows не может создать файловую систему FAT32 с файлом размером более 32 ГБ.
- NTFS, аббревиатура «Файловая система новой технологии» теперь является файловой системой по умолчанию для файлов размером более 32 ГБ. Шифрование и контроль доступа - некоторые основные свойства этой файловой системы.
Файловая система Linux: Linux - это широко используемая операционная система с открытым исходным кодом, разработанная для тестирования и разработки. Эта ОС была предназначена для использования различных концепций файловой системы. В Linux существует несколько типов файловых систем.
- Ext2, Ext3, Ext4 - Это локальная файловая система Linux или файловая система по умолчанию. Корневая файловая система обычно используется для всего дистрибутива Linux. Файловая система Ext3 - отличное обновление ранее использовавшейся файловой системы Ext2; он использует операцию записи транзакционного файла. Ext4 - это файл расширения, который поддерживает информацию Ext3 и атрибуцию файлов.
- ReiserFS - Проблема с файловой системой решается одновременным сохранением большого количества небольших файлов. Есть хороший смех со стороны файлового менеджера, и разрешение совместимого файла, хранение кода файла, файл содержит метаданные в режиме, не использующем большую файловую систему из-за своего размера.
- XFS - Файловая система XFS хорошо работает и широко используется для архивирования файлов. Этот тип файловой системы популярен на серверах IRIX.
- JFS - IBM разработала эту файловую систему, и она стала файловой системой, которая используется почти во всех дистрибутивах Linux
Файловая система macOS: Операционная система Apple Macintosh использует только HFS + файловая система без расширения файловой системы HFS. MacOS, iPhone, iPad и все другие продукты Apple используют HFS + файловая система. Некоторые продукты Apple Server используют файловую систему Hscan. Эта известная файловая система отслеживает информацию, связанную с просмотром каталогов, расположением окон и т. Д.
Техники вырезания файлов
Во время цифрового расследования необходимо проанализировать различные типы медиа. Соответствующую информацию можно найти на нескольких устройствах хранения и в памяти ПК. Могут быть разбиты различные типы информации, например электронная почта, электронные отчеты, базовые журналы и медиа-записи. Вырезание файлов - это метод восстановления, при котором учитываются только содержимое и структура файла, а не метаданные файла, используемые при организации данных на носителе.
Ниже приведены некоторые термины резьбы по файлам, которые следует запомнить:
- Блокировать - Наименьший размер единиц данных, которые можно записать в хранилище
- Заголовок - Начальная точка файла.
- Нижний колонтитул - Последние байты файла.
- Фрагмент - Один или несколько блоков принадлежат одному файлу.
- База-фрагмент - Первый фрагмент файлового контейнера, заголовок файла.
- Точка фрагментации - Последний блок непосредственно перед фрагментацией. Наличие нескольких фрагментов в любом файле приводит к появлению нескольких точек фрагментации.
Высшие корпоративные универсальные техники резьбы по напильнику:
- Метод верхнего колонтитула (или заголовок - «максимальный размер файла») - Основная стратегия здесь - вырезать файлы на основе заголовка и почерка или всего файлов.
- Файлы расширений JPG или JPEG - «\ XFF \ xD8» и «\ xFF \ xD9».”
- Гифка - под заголовком «\ x47 \ x49 \ x46 \ x38 \ x37 \ x61» и нижний колонтитул «\ x00 \ x3B».
- Тихоокеанское стандартное время: «! BDN »заголовок без нижних колонтитулов.
- Если файловая система не имеет базы, максимальное количество файлов, используемых в программе карвинга.
- Карвинг на основе файловой структуры
- Внутренняя компоновка файла используется в качестве основного метода.
- Заголовок, нижний колонтитул, строки идентификатора и информация о размере являются основными элементами.
- Карвинг на основе контента
Структура контента бесплатная (MBOX, HTML, XML)
- Характеристики материала
- Подсчитать символы
- Распознавание текста / языка
- Черно-белый список данных
- Информационная энтропия
- Статистические характеристики (Chi2)
Вырезание файла (без использования каких-либо инструментов)
Далее мы увидим, как вырезать .jpeg файл без использования инструмента. Во-первых, нам нужно знать структуру .jpeg файл (верхний и нижний колонтитулы и т. д.). Для этого мы откроем .изображение в формате jpeg в Шестигранник редактор, чтобы проверить, что верхний и нижний колонтитулы .jpeg файл выглядит как.
Здесь мы нашли заголовок файла ( FFD8FFE0). Теперь, чтобы найти нижний колонтитул, мы проверим последние байты в файле.
Здесь у нас есть нижний колонтитул или трейлер файла (FFD9).
Если у вас есть документ с изображением, вы можете вырезать изображение, зная его верхний и нижний колонтитулы.
Теперь у нас есть текстовый файл с изображением в нем. Мы будем вырезать изображение в этой технике.
Первое, что нам нужно сделать, это открыть этот документ Word с Шестигранник редактор, нажав Файл >> Открыть.
Здесь мы можем увидеть рисунок, показывающий данные файла слов в шестнадцатеричной форме. Как мы уже знаем, .jpeg файл имеет значение заголовка FFD8FFE0, поэтому мы будем искать заголовок файла, нажав Ctrl + F или же Искать >> Файл и ввод известного значения заголовка (выбор типа данных шестнадцатеричного значения очень важен на этом этапе).
Найдем значение подписи в Offset 14FD.
Затем мы должны найти нижний колонтитул или трейлер. Мы знаем, что .jpeg файл имеет значение нижнего колонтитула FFD9, поэтому мы будем искать нижний колонтитул файла, нажав Ctrl + F или же Искать >> Файл и ввод известного значения нижнего колонтитула (выбор типа данных шестнадцатеричного значения очень важен.
Мы найдем значение нижнего колонтитула на смещении 2ADB.
В настоящее время у нас есть верхний и нижний колонтитулы документа jpeg, и, как мы недавно заявили, между верхним и нижним колонтитулами находится информация записи jpeg. Здесь мы дублируем весь квадрат информации с верхним и нижним колонтитулами и сохраняем его как другой файл.
Перейти к РЕДАКТИРОВАТЬ >> Выбрать блок и введите оба следующих условия:
Смещение заголовка файла: 14FD
Смещение нижнего колонтитула файла: 2ADB
После ввода этих значений весь .jpeg-файл будет отмечен синим. Чтобы сохранить его как файл dfile, скопируйте его, щелкнув правой кнопкой мыши и выбрав Копировать, или нажав Ctrl + C. Далее мы вставим информацию в новый файл. Появится диалоговое окно, и мы нажмем ОК. Теперь мы готовы сохранить файл, нажав Файл >> Сохранить как или нажатие Ctrl + S. Если вы откроете этот скопированный файл, вы увидите то же изображение, что и в исходном документе. Это основная техника вырезания медиафайлов.
Инструменты для вырезания данных
Инструменты восстановления данных играют важную роль в большинстве судебных расследований, поскольку умные злоумышленники всегда пытаются стереть доказательства своих преступлений. Ниже перечислены некоторые важные инструменты для восстановления данных в Linux а также Окна.
- Foremost (инструмент для резьбы напильником)
Для восстановления файлов, утерянных из-за их внутренних структур данных, верхних и нижних колонтитулов, самый главный, может быть использован. Foremost обычно принимает входные данные в различных форматах изображений, таких как AFF или необработанные форматы, которые можно сгенерировать с помощью различных инструментов, таких как FTK Imager, DD, encase и т. Д. Вы можете перейти на страницу справки foremost, чтобы узнать и изучить его мощные команды, используя следующую команду:
[email protected]: ~ $ foremost -h Восстанавливает файлы с образа диска на основе типов файлов, указанных впользователь, использующий переключатель -t.
jpg Поддержка форматов JFIF и Exif, включая реализации
используется в современных цифровых фотоаппаратах.
гифка
PNG
bmp Поддержка формата Windows BMP.
avi
exe Поддержка двоичных файлов Windows PE позволяет извлекать файлы DLL и EXE
вместе с их временем компиляции.
mpg Поддержка большинства файлов MPEG (должно начинаться с 0x000001BA)
wav
riff При этом будут извлечены AVI и RIFF, поскольку они используют один и тот же файл для
мат (RIFF). обратите внимание, быстрее, чем бегать каждый по отдельности.
wmv Note может также извлекать файлы wma, поскольку они имеют аналогичный формат.
ole Это захватит любой файл, используя файловую структуру OLE. Этот
включает PowerPoint, Word, Excel, Access и StarWriter
doc Обратите внимание, что более эффективно использовать OLE, поскольку
ваш доллар. Если вы хотите игнорировать все остальные файлы ole, используйте
это.
zip Обратите внимание, что он извлечет .jar, потому что они используют похожие
формат. Документы Open Office - это просто заархивированные XML-файлы, поэтому они
также добываются. К ним относятся SXW, SXC, SXI и SX? для
неопределенные файлы OpenOffice. Файлы Office 2007 также имеют формат XML
на основе (PPTX, DOCX, XLSX)
рар
htm
cpp обнаружение исходного кода C, обратите внимание, что это примитивно и может генерировать
документы кроме кода C.
mp4 Поддержка файлов MP4.
все Запустить все предопределенные методы извлечения. [По умолчанию, если нет -t
указано]
- BinWalk
BinWalk используется для управления бинарными библиотеками и извлечения важных данных из образов прошивки. Этот инструмент отлично подходит для тех, кто умеет им пользоваться. BinWalk считается одним из лучших инструментов для обратного проектирования и извлечения образов прошивки. BinWalk прост в использовании и обладает огромными возможностями. Вы можете перейти на страницу справки binwalk, чтобы узнать больше, используя следующую команду:
[электронная почта защищена]: ~ $ binwalk --help Параметры сканирования подписи:-B, --signature Сканировать целевой файл (ы) на предмет общих подписей файлов
-R, --raw = Сканировать целевой файл (ы) на указанную последовательность байтов
-A, --opcodes Сканировать целевой файл (ы) на наличие общих исполняемых сигнатур кодов операций
-m, --magic = Укажите настраиваемый волшебный файл для использования
-b, --dumb Отключить ключевые слова умной подписи
-I, --invalid Показать результаты, отмеченные как недопустимые
-x, --exclude = исключить результаты, соответствующие
-y, --include = Показывать только совпадающие результаты
Варианты извлечения:
-e, --extract Автоматически извлекать файлы известных типов
-D, --dd = Извлечь подписи, присвоить файлам расширение и выполнить
-M, --matryoshka Рекурсивно проверять извлеченные файлы
-d, --depth = Ограничить глубину рекурсии матрешки (по умолчанию: 8 уровней глубины)
-C, --directory = Извлечь файлы / папки в пользовательский каталог (по умолчанию: текущий рабочий каталог)
-j, --size = Ограничить размер каждого извлеченного файла
-n, --count = Ограничить количество извлекаемых файлов
-r, --rm Удалить вырезанные файлы после извлечения
-z, --carve Вырезать данные из файлов, но не запускать утилиты извлечения
Параметры энтропийного анализа:
-E, --entropy Вычислить энтропию файла
-F, --fast Использовать более быстрый, но менее подробный энтропийный анализ
-J, --save Сохранить график как PNG
-Q, --nlegend Пропустить легенду на графике энтропийного графика
-N, --nplot Не создавать график графика энтропии
-H, --high = Установить порог срабатывания энтропии нарастающего фронта (по умолчанию: 0.95)
-L, --low = Установить порог срабатывания энтропии спадающего фронта (по умолчанию: 0.85)
Параметры двоичного определения:
-W, --hexdump Выполнить шестнадцатеричный дамп / diff файла или файлов
-G, --green Показывать только строки, содержащие байты, одинаковые для всех файлов
-i, --red Показывать только строки, содержащие байты, различающиеся во всех файлах
-U, --blue Показывать только строки, содержащие байты, различающиеся в некоторых файлах
-w, --terse Различать все файлы, но отображать только шестнадцатеричный дамп первого файла
Параметры необработанного сжатия:
-X, --deflate Сканировать потоки необработанного сжатия с дефляцией
-Z, --lzma Сканировать необработанные потоки сжатия LZMA
-P, --partial Выполнить поверхностное, но более быстрое сканирование
-S, --stop Остановить после первого результата
Общие настройки:
-l, --length = количество байтов для сканирования
-o, --offset = Начать сканирование с этого смещения файла
-O, --base = Добавить базовый адрес ко всем напечатанным смещениям
-K, --block = Установить размер блока файла
-g, --swap = Обратить каждые n байтов перед сканированием
-f, --log = записывать результаты в файл
-c, --csv Записывать результаты в файл в формате CSV
-t, --term Форматировать вывод по размеру окна терминала
-q, --quiet Подавить вывод на стандартный вывод
-v, --verbose Включить подробный вывод
-h, --help Показать вывод справки
-a, --finclude = Проверять только файлы, имена которых соответствуют этому регулярному выражению
-p, --fexclude = Не сканировать файлы, имена которых соответствуют этому регулярному выражению
-s, --status = Включить сервер состояния на указанном порту
Восстановление данных с отформатированных дисков
Инструменты восстановления данных следует выбирать с осторожностью, чтобы восстановить информацию с отформатированных дисков, USB-накопителей и карт памяти. Инструменты, предназначенные для выполнения различных действий, могут дать неожиданные результаты. Ниже мы рассмотрим некоторые различия между различными инструментами восстановления данных для исправления данных на отформатированных дисках.
Неформатировать
Первая фатальная ошибка, которую делают многие пользователи компьютеров при случайном форматировании своих дисков, - это поиск, установка и использование «неформатированных» инструментов. На рынке много таких инструментов; некоторые из них являются коммерческими, а другие - бесплатными. Эти инструменты предназначены для восстановления или воссоздания предварительно отформатированного диска путем восстановления файловой системы.
Хотя это может показаться жизнеспособным подходом для неопытных, это может оказаться большой ошибкой, чем потеря файлов в первую очередь. Форматирование диска очищает исходную файловую систему, заменяя ее, по крайней мере частично, обычно в начале. Когда вы пытаетесь восстановить старую файловую систему, лучшее, что вы можете получить, - это диск, на котором читаются некоторые из ваших файлов. Все не может быть восстановлено точно так, как это было, и самые ценные файлы могут быть скомпрометированы, только случайные образцы исходных файлов на диске. Когда вы думаете о «форматировании» системного диска, забудьте об этом; по крайней мере, некоторые системные файлы исчезнут. Даже если вы можете загрузить операционную систему, вы никогда не получите стабильную систему.
Отменить удаление
Вторая ошибка, которую сделают многие пользователи компьютеров, - это использовать инструменты восстановления. Хотя эти инструменты существуют и, как правило, добросовестно выполняют свою работу, они не предназначены для работы с дисками с исключенной файловой системой. Даже с помощью некоторых из лучших инструментов восстановления, таких как RS File Recovery, вы можете удалить несколько файлов, но это все.
Восстановление раздела
Чтобы восстановить файлы, вам следует искать инструмент для восстановления разделов, например RS Partition Recovery. Этот инструмент, предназначенный для работы с распределенными, отформатированными и поврежденными дисками, может сканировать всю поверхность диска или раздела, чтобы восстановить все, что он может найти. Даже если файловая система пуста или удалена, этот инструмент может восстанавливать многие типы файлов, такие как документы, изображения и видео, с помощью функции подписи. Однако, хотя инструменты сегментированного восстановления являются первоклассными для восстановления данных, они обычно довольно дороги. Если вы хотите восстановить только отформатированный диск, вместо этого может быть полезно выполнить поиск и сохранить.
Восстановление FAT и NTFS
Вы можете сэкономить до 40% на стоимости восстановления Partition RS, выбрав инструмент, который восстанавливает только диски в формате FAT или NTFS. Помните, что вам нужно будет приобрести инструмент, который подходит для исходной файловой системы, а не для той, что написана выше. Если исходный диск NTFS, получите NTFS Recovery RS. Если это FAT или FAT32, получите FAT Recovery RS. Таким образом, вы получите инструменты того же качества, но будете ограничены форматированием FAT или NTFS. Это идеальный выбор для уникальной работы.
Файлы для вырезания (с помощью инструмента)
PhotoRec - отличное программное обеспечение, используемое для вырезания файлов и особенно файлов jpeg или изображений (поэтому оно называется Photo Recovery). PhotoRec игнорирует структуру документа и преследует основную информацию, поэтому он будет работать независимо от того, была ли структура записи вашего мультимедиа серьезно повреждена или переформатирована. Photorec легко доступен в операционных системах Windows.
В качестве примера восстановим файлы образов с флешки на 8 ГБ с помощью этого инструмента.
Сначала запустите PhotoRec.EXE файл и запустите приложение. Мы увидим такой экран:
Здесь у нас есть все разделы, показывающие. Мы выберем / К в качестве желаемой цели для восстановления данных.
Здесь мы можем увидеть, какую файловую систему использует этот раздел, и внизу есть четыре варианта.
Поиск - Это приведет к поиску раздела, содержащего файлы, для восстановления.
Параметры - Используется для незначительных изменений в опциях.
File Opt - Используется для изменения типов восстанавливаемых файлов.
Покидать - Выход из процесса.
Мы выберем File Opt (Параметры файла):
Это даст нам возможность выбрать файлы, которые мы хотим восстановить с нужного раздела. Нажатие S снимет отметку со всех опций. Мы выберем JPG картинки, поскольку мы хотим восстановить только файлы изображений с диска. Далее мы нажмем B.
Чтобы выбрать Файловая система, вернитесь к основным параметрам и выберите Другой. Что касается вариантов восстановления, у нас есть два варианта:
- оправиться от весь раздел
- восстановление от только нераспределенное пространство (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3 и т. Д.). Используя эту опцию, будут восстановлены только те файлы, которые были удалены.
Теперь все, что нам нужно сделать, это указать место, где будут восстановлены удаленные файлы. После этого процесс восстановления начнется и закончится через некоторое время. Затем мы будем искать восстановленные файлы в указанном месте. Восстановленные файлы изображений будут там.
Заключение
Файл Резьба - это хорошо известный компьютерный термин, обозначающий определение типов файлов и их удаление из неподчиненных кластеров с помощью сигнатур файлов. Подпись файла, также известная как магическое число, представляет собой числовое или постоянное текстовое значение, используемое для идентификации формата файла. Добыча файлов или данных - это термин, используемый в области судебной информатики. Компьютеризированная судебно-медицинское расследование представляет собой сбор, проверку, анализ и документирование доказательств, содержащихся в компьютерной системе, сети компьютеров или других формах цифровых носителей. Извлечение значимых данных из необработанных данных называется резьба.
Создание файла идентификация и восстановление файлов на основе анализа формата. В криминалистике скульптинг - полезный способ найти скрытые или удаленные файлы на цифровых носителях. FFiles можно скрыть в таких областях, как потерянные кластеры, нераспределенные кластеры, а также при воспроизведении дисков или цифровых носителей. Чтобы использовать этот метод извлечения, файл должен иметь стандартную подпись, называемую заголовок файла, в начале файла. Чтобы получить заголовок файла, инструмент восстановления будет продолжать запрашивать, пока не достигнет нижнего колонтитула файла в конце файла. Данные между верхним и нижним колонтитулами извлекаются и анализируются для обеспечения целостности. В его алгоритмах используются несколько методов скульптинга, в зависимости от типа файла.
Современные операционные системы не удаляют полностью удаленные файлы без разрешения пользователя. Удаленные файлы можно восстановить с помощью различных криминалистических инструментов и тактик, если удаленные файлы не добавлены в другой файл. Поврежденные файлы можно восстановить, если данные не повреждены до неузнаваемости.
Существует большая разница между восстановлением файлов и вырезанием файлов. Восстановление файлов использует информацию из файловой системы; используя эту информацию, можно восстановить несколько файлов. Если информация неверна, не получится. С появлением вырезания файлов правоохранительные органы, технические специалисты и эксперты-криминалисты нашли еще один инструмент, который можно использовать для восстановления удаленных данных. Хотя он не всегда идеален и совершенен, такие инструменты, как Foremost, Скальпель, а также Photorec сделали воссоздание файлов проще, чем когда-либо.
