Phenquestions
Live CDer eller DVDer tilbyr en måte å starte systemstasjonen, i tillegg til den flyttbare eller faste mediestasjonen, slik at du kan bruke filbehandling eller programvare til å laste inn filen. En diskserver kan ødelegge disse sakene og lagre verdifulle eller proprietære datafiler i separate rom i OS-filene.
File Carving er en prosedyre som brukes i etterforskning av PC-åsted for å hente ut informasjon fra en harddisk eller andre lagringsenheter uten hjelp fra filsystemtabellen som opprinnelig opprettet den originale filen. File Carving er en strategi som forutsetter kontroll over dokumenter i ikke-tildelt rom uten data og brukes til å gjenopprette informasjon for å spille ut en datastyrt klinisk undersøkelse. Denne prosessen ble opprinnelig kalt "design", som er et generelt begrep for å fjerne organisert informasjon fra rå informasjon, i lys av de spesielle egenskapene til mønsteret for organisering av den lagrede informasjonen.
En rettsmedisinsk metode som henter inn dokumenter, er avhengig av strukturen og innholdet i filene uten passende filsystemmetadata. File carving lar deg gjenopprette filer fra ikke-tildelt plass i hvilken som helst stasjon. Området på stasjonen som er angitt av filsystemstrukturen (filtabellen) som ikke inneholder noen filsysteminformasjon, kalles ikke allokert plass.
Manglende eller ødelagte filsystemstrukturer kan påvirke hele stasjonen. Enkelt sagt, mange filsystemer sletter ikke data når de slettes. I stedet eliminerer det bare kunnskapen om hvor den er fra. Skanning av rå byte og ordning er den grunnleggende prosessen med File Carving. Denne prosessen utføres av undersøker topptekst (første byte) og bunntekst (siste byte) i en fil.
File carving er en utmerket måte å gjenopprette filer og filfragmenter når tekst er skadet eller mangler. Det brukes ofte av fagpersoner i feilsøking for å undersøke beviset på nytt. Et eksempel på forbudet og evnen til å evakuere media skjedde da informasjonen ble fjernet fra Osama Bin Ladens leirer under angrepet fra US Seals Navy. Forensics Investigators brukte filgjenopprettingsmetoder for å gjenopprette data fra stasjonene og systemene som ble brukt i leirene.
Oversikt over filsystemer
EN filsystem is en type database som brukes til å lagre, oppdatere og hente filer eller flere antall filer. Det er en måte som filer arkiveres logisk og er oppkalt etter arkivering og gjenoppretting. Det er forskjellige typer filsystemer nevnt nedenfor:
Windows-filsystem: Microsoft Windows bruker bare to typer FAT og NTFS.
- FETT, som betyr 'filallokeringstabell', er den enkleste typen filsystem som inneholder en oppstartssektor, en filallokeringstabell og en enkel lagringsplass for lagring av filer og mapper. Nylig kom FAT i FAT16, FAT12 og FAT32. FAT32 er kompatibel med Windows-baserte lagringsenheter. Windows kan ikke opprette et FAT32-filsystem med en fil større enn 32 GB.
- NTFS, forkortelse for "New Technology File System", er nå et standard filsystem for filer større enn 32 GB. Kryptering og tilgangskontroll er noen av hovedegenskapene til dette filsystemet.
Linux-filsystem: Linux er et mye brukt open source-operativsystem, og ble utviklet for testing og utvikling. Dette operativsystemet var ment å bruke forskjellige filsystemkonsepter. I Linux er det flere typer filsystemer.
- Ext2, Ext3, Ext4 - Dette er det lokale eller standard Linux-filsystemet. Rotfilsystemet er generelt avbildet til hele Linux-distribusjonen. Ext3-filsystemet er en utmerket oppdatering av det tidligere brukte Ext2-filsystemet; den bruker transaksjonsfilen til å skrive. Ext4 er en utvidelsesfil som støtter Ext3-informasjon og filtilskrivning.
- ReiserFS - Problemet med filsystemet løses ved å lagre mange små filer samtidig. Det er en god latter av filbehandleren, og tillatelsen til den kompatible filen, lagring av filkoden, filen inneholder metadata i modus for å ikke bruke det store filsystemet på grunn av størrelsen.
- XFS - XFS-filsystemet fungerer bra og brukes mye til arkivering av filer. Denne filsystemtypen er populær på IRIX-servere.
- JFS - IBM utviklet dette filsystemet, og det har blitt et filsystem som brukes på nesten alle Linux-distribusjoner
macOS filsystem: Apple Macintosh-operativsystemet bruker bare HFS + filsystem uten HFS-filtypen. MacOS, iPhones, iPads og alle andre Apple-produkter bruker HFS + filsystem. Noen Apple Server-produkter bruker Hscan-filsystemet. Dette anerkjente filsystemet holder oversikt over informasjon relatert til katalogvisning, vindusplassering osv.
File Carving Techniques
Under den digitale etterforskningen er det nødvendig å analysere de forskjellige mediatypene. Gjeldende informasjon finnes på flere lagringsenheter og i PC-minnet. Ulike typer informasjon kan brytes ned, for eksempel e-post, elektroniske rapporter, rammelogger og medieoppføringer. File carving er en gjenopprettingsteknikk der bare innholdet og strukturen til filen blir vurdert i stedet for filmetadata som brukes i organisering av data på lagringsmediet.
Nedenfor er noen terminologier for filhugging å huske:
- Blokkere - Den minste størrelsen på dataenheter som kan skrives til lagring
- Overskrift - Utgangspunktet for filen.
- Bunntekst - De siste byte i filen.
- Fragment - En eller flere blokker tilhører en enkelt fil.
- Base-fragment - Første fragment av filbeholder, overskriften til filen.
- Fragmenteringspunkt - Den siste blokken rett før fragmentering finner sted. Flere fragmenter i en hvilken som helst fil resulterer i flere fragmenteringspunkter.
De øverste universelle universelle filskjæringsteknikkene er som følger:
- Topptekststeknikk (eller topptekst - "maksimal filstørrelse") - Den grunnleggende strategien her er å hugge filer basert på tittel og håndskrift eller totale filer.
- JPG- eller JPEG-utvidelsesfiler - “\ XFF \ xD8” og “\ xFF \ xD9.”
- GIF - med tittelen "\ x47 \ x49 \ x46 \ x38 \ x37 \ x61" og "\ x00 \ x3B" bunntekst.
- PST: “! BDN ”overskrift uten bunntekst.
- Hvis filsystemet ikke har en base, maksimalt antall filer som brukes i utskjæringsprogrammet.
- Filstrukturbasert utskjæring
- Den interne utformingen av filen brukes som en grunnleggende teknikk.
- Topptekst, bunntekst, ID-strenger og størrelsesinformasjon er grunnleggende elementer.
- Innholdsbasert utskjæring
Innholdsstrukturen er gratis (MBOX, HTML, XML)
- Kjennetegn på materialet
- Telle tegn
- Tekst / språkgjenkjenning
- Svart-hvitt dataliste
- Informasjonsentropi
- Statistiske egenskaper (Chi2)
Carving en fil (uten å bruke noe verktøy)
Deretter vil vi se hvordan man skal skjære a .jpeg-fil uten å bruke et verktøy. Først må vi kjenne strukturen til .jpeg-fil (topp- og bunntekst osv.). For å gjøre dette åpner vi en .jpeg-bilde i Hex redaktør for å undersøke hva topptekst og bunntekst på .jpeg-filen ser ut.
Her fant vi filoverskriften ( FFD8FFE0). Nå, for å finne bunnteksten, vil vi undersøke de siste byte i filen.
Her har vi filbunnteksten eller traileren (FFD9).
Hvis du har et dokument med et bilde i, kan du skjære bildet ved å kjenne topptekst og bunntekst.
Nå har vi en ordfil med et bilde i. Vi vil skjære ut bildet ved hjelp av denne teknikken.
Det første vi trenger å gjøre er å åpne dette orddokumentet med Hex redaktør ved å klikke Fil >> Åpne.
Her kan vi se en figur som viser ordfilens data i heksadesimal form. Som vi allerede vet, .jpeg-filen har en topptekstverdi på FFD8FFE0, så vi vil søke etter filoverskriften ved å trykke på Ctrl + F eller Søk >> Fil og angi den kjente topptekstverdien (det er veldig viktig å velge datatype for hex-verdi i dette trinnet).
Vi finner en signaturverdi på Offset 14FD.
Deretter må vi søke etter en bunntekst eller tilhenger. Vi vet at den .jpeg-filen har en bunntekstverdi på FFD9, så vi vil søke etter filbunnteksten ved å trykke på Ctrl + F eller Søk >> Fil og legge inn den kjente bunntekstverdien (det er veldig viktig å velge datatype for hex-verdi.
Vi finner en bunntekstverdi ved Offset 2ADB.
For tiden har vi topptekst og bunntekst i et jpeg-dokument, og som vi nylig har uttalt, er mellom topp- og bunnteksten informasjonen til en jpeg-post. Her dupliserer vi hele informasjonen med topptekst og bunntekst og lagrer den som en annen fil.
Gå til REDIGER >> Velg Blokker og skriv inn begge følgende vilkår:
Offset for filhode: 14FD
Offset for filbunntekst: 2ADB
Etter å ha tastet inn disse verdiene, blir hele .jpeg-filen blir merket med blått. For å lagre den som en dfil, kopier den ved å høyreklikke og velge Kopiere, eller ved å trykke på Ctrl + C. Deretter vil vi lime inn informasjonen i en ny fil. En dialogboks vises, og vi klikker OK. Nå er vi klare til å lagre filen ved å klikke Fil >> Lagre som eller trykke på Ctrl + S. Hvis du åpner denne kopierte filen, vil du se det samme bildet som i originaldokumentet. Dette er den grunnleggende teknikken for utskjæring av mediefiler.
Data Carving Tools
Verktøy for datarekonstruksjon spiller en viktig rolle i de fleste rettsmedisinske etterforskninger, ettersom smarte angripere alltid prøver å slette bevis for deres forbrytelser. Nedenfor er noen viktige verktøy for datagjenoppretting i Linux og Windows.
- Fremst (arkivverktøy)
Å gjenopprette filer som går tapt på grunn av deres interne datastrukturer, topptekster og bunntekster, fremst, kan bli brukt. Fremst tar vanligvis innspill i forskjellige bildeformater, for eksempel AFF eller råformater, som kan genereres ved hjelp av en rekke verktøy, for eksempel FTK Imager, DD, encase, etc. Du kan navigere til fremste hjelpeside for å lære og utforske de kraftige kommandoene ved å bruke følgende kommando:
[e-postbeskyttet]: ~ $ fremst -h Gjenopprett filer fra et diskbilde basert på filtyper spesifisert avbruker bruker -t-bryteren.
jpg Støtte for JFIF- og Exif-format, inkludert implementeringer
brukt i moderne digitale kameraer.
gif
png
bmp Støtte for Windows bmp-format.
avi
exe Støtte for Windows PE-binærfiler vil trekke ut DLL- og EXE-filer
sammen med deres kompileringstider.
mpg Støtte for de fleste MPEG-filer (må begynne med 0x000001BA)
wav
riff Dette vil trekke ut AVI og RIFF siden de bruker den samme filen for‐
matte (RIFF). merk raskere enn å kjøre hver for seg.
wmv Note kan også trekke ut wma-filer da de har et lignende format.
ole Dette vil hente alle filer ved hjelp av OLE-filstrukturen. Dette
inkluderer PowerPoint, Word, Excel, Access og StarWriter
doc Merk at det er mer effektivt å kjøre OLE etter hvert som du blir mer bang for
pengene dine. Hvis du ønsker å ignorere alle andre OLE-filer, så bruk
dette.
zip Merk at den trekkes ut .jar-filer også fordi de bruker et lignende
format. Open Office-dokumenter er bare zip-XML-filer, så de
ekstraheres også. Disse inkluderer SXW, SXC, SXI og SX? til
ubestemte OpenOffice-filer. Office 2007-filer er også XML
basert (PPTX, DOCX, XLSX)
rar
htm
cpp C kildekodedeteksjon, merk at dette er primitivt og kan generere
andre dokumenter enn C-kode.
mp4 Støtte for MP4-filer.
alle Kjør alle forhåndsdefinerte utvinningsmetoder. [Standard hvis ikke -t er
spesifisert]
- BinWalk
BinWalk brukes til å administrere binære biblioteker og trekke ut viktige data fra firmwarebilder. Dette verktøyet er flott for de som vet hvordan de skal bruke det. BinWalk regnes som et av de beste verktøyene som er tilgjengelige for reverse engineering og utpakking av firmwarebilder. BinWalk er enkel å bruke og har enorme muligheter. Du kan navigere til binwalks hjelpeside for å lære mer ved hjelp av følgende kommando:
[e-postbeskyttet]: ~ $ binwalk --help Alternativer for signaturskanning:-B, --signature Skann målfil (er) for vanlige filsignaturer
-R, --raw = Skann målfil (er) for den spesifiserte bytesekvensen
-A, --opcodes Skann målfil (er) for vanlige kjørbare opkodesignaturer
-m, --magic = Angi en egendefinert magisk fil som skal brukes
-b, --dumb Deaktiver nøkkelord for smarte signaturer
-I, --invalid Vis resultatene merket som ugyldige
-x, --exclude = Ekskluder resultater som samsvarer
-y, --include = Vis bare resultater som samsvarer
Ekstraheringsalternativer:
-e, --extract Trekk automatisk ut kjente filtyper automatisk
-D, --dd = Pakk ut signaturer, gi filene en utvidelse av og kjør
-M, --matryoshka Skann rekursivt ekstraherte filer
-d, - dybde = Begrens matryoshka rekursjonsdybde (standard: 8 nivåer dyp)
-C, --katalog = Pakk ut filer / mapper til en tilpasset katalog (standard: nåværende arbeidskatalog)
-j, - størrelse = Begrens størrelsen på hver utpakkede fil
-n, --count = Begrens antall utpakkede filer
-r, --rm Slett utskårne filer etter ekstraksjon
-z, --carve Carve data fra filer, men ikke kjør utvinningsverktøy
Alternativer for entropianalyse:
-E, --entropy Beregn filentropi
-F, --fast Bruk raskere, men mindre detaljert, entropianalyse
-J, - lagre Lagre plot som en PNG
-Spørsmål, - legende Utelat legenden fra grafen for entropi-plot
-N, --nplot Ikke generer en entropi-graf
-H, --high = Angi den stigende grensen for entropi-utløser (standard: 0.95)
-L, --low = Angi terskelen for utløsende entropi for fallende kant (standard: 0.85)
Alternativer for binær diffing:
-W, --hexdump Utfør en hexdump / diff av en fil eller filer
-G, --grønt Vis bare linjer som inneholder byte som er like blant alle filene
-i, --red Vis bare linjer som inneholder byte som er forskjellige mellom alle filene
-U, --blue Vis bare linjer som inneholder byte som er forskjellige blant noen filer
-w, --terse Diff alle filer, men viser bare en hex-dump av den første filen
Alternativer for rå komprimering:
-X, --deflate Skann etter rå deflate kompresjonsstrømmer
-Z, --lzma Skann etter rå LZMA-kompresjonsstrømmer
-P, - delvis Utfør en overfladisk, men raskere, skanning
-S, - stopp Stop etter det første resultatet
Generelle alternativer:
-l, --lengde = Antall byte som skal skannes
-o, --offset = Start skanning ved denne filforskyvningen
-O, --base = Legg til en baseadresse til alle trykte forskyvninger
-K, --block = Angi filblokkstørrelse
-g, --swap = Omvend hvert n byte før skanning
-f, --log = Logg resultatene til filen
-c, --csv Logg resultatene til filen i CSV-format
-t, --term Format utgang slik at den passer til terminalvinduet
-q, --quiet Undertrykk utdata til stdout
-v, --verbose Aktiver verbose output
-h, --help Vis hjelp
-a, --finclude = Skann bare filer hvis navn samsvarer med denne regexen
-p, --fexclude = Ikke skann filer som har navn som samsvarer med denne regexen
-s, --status = Aktiver statusserveren på den angitte porten
Gjenopprette data fra formaterte disker
Verktøy for gjenoppretting av data bør velges nøye for å gjenopprette informasjon fra formaterte disker, USB-minnepinner og minnekort. Verktøy designet for å fullføre ulike aktiviteter kan gi uventede resultater. Nedenfor vil vi se på noen av forskjellene mellom forskjellige datarekonstruksjonsverktøy for datakorrigering i formaterte stasjoner.
Unformat
Den første fatale feilen som mange databrukere gjør når de ved et uhell formaterer stasjonene sine, er å finne, installere og bruke "uformaterte" verktøy. Det er mange av disse verktøyene på markedet; noen er kommersielle, og andre er gratis varer. Hensikten med disse verktøyene er å gjenoppbygge eller gjenskape den forhåndsformaterte disken ved å gjenopprette filsystemet.
Selv om dette kan virke som en levedyktig tilnærming til de uerfarne, kan det ende med å bli en større feil enn å miste filene i utgangspunktet. Formatering av disken skyller det originale filsystemet, og erstatter det i det minste delvis, vanligvis i begynnelsen. Når du prøver å gjenopprette det gamle filsystemet, er det beste du kan få en disk som kan leses med noen av filene dine. Alt kan ikke gjenopprettes akkurat slik det var, og de mest dyrebare filene kan være kompromittert, med bare tilfeldige eksempler på originalfilene på disken. Når du tenker på å "formatere" en systemstasjon, glem det; i det minste vil noen systemfiler være borte. Selv om du kan starte operativsystemet, vil du aldri få et stabilt system.
Angre sletting
Den andre feilen mange databrukere vil gjøre er å bruke gjenopprettingsverktøy. Selv om disse verktøyene eksisterer og har en tendens til å gjøre jobben sin i god tro, er de ikke designet for å håndtere disker med et ekskludert filsystem. Selv med noen av de beste gjenopprettingsverktøyene, for eksempel RS File Recovery, kan du slette flere filer, men det handler om det.
Partisjonsgjenoppretting
For å gjenopprette filer, bør du se etter et partisjonsgjenopprettingsverktøy som RS Partition Recovery. Dette verktøyet er designet for å håndtere distribuerte, formaterte og skadede disker, og kan skanne hele overflaten på en disk eller partisjon for å gjenopprette alt det kan finne. Selv om filsystemet er tomt eller slettet, kan dette verktøyet gjenopprette mange typer filer, for eksempel dokumenter, bilder og videoer, gjennom sin signaturfunksjon. Imidlertid, selv om segmenterte gjenopprettingsverktøy er førsteklasses for datagjenoppretting, er de vanligvis ganske dyre. Hvis du bare vil gjenopprette en formatert disk, kan det være nyttig å søke og lagre i stedet.
FAT og NTFS Recovery
Du kan spare opptil 40% av kostnadene for Partition RS-gjenoppretting ved å velge et verktøy som bare gjenoppretter FAT- eller NTFS-formaterte disker. Husk at du må kjøpe et verktøy som passer for det originale filsystemet og ikke det som er skrevet ovenfor. Hvis den opprinnelige stasjonen er NTFS, får du NTFS Recovery RS. Hvis det er FAT eller FAT32, får du FAT Recovery RS. På denne måten får du de samme kvalitetsverktøyene, men du vil være begrenset til FAT- eller NTFS-formatering. Dette er det perfekte valget for en unik jobb.
Carving Files (ved hjelp av et verktøy)
PhotoRec er en fantastisk programvare som brukes til å skjære filer og spesielt jpeg- eller bildefiler (det er derfor den heter Photo Recovery). PhotoRec overser dokumentrammen og forfølger den grunnleggende informasjonen, så den fungerer uansett om medienes rekordramme har blitt alvorlig skadet eller omformatert. Fotorec er lett tilgjengelig på Windows-operativsystemer.
Som et eksempel vil vi gjenopprette bildefiler fra en 8 GB flash-stasjon ved hjelp av dette verktøyet.
Først kjører du PhotoRec.exe fil og start applikasjonen. Vi får se en skjerm som dette:
Her har vi alle partisjonene vist. Vi velger / K som vårt ønskede mål å gjenopprette data fra.
Vi kan se hvilket filsystem denne partisjonen bruker her, og det er fire alternativer nederst.
Søk - Dette vil søke i partisjonen som inneholder filer for gjenoppretting.
Alternativer - Brukes til mindre endringer i alternativene.
Filvalg - Brukes til å endre filtypene som skal gjenopprettes.
Slutte - Avslutter prosessen.
Vi velger Filvalg (Filalternativer):
Dette vil gi oss muligheter for å velge filene vi vil gjenopprette fra ønsket partisjon. Pressing S fjerner merkingen for alle alternativene. Vi velger JPG bilder, da vi bare vil gjenopprette bildefiler fra stasjonen. Deretter vil vi trykke B.
For å velge Filsystem, gå tilbake til hovedalternativene og velg Annen. Når det gjelder gjenopprettingsalternativer, har vi to valg:
- komme seg fra hele partisjonen
- utvinning fra ikke tildelt plass (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3, osv.). Ved å bruke dette alternativet blir bare filene som er slettet gjenopprettet.
Nå er alt vi trenger å gjøre å angi stedet der de slettede filene vil bli gjenopprettet. Etter det vil gjenopprettingsprosessen starte og fullføre etter å ha tatt litt tid. Deretter vil vi se etter de gjenopprettede filene på den angitte plasseringen. De gjenopprettede bildefilene vil være der.
Konklusjon
File Carving er et velkjent rettsmedisinsk begrep som beskriver identifisering av filtyper og fjerning av dem fra ikke-underordnede klynger ved hjelp av filsignaturer. En filsignatur, også kjent som et magisk tall, er en numerisk eller permanent tekstverdi som brukes til å identifisere filformatet. Utdrag av filer eller data er et begrep som brukes innen rettsmedisinsk informatikk. En datastyrt rettsmedisinske etterforskning er anskaffelse, verifisering, analyse og dokumentasjon av bevis inneholdt i et datasystem, et nettverk av datamaskiner eller andre former for digitale medier. Å hente ut meningsfulle data fra rådata kalles utskjæring.
File Sculpting er identifisering og gjenoppretting av filer basert på formatanalyse. I rettsmedisinsk databehandling er skulptur en nyttig måte å finne skjulte eller slettede filer på digitale medier. Filer kan skjules i områder som tapte klynger, ikke-tildelte klynger og avspilling av plater eller digitale medier. For å bruke denne utvinningsmetoden, må en fil ha en standard signatur, kalt a filhode, i begynnelsen av filen. For å skaffe filoverskriften vil gjenopprettingsverktøyet fortsette å spørre til det når bunnteksten på filen på slutten av filen. Dataene mellom topptekst og bunntekst trekkes ut og analyseres for å sikre integritet. Flere skulpturmetoder brukes i algoritmene, avhengig av filtype.
Moderne operativsystemer sletter ikke slettede filer helt uten brukertillatelse. Slettede filer kan gjenopprettes gjennom forskjellige rettsmedisinske verktøy og taktikker hvis de slettede filene ikke blir lagt til i en annen fil. Skadede filer kan gjenopprettes hvis dataene ikke blir skadet uten gjenkjennelse.
Det er stor forskjell mellom filgjenoppretting og filhugging. Filgjenoppretting bruker informasjon fra filsystemet; ved å bruke denne informasjonen kan flere filer gjenopprettes. Hvis informasjonen er feil, vil den ikke fungere. Med fremveksten av filhugging har lovhåndhevelse, fagpersoner i teknologi og krimteknikere funnet et annet verktøy som kan brukes til å gjenopprette slettede data. Selv om det ikke alltid er perfekt og raffinert, kan verktøy som Fremst, skalpell, og Fotorec har gjort filrekreasjon enklere enn noensinne.
