Phenquestions
ЦД-ови или ДВД-ови уживо нуде начин за покретање системског погона, као и преносни или непокретни медијски погон, што вам омогућава да користите менаџер датотека или софтвер за учитавање датотеке. Диск сервер може оштетити ове случајеве и сместити драгоцене или власничке датотеке са подацима у одвојене одељке у ОС датотекама.
Филе Царвинг је поступак који се користи у истрази места злочина за издвајање података са тврдог диска или других уређаја за складиштење без помоћи табеле система датотека која је првобитно створила оригиналну датотеку. Филе Царвинг је стратегија која преузима контролу над документима у нераспоређеном простору без података и користи се за опоравак информација ради извођења рачунарског клиничког прегледа. Овај процес се у почетку звао „дизајн“, што је општи термин за уклањање организованих информација из сирових информација, у светлу одређених атрибута обрасца организације ускладиштених информација.
Форензичка метода повраћаја докумената зависи од структуре и садржаја датотека без одговарајућих метаподатака система датотека. Резбарење датотека вам омогућава да опоравите датотеке из нераспоређеног простора на било ком погону. Подручје погона означено структуром система датотека (табела датотека) које не садржи никакве информације о систему датотека назива се нераспоређеним простором.
Недостајуће или оштећене структуре система датотека могу утицати на читав погон. Једноставно речено, многи системи датотека не бришу податке када се бришу. Уместо тога, једноставно уклања знање одакле је. Скенирање сирових бајтова и њихово сређивање основни је поступак резбарења датотека. Овај поступак изводи испитивање заглавља (први бајт) и подножја (последњи бајт) датотеке.
Резбарење датотека је одличан начин за опоравак датотека и фрагмената датотека када је текст оштећен или недостаје. Професионалци га често користе у решавању проблема за поновно испитивање доказа. Пример забране и могућности евакуације медија догодио се када су информације уклоњене из кампова Осаме Бин Ладена током напада америчке морнарице туљана. Форензички истражитељи користили су методе опоравка датотека за опоравак података са дискова и система који се користе у камповима.
Преглед система датотека
А систем датотека ис врста базе података која се користи за чување, ажурирање и преузимање датотека или неколико бројева датотека. То је начин на који се датотеке логично архивирају и именују за архивирање и опоравак. У наставку су наведени различити типови система датотека:
Виндовс систем датотека: Мицрософт Виндовс користи само две врсте ФАТ и НТФС.
- ДЕБЕО, што значи „табела за додељивање датотека“ је најједноставнији тип система датотека који садржи сектор за покретање, табелу за додељивање датотека и једноставан простор за складиштење датотека и директоријума. Недавно се ФАТ појавио у моделима ФАТ16, ФАТ12 и ФАТ32. ФАТ32 је компатибилан са уређајима за складиштење заснованим на оперативном систему Виндовс. Виндовс не може да створи систем датотека ФАТ32 са датотеком већом од 32 ГБ.
- НТФС, скраћеница од „Нев Тецхнологи Филе Систем“, сада је подразумевани систем датотека за датотеке веће од 32 ГБ. Шифровање и контрола приступа су нека главна својства овог система датотека.
Линук систем датотека: Линук је широко коришћени оперативни систем отвореног кода и развијен је за тестирање и развој. Овај ОС је требао да користи различите концепте система датотека. У Линук-у постоји неколико врста система датотека.
- Ект2, Ект3, Ект4 - Ово је локални, или подразумевани, Линук систем датотека. Коријенски систем датотека се углавном пресликава на цијелу Линук дистрибуцију. Ект3 систем датотека је изврсно ажурирање раније коришћеног Ект2 система датотека; користи операцију писања трансакционих датотека. Ект4 је датотека са наставком која подржава Ект3 информације и приписивање датотека.
- РеисерФС - Проблем датотечног система решава се спремањем пуно малих датотека одједном. Менаџер датотека се добро насмеје, а дозвола компатибилне датотеке, чување кода датотеке, датотека садржи метаподатке у режиму неискоришћења великог система датотека због своје величине.
- КСФС - КСФС систем датотека добро функционише и широко се користи за архивирање датотека. Овај тип система датотека је популаран на ИРИКС серверима.
- ЈФС - ИБМ је развио овај систем датотека и постао је систем датотека који се користи на готово свим Линук дистрибуцијама
мацОС систем датотека: Оперативни систем Аппле Мацинтосх користи само ХФС + датотечни систем без наставка система датотека ХФС. МацОС, иПхоне, иПад и сви други Аппле производи користе ХФС + систем датотека. Неки производи Аппле сервера користе систем датотека Хсцан. Овај познати систем датотека прати податке који се односе на приказ директорија, локацију прозора итд.
Технике резбарења турпија
Током дигиталне истраге неопходно је анализирати различите врсте медија. Информације које се могу применити могу се наћи на неколико уређаја за складиштење и у меморији рачунара. Могу се рашчланити разне врсте информација, на пример, е-пошта, електронски извештаји, оквири евиденције и медијски записи. Резбарење датотеке је техника опоравка при којој се узимају у обзир само садржај и структура датотеке, а не метаподаци датотеке који се користе у организацији података на медијуму за складиштење.
Испод су неке терминологије за урезивање датотека које треба запамтити:
- Блокирати - Најмања величина јединица података које се могу уписати у меморију
- Заглавље - Полазна тачка датотеке.
- Подножје - Последњи бајтови датотеке.
- Фрагмент - Један или више блокова припада једној датотеци.
- База-фрагмент - Први фрагмент контејнера датотеке, заглавље датотеке.
- Тачка фрагментације - Последњи блок непосредно пре фрагментације. Више фрагмената у било којој датотеци резултира неколико тачака фрагментације.
Врхунске корпоративне универзалне технике резбарења датотека су следеће:
- Техника заглавља и подножја (или заглавља - „максимална величина датотеке“) - Основна стратегија овде је резање датотека на основу наслова и рукописа или укупних датотека.
- ЈПГ или ЈПЕГ датотеке проширења - „\ КСФФ \ кД8“ и „\ кФФ \ кД9.”
- ГИФ - под називом „\ к47 \ к49 \ к46 \ к38 \ к37 \ к61” и подножје „\ к00 \ к3Б”.
- ПСТ: “! БДН ”наслов без подножја.
- Ако систем датотека нема базу, максималан број датотека које се користе у програму за резбарење.
- Резбарење засновано на структури датотека
- Интерни распоред датотеке користи се као основна техника.
- Информације о заглављу, подножју, ИД низу и величини су основни елементи.
- Резбарење засновано на садржају
Структура садржаја је бесплатна (МБОКС, ХТМЛ, КСМЛ)
- Карактеристике материјала
- Броји знакове
- Препознавање текста / језика
- Црно-бела листа података
- Ентропија информација
- Статистичке карактеристике (Цхи2)
Резање датотеке (без употребе било ког алата)
Даље ћемо видети како да урежемо а .јпег датотеку без употребе алата. Прво, морамо знати структуру .јпег датотека (заглавље и подножје итд.). Да бисмо то урадили, отворићемо а .јпег слика у Хек едитор да испита шта је заглавље и подножје датотеке .јпег датотека изгледа.
Овде смо пронашли заглавље датотеке ( ФФД8ФФЕ0). Сада ћемо, како бисмо пронашли подножје, испитати последње бајтове у датотеци.
Овде имамо подножје датотеке или приколицу (ФФД9).
Ако имате документ са сликом, слику можете да урежете тако што ћете знати њено заглавље и подножје.
Сада имамо датотеку речи са сликом. Изрезбарићемо слику користећи ову технику.
Прво што треба да урадимо је да отворимо овај ворд документ са Хек уредник кликом Датотека >> Отвори.
Овде можемо видети слику која приказује податке датотеке речи у хексадецималном облику. Као што већ знамо, .јпег датотека има заглављу вредност ФФД8ФФЕ0, па ћемо притиснути заглавље датотеке Цтрл + Ф или Претрага >> Датотека и унос познате вредности заглавља (одабир типа података хексадецималне вредности је веома важан у овом кораку).
Вредност потписа наћи ћемо у Оффсет 14ФД.
Даље, морамо потражити подножје или приколицу. Знамо да је .јпег датотека има вредност подножја ФФД9, па ћемо притиснути подножје датотеке Цтрл + Ф или Претрага >> Датотека и уношење познате вредности подножја (одабир типа података хексадецималне вредности је веома важан.
Вредност подножја наћи ћемо у Оффсет 2АДБ.
Тренутно имамо заглавље и подножје јпег документа, а, као што смо недавно навели, између заглавља и подножја налазе се подаци јпег записа. Овде дуплирамо читав квадрат информација заглављем и подножјем и чувамо их као другу датотеку.
Иди на ЕДИТ >> Изаберите Блоцк и унесите оба следећа израза:
Помак заглавља датотеке: 14ФД
Помак подножја датотеке: 2АДБ
Након уноса ових вредности, цела .јпег датотека ће бити означена плавом бојом. Да бисте га сачували као дфиле, копирајте га десним кликом и избором Копирај, или притиском на Цтрл + Ц. Затим ћемо информације залепити у нову датотеку. Појавиће се дијалошки оквир и ми ћемо кликнути У реду. Сада смо спремни да сачувамо датотеку кликом Датотека >> Сачувај као или притиском Цтрл + С. Ако отворите ову копирану датотеку, видећете исту слику као у оригиналном документу. Ово је основна техника урезивања медијских датотека.
Алати за урезивање података
Алати за опоравак података играју важну улогу у већини форензичких истрага, јер паметни нападачи увек покушавају избрисати доказе о својим злочинима. У наставку су наведени неки важни алати за опоравак података у Линук и Виндовс.
- Најистакнутије (алат за резбарење датотека)
Да бисте опоравили датотеке које су изгубљене због њихових унутрашњих структура података, заглавља и подножја, најважније, може се користити. Форемост обично узима унос у различитим форматима слика, као што су АФФ или сирови формати, који се могу генерисати помоћу различитих алата, попут ФТК Имагер, ДД, енцасе, итд. Можете доћи до странице помоћи компаније Форемост да бисте научили и истражили њене моћне команде користећи следећу команду:
[заштићен е-поштом]: ~ $ форемост -х Опоравак датотека са слике диска на основу типова датотека наведених укорисник помоћу прекидача -т.
јпг Подршка за ЈФИФ и Екиф формате, укључујући имплементације
користи се у модерним дигиталним фотоапаратима.
гиф
пнг
бмп подршка за виндовс бмп формат.
ави
еке Подршка за Виндовс ПЕ бинарне датотеке издвојиће ДЛЛ и ЕКСЕ датотеке
заједно са њиховим временима састављања.
мпг Подршка за већину МПЕГ датотека (мора започети са 0к000001БА)
вав
рифф Ово ће издвојити АВИ и РИФФ јер користе исту датотеку за-
простирка (РИФФ). бележите брже од покретања сваке одвојено.
вмв Ноте такође може издвојити вма датотеке јер имају сличан формат.
оле Ово ће зграбити било коју датотеку која користи структуру датотеке ОЛЕ. Ово
укључује ПоверПоинт, Ворд, Екцел, Аццесс и СтарВритер
доц Имајте на уму да је ефикасније покретати ОЛЕ јер добијате више удараца
твој долар. Ако желите да игноришете све остале оле датотеке, онда користите
ово.
зип Напомена да ће се издвојити .јар датотеке, јер користе слично
формат. Опен Оффице документи су само зип-датотеке КСМЛ датотеке, тако да јесу
се такође ваде. Ту спадају СКСВ, СКСЦ, СКСИ и СКС? за
неодређене ОпенОффице датотеке. Датотеке Оффице 2007 су такође КСМЛ
заснован (ППТКС, ДОЦКС, КСЛСКС)
рар
хтм
цпп Ц откривање изворног кода, имајте на уму да је ово примитивно и може генерисати
документи који нису Ц код.
мп4 Подршка за МП4 датотеке.
све Покрени све унапред дефинисане методе екстракције. [Подразумевано ако нема -т је
наведено]
- БинВалк
БинВалк користи се за управљање бинарним библиотекама и издвајање важних података са слика фирмвера. Овај алат је одличан за оне који знају како да га користе. БинВалк се сматра једним од најбољих доступних алата за обрнути инжењеринг и издвајање слика фирмвера. БинВалк је једноставан за употребу и има огромне могућности. Можете да дођете до странице помоћи бинвалка да бисте сазнали више помоћу следеће наредбе:
[заштићена е-поштом]: ~ $ бинвалк --хелп Опције скенирања потписа:-Б, --сигнатуре Скенирајте циљне датотеке за уобичајене потписе датотека
-Р, --рав = Скенирај циљане датотеке за наведени редослед бајтова
-А, --опцодес Скенирајте циљане датотеке за уобичајене извршне потписе опкода
-м, --магиц = Наведите прилагођену магичну датотеку коју ћете користити
-б, --думб Онемогућите кључне речи са паметним потписом
-И, --инвалид Прикажи резултате означене као неважеће
-к, --екцлуде = Изузми резултате који се подударају
-и, --инцлуде = Прикажи само оне резултате који се подударају
Опције екстракције:
-е, --ектрацт Аутоматски издвоји познате типове датотека
-Д, --дд = Издвоји потписе, дај датотекама екстензију и изврши
-М, --матриосхка Рекурзивно скенирање извађених датотека
-д, --дептх = Ограничи дубину рекурзије матрјошке (подразумевано: 8 нивоа дубоко)
-Ц, --дирецтори = Издвоји датотеке / фасцикле у прилагођени директоријум (подразумевано: тренутни радни директоријум)
-ј, --сизе = Ограничите величину сваке издвојене датотеке
-н, --цоунт = Ограничите број извучених датотека
-р, --рм Избришите резбарене датотеке након издвајања
-з, --царве Изрезбава податке из датотека, али не извршава помоћне програме за издвајање
Опције анализе ентропије:
-Е, --ентропија Израчунајте ентропију датотеке
-Ф, --брзо Користите бржу, али мање детаљну, анализу ентропије
-Ј, --саве Сачувај заплет као ПНГ
-П, --нлегенд Изоставите легенду са графикона заплета ентропије
-Н, --нплот Не генеришите графикон графике ентропије
-Х, --хигх = Подеси праг окидача ентропије узлазне ивице (подразумевано: 0.95)
-Л, --лов = Подеси праг окидања ентропије падајућег руба (подразумевано: 0.85)
Опције бинарног разликовања:
-В, --хекдумп Извршите хекдумп / дифф датотеке или датотека
-Г, --греен Приказују се само редови који садрже бајтове који су исти међу свим датотекама
-и, --ред Приказују се само редови који садрже бајтове који се разликују међу свим датотекама
-У, --блуе Приказују се само редови који садрже бајтове који се разликују међу неким датотекама
-в, --терсе Разликује све датотеке, али приказује само хексадецимални думп прве датотеке
Опције сирове компресије:
-Кс, --дефлате Скенирање за необрађене токове компресије испухавања
-З, --лзма Скенирање за сирове токове компресије ЛЗМА
-П, --партиал Извршите површно, али брже скенирање
-С, --стоп Стоп након првог резултата
Генералне опције:
-л, --ленгтх = Број бајтова за скенирање
-о, --оффсет = Започните скенирање са овим помаком датотеке
-О, --басе = Додајте основну адресу свим штампаним помацима
-К, --блоцк = Подеси величину блока датотеке
-г, --свап = Преокрените сваких н бајтова пре скенирања
-ф, --лог = Пријави резултате у датотеку
-ц, --цсв Пријави резултате у датотеку у ЦСВ формату
-т, --терм Форматирајте излаз како би одговарао прозору терминала
-к, --куиет Сузбија излаз на стдоут
-в, --вербосе Омогући опсежни излаз
-х, --хелп Прикажи излазну помоћ
-а, --финцлуде = Скенирај само датотеке чија се имена подударају са овим регуларним изразом
-п, --фекцлуде = Не скенирајте датотеке чија се имена подударају са овим регуларним изразом
-с, --статус = Омогући сервер за статус на наведеном порту
Опоравак података са форматираних дискова
Алате за опоравак података треба пажљиво одабрати како би се обновили подаци са форматираних дискова, УСБ флеш дискова и меморијских картица. Алати дизајнирани за довршавање различитих активности могу дати неочекиване резултате. У наставку ћемо погледати неке разлике између различитих алата за опоравак података за корекцију података на форматираним погонима.
Унформат
Прва фатална грешка коју многи корисници рачунара направе када случајно форматирају своје дискове је проналажење, инсталирање и коришћење „неформатираних“ алата. На тржишту постоји много ових алата; неки су комерцијални, а други бесплатна роба. Сврха ових алата је обнављање или поновно стварање форматираног диска обнављањем система датотека.
Иако се ово може учинити одрживим приступом за неискусне, на крају би то могло бити већа грешка него губљење датотека. Форматирање диска уклања оригинални систем датотека, замењујући га барем делимично, обично на почетку. Када покушате да вратите стари систем датотека, најбоље што можете добити је диск који је читљив са неким вашим датотекама. Све се не може опоравити тачно као што је било на овај начин, а најдрагоцјеније датотеке могу бити угрожене, са само случајним узорцима оригиналних датотека на диску. Кад размишљате о „форматирању“ системског диска, заборавите; нестаће бар неке системске датотеке. Чак и ако можете да покренете оперативни систем, никада нећете добити стабилан систем.
Поврати
Друга грешка коју ће многи корисници рачунара направити је употреба алата за опоравак. Иако ови алати постоје и углавном раде свој посао у доброј намери, нису дизајнирани за руковање дисковима са изузетим системом датотека. Чак и са неким од најбољих алата за опоравак, попут РС Филе Рецовери, можете избрисати више датотека, али то је отприлике то.
Опоравак партиције
Да бисте опоравили датотеке, требали бисте потражити алат за опоравак партиција као што је РС Партитион Рецовери. Дизајниран за руковање дистрибуираним, форматираним и оштећеним дисковима, овај алат може скенирати целу површину диска или партиције да би опоравио све што може да пронађе. Чак и ако је систем датотека празан или избрисан, овај алат може опоравити многе врсте датотека, попут докумената, слика и видео записа, помоћу функције потписа. Међутим, иако су сегментирани алати за опоравак врхунски за опоравак података, они су обично прилично скупи. Ако желите само да опоравите форматирани диск, уместо тога може бити корисно тражити и сачувати.
Опоравак ФАТ-а и НТФС-а
Можете уштедети до 40% на трошку опоравка партиције РС избором алата који опоравља само дискове у формату ФАТ или НТФС. Имајте на уму да ћете морати да купите алат који одговара оригиналном систему датотека, а не оном горе написаном. Ако је оригинални погон НТФС, набавите НТФС Рецовери РС. Ако је ФАТ или ФАТ32, набавите ФАТ Рецовери РС. На овај начин добићете исте квалитетне алате, али бићете ограничени на ФАТ или НТФС форматирање. Ово је савршен избор за јединствени посао.
Резбарење датотека (помоћу алата)
ПхотоРец је сјајан софтвер који се користи за урезивање датотека, посебно јпег или датотека са сликама (зато је и назван Пхото Рецовери). ПхотоРец превиђа оквир документа и користи се основним информацијама, па ће радити без обзира да ли је евиденцијски оквир вашег медија озбиљно оштећен или преформатиран. Пхоторец је лако доступан у оперативним системима Виндовс.
Као пример, помоћу овог алата ћемо опоравити сликовне датотеке са флеш диска од 8 ГБ.
Прво покрените ПхотоРец.еке датотеку и покрените апликацију. Видећемо овакав екран:
Овде су приказане све партиције. Ми ћемо одабрати / К као наш жељени циљ са којег ћемо опоравити податке.
Овде можемо видети који систем датотека користи ова партиција, а на дну су четири опције.
Претрага - Ово ће претраживати партицију која садржи датотеке за опоравак.
Опције - Користи се за мање измене у опцијама.
Филе Опт - Користи се за модификовање врста датотека које треба опоравити.
Одустати - Излази из процеса.
Ми ћемо одабрати Филе Опт (Опције датотеке):
То ће нам дати опције за одабир датотека које желимо опоравити са жељене партиције. Пресинг С ће уклонити ознаку са свих опција. Ми ћемо одабрати ЈПГ слике, јер само желимо да опоравимо сликовне датотеке са диска. Даље ћемо притиснути Б.
Да бисте изабрали Систем датотека, вратите се на главне опције и изаберите Остало. Што се тиче опција опоравка, имамо два избора:
- опоравити се од цела преграда
- опоравак од само нераспоређени простор (ФАТ12, ФАТ16, ФАТ32, ЕКСТ1, ЕКСТ2, ЕКСТ3 итд.). Помоћу ове опције биће опорављене само датотеке које су избрисане.
Сада све што треба да урадимо је да поставимо локацију на којој ће се обнављати избрисане датотеке. Након тога, поступак опоравка ће започети и завршити након одређеног времена. Затим ћемо потражити опорављене датотеке на постављеном месту. Опорављене датотеке слика ће бити тамо.
Закључак
Филе Царвинг је познати форензички рачунарски термин који описује идентификовање типова датотека и њихово уклањање из неподређених кластера помоћу потписа датотека. Потпис датотеке, познат и као магични број, представља нумеричку или трајну текстуалну вредност која се користи за идентификацију формата датотеке. Екстракција датотека или података је термин који се користи у области форензичке информатике. Компјутеризовано форензичка истрага је прикупљање, верификација, анализа и документовање доказа садржаних у рачунарском систему, мрежи рачунара или другим облицима дигиталних медија. Позива се извлачење значајних података из сирових података резбарење.
Вајање датотека је идентификација и опоравак датотека на основу анализе формата. У форензичком рачунарству, скулптура је користан начин проналажења скривених или избрисаних датотека на дигиталним медијима. Фајлови се могу сакрити у областима попут изгубљених кластера, нераспоређених кластера и репродукције дискова или дигиталних медија. Да би користила овај метод издвајања, датотека мора имати стандардни потпис, назван а заглавље датотеке, на почетку датотеке. Да би добио заглавље датотеке, алат за опоравак наставиће да поставља упит док не дође до подножја датотеке на крају датотеке. Подаци између заглавља и подножја се издвајају и анализирају како би се осигурао интегритет. У његовим алгоритмима се користи неколико метода вајања, у зависности од типа датотеке.
Савремени оперативни системи не бришу у потпуности избрисане датотеке без дозволе корисника. Избрисане датотеке се могу опоравити помоћу различитих форензичких алата и тактика ако се избрисане датотеке не додају у другу датотеку. Оштећене датотеке могу се опоравити ако подаци нису оштећени до непрепознатљивости.
Постоји велика разлика између опоравка датотеке и урезивања датотека. Опоравак датотека користи информације из система датотека; коришћењем ових података може се опоравити неколико датотека. Ако су подаци нетачни, неће функционисати. Појавом резбарења датотека, органи за спровођење закона, технолошки и форензички стручњаци пронашли су још један алат који се може користити за опоравак избрисаних података. Иако није увек савршен и префињен, алати попут Пре свега, Скалпел, и Пхоторец су рекреацију датотека учинили лакшом него икад.
