File Carving und Datenwiederherstellung

Der Prozess des Abrufens unzugänglicher, formatierter oder beschädigter oder beschädigter Daten von einem Speichermedium, wenn auf normale Methoden nicht zugegriffen werden kann, wird als . bezeichnet Datenwiederherstellung. Informationen werden typischerweise von Speichermedien wiedergewonnen; zum Beispiel interne und externe Festplatten (HDDs); Solid-State-Laufwerke (SSDs); Flash-Laufwerke; magnetische Speicher wie CDs und DVDs; RAID-Subsysteme; und andere elektronische Geräte. Eine Wiederherstellung kann aufgrund von physischen Schäden an Speichergeräten oder legitimen Schäden am Dateisystem erforderlich sein, wodurch verhindert wird, dass das System vom Host-Betriebssystem (OS) gemountet wird. Ein definitives Ziel ist es, alle grundlegenden Datensätze von den beschädigten Medien auf ein neues Laufwerk zu duplizieren. Es ist möglich, Informationen schnell mit einer Live-CD oder -DVD zu sichern, indem Sie rechtmäßig vom ROM booten, anstatt das beschädigte Laufwerk oder Gerät zu verwenden, um Informationen vom System abzurufen.

Live-CDs oder -DVDs bieten eine Möglichkeit, das Systemlaufwerk sowie das Wechsel- oder Festplattenlaufwerk zu booten, sodass Sie den Dateimanager oder die Software zum Laden der Datei verwenden können. Ein Festplattenserver kann diese Fälle beschädigen und wertvolle oder proprietäre Datendateien in separaten Fächern in den Betriebssystemdateien speichern.

File Carving ist ein Verfahren, das bei der Ermittlung von PC-Tatorten verwendet wird, um Informationen von einer Festplatte oder anderen Speichergeräten ohne Hilfe der Dateisystemtabelle zu extrahieren, die die Originaldatei überhaupt erstellt hat. File Carving ist eine Strategie, die die Kontrolle über Dokumente in nicht zugewiesenem Speicherplatz ohne Daten übernimmt und verwendet wird, um Informationen wiederherzustellen, um eine computergestützte klinische Untersuchung durchzuführen. Dieser Prozess wurde ursprünglich als „Design“ bezeichnet, was ein allgemeiner Begriff für das Entfernen organisierter Informationen aus groben Informationen ist, angesichts der besonderen Attribute des Organisationsmusters der gespeicherten Informationen.

Eine forensische Methode, die Dokumente wiedergewinnt, ist abhängig von der Struktur und dem Inhalt der Dateien ohne die entsprechenden Dateisystem-Metadaten. File Carving ermöglicht es Ihnen, Dateien aus nicht zugewiesenem Speicherplatz auf jedem Laufwerk wiederherzustellen. Der von der Dateisystemstruktur (Dateitabelle) angegebene Bereich des Laufwerks, der keine Dateisysteminformationen enthält, wird als nicht zugeordneter Speicherplatz bezeichnet.

Fehlende oder beschädigte Dateisystemstrukturen können das gesamte Laufwerk beeinträchtigen. Einfach ausgedrückt, viele Dateisysteme löschen keine Daten, wenn sie gelöscht werden. Stattdessen eliminiert es einfach das Wissen, woher es kommt. Das Scannen von Rohbytes und das Ordnen dieser ist der grundlegende Prozess des File Carving. Dieser Vorgang wird durchgeführt von Untersuchung der Kopfzeile (erste Bytes) und Fußzeile (letzte Bytes) einer Datei.

File Carving ist eine hervorragende Möglichkeit, Dateien und Dateifragmente wiederherzustellen, wenn Text beschädigt ist oder fehlt. Es wird häufig von Fachleuten bei der Fehlersuche verwendet, um die Beweise erneut zu untersuchen. Ein Beispiel für das Verbot und die Möglichkeit, Medien zu evakuieren, ergab sich, als die Informationen während des Angriffs der US-amerikanischen Seals Navy aus den Lagern von Osama Bin Laden entfernt wurden. Forensische Ermittler verwendeten Methoden zur Dateiwiederherstellung, um Daten von den Laufwerken und Systemen wiederherzustellen, die in den Lagern verwendet wurden.

Übersicht über Dateisysteme

EIN Dateisystem ists eine Art Datenbank zum Speichern, Aktualisieren und Abrufen von Dateien oder mehreren Dateien. Auf diese Weise werden Dateien logisch archiviert und für Archivierung und Wiederherstellung benannt named. Es gibt verschiedene Arten von Dateisystemen, die unten erwähnt werden:

Windows-Dateisystem: Microsoft Windows verwendet nur zwei Arten von FAT und NTFS.

• FETT, was „Dateizuordnungstabelle“ bedeutet, ist die einfachste Art von Dateisystem, das einen Bootsektor, eine Dateizuordnungstabelle und einen einfachen Speicherplatz zum Speichern von Dateien und Ordnern enthält. Kürzlich kam FAT in FAT16, FAT12 und FAT32. FAT32 ist kompatibel mit Windows-basierten Speichergeräten. Windows kann kein FAT32-Dateisystem mit einer Datei größer als 32 GB erstellen.
• NTFS, Abkürzung für "New Technology File System" ist jetzt ein Standarddateisystem für Dateien mit mehr als 32 GB. Verschlüsselung und Zugriffskontrolle sind einige der Haupteigenschaften dieses Dateisystems.

Linux-Dateisystem: Linux ist ein weit verbreitetes Open-Source-Betriebssystem und wurde zum Testen und Entwickeln entwickelt. Dieses Betriebssystem sollte unterschiedliche Dateisystemkonzepte verwenden. Unter Linux gibt es mehrere Arten von Dateisystemen.

• Ext2, Ext3, Ext4 - Dies ist das lokale oder standardmäßige Linux-Dateisystem. Das Root-Dateisystem ist im Allgemeinen auf die gesamte Linux-Distribution beschränktca. Das Ext3-Dateisystem ist eine hervorragende Aktualisierung des zuvor verwendeten Ext2-Dateisystems; es verwendet den transaktionalen Dateischreibvorgang.  Ext4 ist eine Erweiterungsdatei, die Ext3-Informationen und Dateizuordnungen unterstützt.
• ReiserFS - Das Dateisystemproblem wird gelöst, indem viele kleine Dateien auf einmal gespeichert werden. Es gibt ein gutes Lachen durch den Dateimanager, und die Erlaubnis der kompatiblen Datei, die Speicherung des Dateicodes, die Datei enthält Metadaten im Modus, das große Dateisystem aufgrund seiner Größe nicht zu verwenden.
•  XFS - Das XFS-Dateisystem funktioniert gut und wird häufig für die Dateiarchivierung verwendet. Dieser Dateisystemtyp ist auf IRIX-Servern beliebt.
• JFS - IBM hat dieses Dateisystem entwickelt und es ist zu einem Dateisystem geworden, das auf fast allen Linux-Distributionen verwendet wird

macOS-Dateisystem: Das Apple Macintosh-Betriebssystem verwendet nur die HFS + Dateisystem ohne die HFS-Dateisystemerweiterung. MacOS, iPhones, iPads und alle anderen Apple-Produkte verwenden die HFS + Dateisystem. Einige Apple Server-Produkte verwenden das Hscan-Dateisystem. Dieses renommierte Dateisystem verfolgt Informationen in Bezug auf die Verzeichnisansicht, den Windows-Standort usw.

Feilenschnitztechniken

Bei der digitalen Untersuchung ist es notwendig, die verschiedenen Medientypen zu analysieren. Entsprechende Informationen finden Sie auf mehreren Speichermedien und im PC-Speicher. Es können verschiedene Arten von Informationen aufgeschlüsselt werden, z. B. E-Mail, elektronische Berichte, Rahmenprotokolle und Medienaufzeichnungen. File Carving ist eine Wiederherstellungstechnik, bei der nur der Inhalt und die Struktur der Datei berücksichtigt werden und nicht die Dateimetadaten, die bei der Organisation von Daten auf dem Speichermedium verwendet werden.

Im Folgenden sind einige Terminologien für das Dateischnitzen aufgeführt, die Sie sich merken sollten:

• Block - Die kleinste Größe von Dateneinheiten, die in den Speicher geschrieben werden können
• Header - Der Ausgangspunkt der Datei.
• Fusszeile - Die letzten Bytes der Datei.
• Fragment - Ein oder mehrere Blöcke gehören zu einer einzigen Datei.
• Basis-Fragment - Erstes Fragment des Dateicontainers, der Header der Datei.
• Fragmentierungspunkt - Der letzte Block kurz vor der Fragmentierung. Mehrere Fragmente in einer Datei führen zu mehreren Fragmentierungspunkten.

Die wichtigsten universellen Feilenschnitztechniken für Unternehmen sind wie folgt:

• Kopfzeilen-Fußzeilen-Technik (oder Kopfzeilen-„maximale Dateigröße“) - Die grundlegende Strategie besteht darin, Dateien basierend auf Titel und Handschrift oder Gesamtdateien zu schnitzen.

1. JPG- oder JPEG-Erweiterungsdateien - „\ xFF \ xD8“ und „\ xFF \ xD9“.”
2. GIF - betitelt „\ x47 \ x49 \ x46 \ x38 \ x37 \ x61“ und „\ x00 \ x3B“ Fußzeile.
3. PST:“! BDN“-Überschrift ohne Fußzeilen.
4. Wenn das Dateisystem keine Basis hat, die maximale Anzahl von Dateien, die im Schnitzprogramm verwendet werden.

• Dateistrukturbasiertes Carving

1. Das interne Layout der Datei wird als grundlegende Technik verwendet.
2. Kopfzeile, Fußzeile, ID-Strings und Größeninformationen sind grundlegende Elemente.

• Inhaltsbasiertes Schnitzen

Inhaltsstruktur ist frei (MBOX, HTML, XML)

• Eigenschaften des Materials

1. Zeichen zählen
2. Text-/Spracherkennung
3. Schwarz-Weiß-Datenliste
4. Informationsentropie
5. Statistische Merkmale (Chi²)

Schnitzen einer Datei (ohne ein Werkzeug zu verwenden)

Als nächstes werden wir sehen, wie man a schnitzt .jpeg-Datei ohne ein Tool zu verwenden. Zuerst müssen wir die Struktur der .jpeg-Datei (Kopf- und Fußzeile usw.).). Dazu öffnen wir ein .JPEG-Bild im Verhexen Editor, um zu untersuchen, was die Kopf- und Fußzeile der .jpeg-Datei sieht so aus.

Hier haben wir den Dateiheader ( FFD8FFE0). Um nun die Fußzeile zu finden, untersuchen wir die letzten Bytes in der Datei.

Hier haben wir die Dateifußzeile oder den Trailer (FFD9).

Wenn Sie ein Dokument mit einem Bild haben, können Sie das Bild schnitzen, indem Sie seine Kopf- und Fußzeile kennen.

Jetzt haben wir eine Word-Datei mit einem Bild darin. Wir werden das Bild mit dieser Technik herausschneiden.

Das erste, was wir tun müssen, ist dieses Word-Dokument mit dem zu öffnen Verhexen Editor durch Anklicken Datei >> Öffnen.

Hier sehen wir eine Abbildung, die die Daten der Word-Datei in hexadezimaler Form zeigt. Wie wir bereits wissen, ist die .jpeg-Datei hat einen Header-Wert von FFD8FFE0, Also suchen wir nach dem Dateiheader, indem wir . drücken Strg + F oder Suche >> Datei und Eingabe des bekannten Header-Wertes (die Auswahl des Hex-Wert-Datentyps ist in diesem Schritt sehr wichtig).

Wir finden einen Signaturwert bei Offset 14FD.

Als nächstes müssen wir nach einer Fußzeile oder einem Trailer suchen. Wir wissen, dass die .jpeg-Datei hat einen Fußzeilenwert von FFD9, Also suchen wir nach der Dateifußzeile, indem wir drücken Strg + F oder Suche >> Datei und Eingabe des bekannten Fußzeilenwerts (die Auswahl des Hex-Wert-Datentyps ist sehr wichtig.

Wir finden einen Fußzeilenwert bei Offset 2ADB.

Gegenwärtig haben wir die Kopf- und Fußzeile eines JPEG-Dokuments und, wie wir kürzlich festgestellt haben, zwischen Kopf- und Fußzeile die Informationen eines JPEG-Datensatzes. Hier duplizieren wir das gesamte Informationsquadrat mit Kopf- und Fußzeile und speichern es als weitere Datei.

Gehe zu BEARBEITEN >> Block auswählen und geben Sie die beiden folgenden Begriffe ein:

Datei-Header-Offset: 14FD

Datei-Fußzeilenversatz:  2ADB

Nach Eingabe dieser Werte wird das gesamte .jpeg-Datei wird blau markiert. Um es als dfile zu speichern, kopieren Sie es, indem Sie mit der rechten Maustaste klicken und auswählen Kopieren, oder durch Drücken von Strg + C. Als nächstes fügen wir die Informationen in eine neue Datei ein. Ein Dialogfeld wird angezeigt, und wir klicken auf OK. Jetzt können wir die Datei speichern, indem wir auf klicken Datei >> Speichern unter oder drücken Strg + S. Wenn Sie diese kopierte Datei öffnen, sehen Sie dasselbe Bild wie im Originaldokument. Dies ist die grundlegende Technik zum Schnitzen von Mediendateien.

Daten-Carving-Tools

Datenwiederherstellungstools spielen bei den meisten forensischen Ermittlungen eine wichtige Rolle, da intelligente Angreifer immer versuchen, Beweise für ihre Verbrechen zu löschen. Unten aufgeführt sind einige wichtige Datenwiederherstellungstools in Linux und Fenster.

• Foremost (Dateischnitzwerkzeug)

So stellen Sie Dateien wieder her, die aufgrund ihrer internen Datenstrukturen, Kopf- und Fußzeilen verloren gegangen sind, in erster Linie, kann verwendet werden. Foremost nimmt normalerweise Eingaben in verschiedenen Bildformaten wie AFF oder Raw-Formaten entgegen, die mit einer Vielzahl von Tools wie FTK Imager, DD, Encase usw. generiert werden können.  Mit dem folgenden Befehl können Sie zur wichtigsten Hilfeseite navigieren, um die leistungsstarken Befehle zu lernen und zu erkunden:

[email protected]:~$ vorderst -h Wiederherstellen von Dateien von einem Disk-Image basierend auf den Dateitypen, die von der
Benutzer mit dem Schalter -tt.
jpg Unterstützung für die Formate JFIF und Exif, einschließlich Implementierungen
in modernen Digitalkameras verwendet.
gif
png
bmp-Unterstützung für das Windows-bmp-Format.
avi
exe-Unterstützung für Windows PE-Binärdateien extrahiert DLL- und EXE-Dateien
zusammen mit ihren Kompilierzeiten.
mpg-Unterstützung für die meisten MPEG-Dateien (muss mit 0x000001BA beginnen)
wellenartig
riff Dies extrahiert AVI und RIFF, da sie dieselbe Datei für
Matte (RIFF). Notiz schneller als einzeln laufen.
wmv Note kann auch wma-Dateien extrahieren, da sie ein ähnliches Format haben.
ole Dies greift jede Datei mit der OLE-Dateistruktur. Diese
umfasst PowerPoint, Word, Excel, Access und StarWriter
doc Beachten Sie, dass es effizienter ist, OLE auszuführen, da Sie mehr Geld dafür bekommen
dein Geld. Wenn Sie alle anderen ole-Dateien ignorieren möchten, verwenden Sie
diese.
zip Beachten Sie, dass es extrahiert wird .jar-Dateien auch, weil sie ein ähnliches verwenden
Format. Open Office-Dokumente sind nur gezippte XML-Dateien, also sind sie
werden auch extrahiert. Dazu gehören SXW, SXC, SXI und SX? zum
unbestimmte OpenOffice-Dateien. Office 2007-Dateien sind auch XML
basiert (PPTX,DOCX,XLSX)
selten
htm
cpp C-Quellcodeerkennung, beachten Sie, dass dies primitiv ist und zu
andere Dokumente als C-Code.
mp4-Unterstützung für MP4-Dateien.
all Alle vordefinierten Extraktionsmethoden ausführen. [Standard, wenn kein -t ist
spezifizierten]

• BinWalk

BinWalk wird verwendet, um Binärbibliotheken zu verwalten und wichtige Daten aus Firmware-Images zu extrahieren. Dieses Tool ist großartig für diejenigen, die damit umgehen können. BinWalk gilt als eines der besten verfügbaren Tools für das Reverse Engineering und das Extrahieren von Firmware-Images. BinWalk ist einfach zu bedienen und verfügt über enorme Fähigkeiten. Sie können mit dem folgenden Befehl zur Hilfeseite von binwalk navigieren, um mehr zu erfahren:

[email protected]:~$ binwalk --help Signatur-Scan-Optionen:
-B, --signature Zieldatei(en) nach allgemeinen Dateisignaturen durchsuchen
-R, --raw= Zieldatei(en) nach der angegebenen Bytefolge durchsuchen
-A, --opcodes Durchsucht die Zieldatei(en) nach allgemeinen ausführbaren Opcode-Signaturen
-m, --magic= Geben Sie eine benutzerdefinierte magische Datei an, die verwendet werden soll
-b, --dumb Smart-Signatur-Schlüsselwörter deaktivieren
-I, --invalid Als ungültig markierte Ergebnisse anzeigen
-x, --exclude= Ergebnisse ausschließen, die übereinstimmen
-y, --include= Nur übereinstimmende Ergebnisse anzeigen
Extraktionsoptionen:
-e, --extract Automatisches Extrahieren bekannter Dateitypen
-D, --dd= Signaturen extrahieren, den Dateien eine Erweiterung von geben und ausführen
-M, --matryoshka Rekursive Scans extrahierter Dateien
-d, --depth= ​​Matroschka-Rekursionstiefe begrenzen (Standard: 8 Ebenen tief)
-C, --directory= Dateien/Ordner in ein benutzerdefiniertes Verzeichnis extrahieren (Standard: aktuelles Arbeitsverzeichnis)
-j, --size= Begrenzt die Größe jeder extrahierten Datei
-n, --count= Beschränken Sie die Anzahl der extrahierten Dateien
-r, --rm Geschnittene Dateien nach der Extraktion löschen
-z, --carve Daten aus Dateien herausschneiden, aber keine Extrahierungsprogramme ausführen
Optionen für die Entropieanalyse:
-E, --entropy Dateientropie berechnen
-F, --fast Schnellere, aber weniger detaillierte Entropieanalyse verwenden
-J, --save Plot als PNG speichern
-Q, --nlegend Legende aus dem Entropie-Plot-Graphen weglassen
-N, --nplot Erzeuge keinen Entropie-Plot-Graphen
-H, --high= Setzt die Entropie-Triggerschwelle der steigenden Flanke (Standard: 0.95)
-L, --low= Setzt die Entropie-Triggerschwelle der fallenden Flanke (Standard: 0.85)
Binäre Diffing-Optionen:
-W, --hexdump Führt einen Hexdump / Diff einer Datei oder Dateien aus
-G, --green Nur Zeilen anzeigen, die Bytes enthalten, die in allen Dateien gleich sind
-i, --red Nur Zeilen anzeigen, die Bytes enthalten, die sich in allen Dateien unterscheiden
-U, --blue Nur Zeilen anzeigen, die Bytes enthalten, die sich in einigen Dateien unterscheiden
-w, --terse Diff aller Dateien, aber nur einen Hex-Dump der ersten Datei anzeigen
Raw-Kompressionsoptionen:
-X, --deflate Scannt nach rohen Deflate-Kompressionsströmen
-Z, --lzma Scan nach rohen LZMA-Komprimierungsstreams
-P, --partial Führen Sie einen oberflächlichen, aber schnelleren Scan durch
-S, --stop Stopp nach dem ersten Ergebnis
Allgemeine Optionen:
-l, --length= Anzahl der zu scannenden Bytes
-o, --offset= Scan an diesem Datei-Offset starten
-O, --base= Allen gedruckten Offsets eine Basisadresse hinzufügen
-K, --block= Dateiblockgröße einstellen
-g, --swap= Alle n Bytes vor dem Scannen umkehren
-f, --log= Ergebnisse in Datei protokollieren
-c, --csv Ergebnisse in Datei im CSV-Format protokollieren
-t, --term Ausgabe so formatieren, dass sie in das Terminalfenster passt
-q, --quiet Ausgabe auf stdout unterdrücken
-v, --verbose Ausführliche Ausgabe aktivieren
-h, --help Hilfeausgabe anzeigen
-a, --finclude= Nur Dateien scannen, deren Namen mit dieser Regex übereinstimmen
-p, --fexclude= Dateien nicht scannen, deren Namen dieser Regex entsprechen
-s, --status= Aktivieren Sie den Statusserver auf dem angegebenen Port

Wiederherstellen von Daten von formatierten Datenträgern

Datenwiederherstellungstools sollten sorgfältig ausgewählt werden, um Informationen von formatierten Datenträgern, USB-Flash-Laufwerken und Speicherkarten wiederherzustellen. Tools, die für die Durchführung verschiedener Aktivitäten entwickelt wurden, können unerwartete Ergebnisse liefern. Im Folgenden werden einige der Unterschiede zwischen verschiedenen Datenwiederherstellungstools für die Datenkorrektur in formatierten Laufwerken betrachtet.

Formatieren

Der erste schwerwiegende Fehler, den viele Computerbenutzer beim versehentlichen Formatieren ihrer Laufwerke machen, besteht darin, „unformatierte“ Tools zu finden, zu installieren und zu verwenden. Es gibt viele dieser Tools auf dem Markt; einige sind kommerziell und andere sind kostenlose Waren. Der Zweck dieser Tools besteht darin, die vorformatierte Festplatte durch Wiederherstellen des Dateisystems neu zu erstellen oder neu zu erstellen.

Dies mag für Unerfahrene wie ein praktikabler Ansatz erscheinen, es könnte jedoch ein größerer Fehler sein, als die Dateien von vornherein zu verlieren. Beim Formatieren der Festplatte wird das ursprüngliche Dateisystem geleert und zumindest teilweise ersetzt, normalerweise am Anfang. Wenn Sie versuchen, Ihr altes Dateisystem wiederherzustellen, ist das Beste, was Sie bekommen können, eine Festplatte, die mit einigen Ihrer Dateien lesbar ist. Auf diese Weise kann nicht alles genau so wiederhergestellt werden, wie es war, und die wertvollsten Dateien könnten kompromittiert werden, wenn nur zufällige Stichproben der Originaldateien auf der Festplatte vorhanden sind. Wenn Sie daran denken, ein Systemlaufwerk zu „formatieren“, vergessen Sie es. zumindest werden einige Systemdateien weg sein. Selbst wenn Sie das Betriebssystem booten können, erhalten Sie nie ein stabiles System.

Wiederherstellen

Der zweite Fehler, den viele Computerbenutzer machen, ist die Verwendung von Wiederherstellungstools. Obwohl diese Tools existieren und ihre Arbeit in der Regel nach bestem Wissen und Gewissen erledigen, sind sie nicht dafür ausgelegt, mit Datenträgern mit einem ausgeschlossenen Dateisystem umzugehen. Selbst mit einigen der besten Wiederherstellungstools wie RS File Recovery können Sie mehrere Dateien löschen, aber das war es auch schon.

Partitionswiederherstellung

Um Dateien wiederherzustellen, sollten Sie nach einem Partitionswiederherstellungstool wie RS Partition Recovery suchen. Dieses Tool wurde für den Umgang mit verteilten, formatierten und beschädigten Festplatten entwickelt und kann die gesamte Oberfläche einer Festplatte oder Partition scannen, um alles wiederherzustellen, was sie finden kann. Auch wenn das Dateisystem leer oder gelöscht ist, kann dieses Tool viele Arten von Dateien wie Dokumente, Bilder und Videos durch seine Signaturfunktion wiederherstellen. Obwohl segmentierte Wiederherstellungstools für die Datenwiederherstellung erstklassig sind, sind sie normalerweise recht teuer. Wenn Sie nur eine formatierte Festplatte wiederherstellen möchten, kann es nützlich sein, stattdessen zu suchen und zu speichern.

FAT- und NTFS-Wiederherstellung

Sie können bis zu 40 % der Kosten für die Wiederherstellung von Partition RS sparen, indem Sie ein Tool wählen, das nur FAT- oder NTFS-formatierte Festplatten wiederherstellt. Denken Sie daran, dass Sie ein Tool kaufen müssen, das für das ursprüngliche Dateisystem geeignet ist und nicht das oben beschriebene. Wenn das Originallaufwerk NTFS ist, holen Sie sich die NTFS Recovery RS. Wenn es FAT oder FAT32 ist, holen Sie sich die FAT Recovery RS Recovery. Auf diese Weise erhalten Sie die gleichen Qualitätstools, sind jedoch auf die FAT- oder NTFS-Formatierung beschränkt. Dies ist die perfekte Wahl für einen einzigartigen Job.

Schnitzen von Dateien (mit einem Werkzeug)

PhotoRec ist eine großartige Software zum Schnitzen von Dateien und insbesondere von JPEG- oder Bilddateien (deshalb heißt sie Photo Recovery). PhotoRec übersieht den Dokumentenrahmen und verfolgt die grundlegenden Informationen, sodass es unabhängig davon funktioniert, ob der Datensatzrahmen Ihres Mediums ernsthaft beschädigt oder neu formatiert wurde. Fotorezept ist auf Windows-Betriebssystemen leicht zugänglich.

Als Beispiel werden wir mit diesem Tool Bilddateien von einem 8-GB-Flash-Laufwerk wiederherstellen.

Führen Sie zuerst die PhotoRec.exe Datei und starten Sie die Anwendung. Wir sehen einen Bildschirm wie diesen:

Hier haben wir alle Partitionen, die angezeigt werden. Wir werden auswählen /K als unser gewünschtes Ziel, um Daten wiederherzustellen recover.

Wir können hier sehen, welches Dateisystem diese Partition verwendet, und unten gibt es vier Optionen.

Suche - Dies durchsucht die Partition, die Dateien zur Wiederherstellung enthält holds.
Optionen - Wird für kleinere Änderungen in den Optionen verwendet.
Dateioption - Wird zum Ändern der Dateitypen verwendet, die wiederhergestellt werden sollen.
Verlassen - Beendet den Prozess.

Wir werden auswählen Dateioption (Dateioptionen):

Dies gibt uns Optionen zum Auswählen der Dateien, die wir von der gewünschten Partition wiederherstellen möchten. Drücken S hebt alle Optionen auf. Wir werden auswählen JPG-Bilder, da wir nur Bilddateien vom Laufwerk wiederherstellen möchten. Als nächstes drücken wir B.

Um die auszuwählen Dateisystem, Gehen Sie zurück zu den Hauptoptionen und wählen Sie Andere. Bei den Wiederherstellungsoptionen haben wir zwei Möglichkeiten:

• erholen Sie sich von der ganze Partition
• Erholung von Nur nicht zugewiesener Speicherplatz (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3 usw.).). Mit dieser Option werden nur die gelöschten Dateien wiederhergestellt.

Jetzt müssen wir nur noch den Speicherort festlegen, an dem die gelöschten Dateien wiederhergestellt werden. Danach beginnt der Wiederherstellungsprozess und endet nach einiger Zeit.  Dann suchen wir am festgelegten Speicherort nach den wiederhergestellten Dateien files. Die wiederhergestellten Bilddateien werden dort sein.

Fazit

File Carving ist ein bekannter forensischer Computerbegriff, der die Identifizierung von Dateitypen und deren Entfernung aus nicht untergeordneten Clustern mithilfe von Dateisignaturen beschreibt. Eine Dateisignatur, auch als magische Zahl bekannt, ist ein numerischer oder permanenter Textwert, der verwendet wird, um das Dateiformat zu identifizieren. Extraktion von Dateien oder Daten ist ein Begriff aus dem Bereich der forensischen Informatik. Ein computergestütztes gerichtsmedizinische Untersuchung ist eine Erfassung, Überprüfung, Analyse und Dokumentation von Beweismitteln, die in einem Computersystem, einem Computernetzwerk oder anderen Formen digitaler Medien enthalten sind. Das Extrahieren von aussagekräftigen Daten aus Rohdaten nennt man Carving.

Dateimodellierung ist die Identifizierung und Wiederherstellung von Dateien basierend auf der Formatanalyse. In der forensischen Datenverarbeitung ist Sculpting eine nützliche Methode, um versteckte oder gelöschte Dateien auf digitalen Medien zu finden. FDateien können in Bereichen wie verlorenen Clustern, nicht zugeordneten Clustern und Wiedergabe von Discs oder digitalen Medien versteckt werden. Um diese Extraktionsmethode zu verwenden, muss eine Datei eine Standardsignatur haben, die als a . bezeichnet wird Dateikopf, am Anfang der Datei. Um den Dateiheader zu erhalten, fragt das Wiederherstellungstool weiter ab, bis es die Fußzeile der Datei am Ende der Datei erreicht. Die Daten zwischen Kopf- und Fußzeile werden extrahiert und analysiert, um die Integrität zu gewährleisten. Je nach Dateityp werden in seinen Algorithmen mehrere Sculpting-Methoden verwendet.

Moderne Betriebssysteme löschen gelöschte Dateien ohne Benutzerberechtigung nicht vollständig. Gelöschte Dateien können durch verschiedene forensische Tools und Taktiken wiederhergestellt werden, wenn die gelöschten Dateien nicht zu einer anderen Datei hinzugefügt werden. Beschädigte Dateien können wiederhergestellt werden, wenn die Daten nicht bis zur Unkenntlichkeit beschädigt sind.

Es gibt einen großen Unterschied zwischen Dateiwiederherstellung und Dateischnitzen. Die Dateiwiederherstellung verwendet Informationen aus dem Dateisystem; unter Verwendung dieser Informationen können mehrere Dateien wiederhergestellt werden. Wenn die Informationen falsch sind, funktioniert es nicht. Mit dem Aufkommen des File Carving haben Strafverfolgungs-, Technologie- und Forensiker ein weiteres Tool gefunden, mit dem gelöschte Daten wiederhergestellt werden können. Es ist zwar nicht immer perfekt und raffiniert, aber Tools wie Vor allem Skalpell, und Fotorezept haben die Dateiwiederherstellung einfacher denn je gemacht.