Phenquestions
Živé disky CD nebo DVD nabízejí způsob, jak zavést systémovou jednotku, stejně jako jednotku vyměnitelného nebo pevného média, což vám umožní použít správce souborů nebo software k načtení souboru. Diskový server může tyto případy poškodit a ukládat cenné nebo proprietární datové soubory do samostatných oddílů v souborech OS.
Řezba souborů je postup používaný při vyšetřování místa činu na PC k extrakci informací z pevného disku nebo jiných úložných zařízení bez pomoci tabulky systému souborů, která původně vytvořila původní soubor. File Carving je strategie, která předpokládá kontrolu nad dokumenty v nepřiděleném prostoru bez dat a používá se k obnovení informací k provedení počítačového klinického vyšetření. Tento proces byl původně nazýván „design“, což je obecný termín pro odstraňování organizovaných informací z hrubých informací, s ohledem na konkrétní atributy vzorce organizace uložených informací.
Forenzní metoda, která získává zpět dokumenty, závisí na struktuře a obsahu souborů bez příslušných metadat systému souborů. Řezání souborů vám umožňuje obnovit soubory z nepřiděleného místa na libovolné jednotce. Oblast jednotky označená strukturou systému souborů (tabulka souborů), která neobsahuje žádné informace o systému souborů, se nazývá nepřidělené místo.
Chybějící nebo poškozené struktury systému souborů mohou ovlivnit celou jednotku. Jednoduše řečeno, mnoho souborových systémů nevymaže data, když jsou odstraněna. Místo toho jednoduše vylučuje znalosti o tom, odkud je. Skenování nezpracovaných bajtů a jejich uvedení do pořádku je základním procesem vyřezávání souborů. Tento proces provádí zkoumání záhlaví (první bajty) a zápatí (poslední bajty) souboru.
Řezání souborů je vynikající způsob, jak obnovit soubory a fragmenty souborů, když je text poškozený nebo chybí. Odborníci jej často používají při řešení problémů k opětovnému prozkoumání důkazů. Příklad zákazu a možnosti evakuace médií nastal, když byly během útoku amerického pečetního námořnictva odstraněny informace z táborů Usámy bin Ládina. Forenzní vyšetřovatelé použili metody obnovy souborů k obnovení dat z disků a systémů používaných v táborech.
Přehled souborových systémů
A souborový systém ije typ databáze používaný k ukládání, aktualizaci a načítání souborů nebo několika čísel souborů. Jedná se o způsob, jakým se soubory logicky archivují a pojmenují pro archivaci a obnovu. Níže jsou uvedeny různé typy souborových systémů:
Souborový systém Windows: Microsoft Windows používá pouze dva typy FAT a NTFS.
- TLUSTÝ, což znamená „alokační tabulka souborů“, je nejjednodušší typ souborového systému obsahující bootovací sektor, alokační tabulku souborů a jednoduchý úložný prostor pro ukládání souborů a složek. Nedávno FAT přišel v FAT16, FAT12 a FAT32. FAT32 je kompatibilní s úložnými zařízeními se systémem Windows. Systém Windows nemůže vytvořit souborový systém FAT32 se souborem větším než 32 GB.
- NTFS, zkratka „New Technology File System“, je nyní výchozí souborový systém pro soubory větší než 32 GB. Šifrování a řízení přístupu jsou některé hlavní vlastnosti tohoto systému souborů.
Souborový systém Linux: Linux je široce používaný operační systém s otevřeným zdrojovým kódem a byl vyvinut pro testování a vývoj. Tento OS měl používat různé koncepty souborového systému. V systému Linux existuje několik typů souborových systémů.
- Ext2, Ext3, Ext4 - Toto je místní nebo výchozí systém souborů Linux. Kořenový souborový systém je obecně mcapped na celou distribuci Linuxu. Systém souborů Ext3 je vynikající aktualizací dříve používaného systému souborů Ext2; používá operaci zápisu transakčního souboru. Ext4 je příponový soubor, který podporuje informace o Ext3 a přiřazování souborů.
- ReiserFS - Problém se souborovým systémem je vyřešen uložením mnoha malých souborů najednou. Správce souborů se dobře zasmál a povolení kompatibilního souboru, ukládání kódu souboru, soubor obsahuje metadata v režimu nepoužívání velkého souborového systému kvůli jeho velikosti.
- XFS - Systém souborů XFS funguje dobře a je široce používán pro archivaci souborů. Tento typ souborového systému je populární na serverech IRIX.
- JFS - IBM vyvinula tento souborový systém a stal se souborovým systémem, který se používá téměř ve všech distribucích Linuxu
souborový systém macOS: Operační systém Apple Macintosh používá pouze HFS + souborový systém bez přípony systému souborů HFS. MacOS, iPhony, iPady a všechny ostatní produkty Apple používají HFS + souborový systém. Některé produkty Apple Server používají souborový systém Hscan. Tento renomovaný souborový systém sleduje informace týkající se zobrazení adresářů, umístění oken atd.
Techniky řezání souborů
Během digitálního vyšetřování je nutné analyzovat různé typy médií. Příslušné informace lze najít na několika paměťových zařízeních a v paměti počítače. Mohou být rozděleny různé typy informací, například e-mail, elektronické zprávy, protokoly rámce a mediální záznamy. Vyřezávání souborů je technika obnovy, při které se zohledňuje pouze obsah a struktura souboru, nikoli metadata souboru použitá při organizaci dat na paměťovém médiu.
Níže je třeba si pamatovat některé terminologie carvingu souborů:
- Blok - Nejmenší velikost datových jednotek, které lze zapsat do úložiště
- Záhlaví - Výchozí bod souboru.
- Zápatí - Poslední bajty souboru.
- Fragment - Jeden nebo několik bloků patří do jednoho souboru.
- Základní fragment - První fragment kontejneru souboru, záhlaví souboru.
- Fragmentační bod - Poslední blok těsně před fragmentací. Více fragmentů v libovolném souboru vede k několika bodům fragmentace.
Špičkové podnikové univerzální techniky vyřezávání pilníků jsou následující:
- Technika záhlaví a zápatí (nebo záhlaví - „maximální velikost souboru“) - Základní strategií je vyřezávat soubory na základě názvu a rukopisu nebo celkových souborů.
- Soubory rozšíření JPG nebo JPEG - „\ XFF \ xD8“ a „\ xFF \ xD9.“
- GIF - nadpis „\ x47 \ x49 \ x46 \ x38 \ x37 \ x61“ a zápatí „\ x00 \ x3B“.
- PST: „! BDN “nadpis bez zápatí.
- Pokud souborový systém nemá základnu, maximální počet souborů použitých v řezbářském programu.
- Řezba založená na struktuře souborů
- Vnitřní rozložení souboru se používá jako základní technika.
- Záhlaví, zápatí, řetězce ID a informace o velikosti jsou základní prvky.
- Řezba podle obsahu
Struktura obsahu je zdarma (MBOX, HTML, XML)
- Vlastnosti materiálu
- Počet znaků
- Rozpoznávání textu / jazyka
- Černobílý seznam údajů
- Informační entropie
- Statistické charakteristiky (Chi2)
Vyřezávání souboru (bez použití jakéhokoli nástroje)
Dále uvidíme, jak vyřezat a .jpeg soubor bez použití nástroje. Nejprve musíme znát strukturu .soubor jpeg (záhlaví a zápatí atd.). Za tímto účelem otevřete a .obrázek jpeg v souboru Hex editor prozkoumat, co záhlaví a zápatí .Soubor jpeg vypadá.
Zde jsme našli záhlaví souboru ( FFD8FFE0). Nyní, abychom našli zápatí, prozkoumáme poslední bajty v souboru.
Zde máme zápatí souboru nebo upoutávku (FFD9).
Pokud máte dokument, na kterém je obrázek, můžete jej vyřezat pomocí znalosti jeho záhlaví a zápatí.
Nyní máme slovní soubor s obrázkem. Pomocí této techniky vyřezáme obrázek.
První věcí, kterou musíme udělat, je otevřít tento wordový dokument pomocí Hex editor kliknutím Soubor >> Otevřít.
Zde vidíme obrázek zobrazující data souboru se slovem v hexadecimálním tvaru. Jak již víme, .Soubor jpeg má hodnotu záhlaví FFD8FFE0, takže budeme hledat záhlaví souboru stisknutím Ctrl + F nebo Hledat >> Soubor a zadání známé hodnoty záhlaví (výběr datového typu hexadecimální hodnoty je v tomto kroku velmi důležitý).
Na Offsetu najdeme hodnotu podpisu 14FD.
Dále musíme hledat zápatí nebo přívěs. Víme, že .Soubor jpeg má zápatí hodnotu FFD9, tak vyhledáme zápatí souboru stisknutím Ctrl + F nebo Hledat >> Soubor a zadání známé hodnoty zápatí (výběr datového typu hexadecimální hodnoty je velmi důležitý.
Na zápatí najdeme hodnotu zápatí 2 ADB.
V současné době máme záhlaví a zápatí dokumentu JPEG, a jak jsme nedávno uvedli, mezi záhlaví a zápatí jsou informace záznamu JPEG. Zde duplikujeme celý čtverec informací s hlavičkou a zápatí a uložíme jej jako další soubor.
Jít do EDIT >> Vyberte Blokovat a zadejte oba následující výrazy:
Ofset záhlaví souboru: 14FD
Posun zápatí souboru: 2 ADB
Po zadání těchto hodnot celá .soubor jpeg bude označen modře. Chcete-li jej uložit jako soubor dfile, zkopírujte jej kliknutím pravým tlačítkem a výběrem kopírovat, nebo stisknutím Ctrl + C. Dále vložíme informace do nového souboru. Zobrazí se dialogové okno a my klikneme OK. Nyní jsme připraveni soubor uložit kliknutím Soubor >> Uložit jako nebo stisknutím Ctrl + S. Pokud otevřete tento zkopírovaný soubor, uvidíte stejný obrázek jako v původním dokumentu. Toto je základní technika pro vyřezávání mediálních souborů.
Nástroje pro vyřezávání dat
Nástroje pro obnovu dat hrají důležitou roli ve většině forenzních vyšetřování, protože chytří útočníci se vždy snaží vymazat důkazy o svých zločinech. Níže jsou uvedeny některé důležité nástroje pro obnovu dat Linux a Okna.
- Foremost (nástroj pro vyřezávání pilníků)
Obnovit soubory, které jsou ztraceny v důsledku jejich interních datových struktur, záhlaví a zápatí, především, může být použito. Foremost obvykle přijímá vstup v různých obrazových formátech, jako je AFF nebo raw formátů, které lze generovat pomocí různých nástrojů, jako je FTK Imager, DD, encase atd. Můžete přejít na hlavní stránku nápovědy, kde se můžete naučit a prozkoumat jeho výkonné příkazy pomocí následujícího příkazu:
[chráněno e-mailem]: ~ $ foremost -h Obnoví soubory z obrazu disku na základě typů souborů určenýchuživatele pomocí přepínače -t.
jpg Podpora formátů JFIF a Exif, včetně implementací
používané v moderních digitálních fotoaparátech.
gif
png
bmp Podpora formátu Windows bmp.
avi
Podpora exe pro binární soubory Windows PE extrahuje soubory DLL a EXE
spolu s jejich časy kompilace.
mpg Podpora pro většinu souborů MPEG (musí začínat 0x000001BA)
WAV
riff Tím se extrahuje AVI a RIFF, protože používají stejný soubor pro
mat (RIFF). zaznamenávejte rychleji než každý zvlášť.
Poznámka wmv může také extrahovat soubory wma, protože mají podobný formát.
ole Tímto uchopíte jakýkoli soubor pomocí struktury souborů OLE. Tento
zahrnuje PowerPoint, Word, Excel, Access a StarWriter
doc Všimněte si, že je efektivnější spouštět OLE, protože získáte více peněz
tvůj prachy. Pokud chcete ignorovat všechny ostatní soubory ole, použijte
tento.
zip Všimněte si, že se rozbalí .soubory jar také proto, že používají podobné
formát. Otevřené dokumenty Office jsou jen soubory XML zazipované, takže ano
jsou také extrahovány. Patří mezi ně SXW, SXC, SXI a SX? pro
neurčené soubory OpenOffice. Soubory Office 2007 jsou také XML
založené (PPTX, DOCX, XLSX)
rar
htm
detekce zdrojového kódu cpp C, je to primitivní a může se generovat
jiné dokumenty než kód C.
mp4 Podpora souborů MP4.
all Spustit všechny předdefinované metody extrakce. [Výchozí, pokud není -t
specifikováno]
- BinWalk
BinWalk se používá ke správě binárních knihoven a extrakci důležitých dat z obrazů firmwaru. Tento nástroj je skvělý pro ty, kteří vědí, jak jej používat. BinWalk je považován za jeden z nejlepších dostupných nástrojů pro reverzní inženýrství a extrahování obrazů firmwaru. BinWalk se snadno používá a přichází s obrovskými schopnostmi. Můžete přejít na stránku nápovědy binwalk a dozvědět se více pomocí následujícího příkazu:
[chráněno e-mailem]: ~ $ binwalk --help Možnosti kontroly podpisu:-B, --signature Skenování cílových souborů pro společné podpisy souborů
-R, --raw = Vyhledat cílové soubory pro zadanou sekvenci bajtů
-A, --opcodes Zkontrolovat cílové soubory pro společné spustitelné podpisy opcode
-m, --magic = Určete vlastní magický soubor, který se má použít
-b, --dumb Zakáže klíčová slova pro inteligentní podpis
-I, --invalid Zobrazit výsledky označené jako neplatné
-x, --exclude = Vyloučit výsledky, které odpovídají
-y, --include = Zobrazit pouze výsledky, které odpovídají
Možnosti extrakce:
-e, --extract Automaticky extrahuje známé typy souborů
-D, --dd = Extrahovat podpisy, dát příponám souborů a spustit
-M, --matryoshka Rekurzivně skenuje extrahované soubory
-d, --depth = Omezit hloubku rekurze matryoshky (výchozí: 8 úrovní hluboko)
-C, --directory = Extrahovat soubory / složky do vlastního adresáře (výchozí: aktuální pracovní adresář)
-j, --size = Omezit velikost každého extrahovaného souboru
-n, --count = Omezit počet extrahovaných souborů
-r, --rm Odstranit vyřezávané soubory po extrakci
-z, - carve Vyřezává data ze souborů, ale nespouští nástroje pro extrakci
Možnosti analýzy entropie:
-E, --entropy Vypočítá entropii souboru
-F, - rychlý Použijte rychlejší, ale méně podrobnou analýzu entropie
-J, - uložit Uložit obrázek jako PNG
-Q, --nlegend Vynechat legendu z grafu entropického grafu
-N, --nplot Nevytvářejte entropický graf grafu
-H, --high = Nastavit práh spouštění entropie vzestupné hrany (výchozí: 0.95)
-L, --low = Nastavit práh spouštění entropie sestupné hrany (výchozí: 0.85)
Možnosti binárního rozdílu:
-W, --hexdump Provede hexdump / diff souboru nebo souborů
-G, --green Zobrazit pouze řádky obsahující bajty, které jsou stejné mezi všemi soubory
-i, --red Zobrazit pouze řádky obsahující bajty, které se mezi všemi soubory liší
-U, --blue Zobrazit pouze řádky obsahující bajty, které se u některých souborů liší
-w, --terse Diff all files, but only display a hex dump of the first file
Možnosti surové komprese:
-X, --deflate Prohledejte surové kompresní proudy deflace
-Z, --lzma Vyhledá surové kompresní proudy LZMA
-P, --partial Proveďte povrchní, ale rychlejší skenování
-S, - zastavit Zastavit po prvním výsledku
Obecné možnosti:
-l, --length = Počet bajtů ke skenování
-o, --offset = Spustit skenování u tohoto offsetu souboru
-O, --base = Přidat základní adresu ke všem tištěným ofsetům
-K, --block = Nastavit velikost bloku souboru
-g, --swap = Obrátit každých n bajtů před skenováním
-f, --log = Protokolovat výsledky do souboru
-c, --csv Přihlaste výsledky do souboru ve formátu CSV
-t, --term Formátuje výstup, aby se vešel do okna terminálu
-q, --quiet Potlačí výstup na standardní výstup
-v, --verbose Povolit podrobný výstup
-h, --help Zobrazit výstup nápovědy
-a, --finclude = Zkontrolovat pouze soubory, jejichž názvy odpovídají tomuto regulárnímu výrazu
-p, --fexclude = Nekontrolovat soubory, jejichž názvy odpovídají tomuto regulárnímu výrazu
-s, --status = Povolit stavový server na zadaném portu
Obnova dat z formátovaných disků
Nástroje pro obnovu dat by měly být vybírány opatrně, aby obnovily informace z formátovaných disků, USB flash disků a paměťových karet. Nástroje určené k dokončení různých činností mohou přinést neočekávané výsledky. Níže se podíváme na některé rozdíly mezi různými nástroji pro obnovu dat pro opravu dat ve formátovaných jednotkách.
Neformátovaný
První závažnou chybou, které mnoho uživatelů počítačů udělá při náhodném formátování disků, je hledání, instalace a používání „neformátovaných“ nástrojů. Na trhu existuje mnoho těchto nástrojů; některé jsou komerční a jiné jsou zboží zdarma. Účelem těchto nástrojů je obnovit nebo znovu vytvořit předformátovaný disk obnovením systému souborů.
I když se to může zdát jako životaschopný přístup k nezkušenému, mohlo by to být nakonec větší chyba než ztráta souborů na prvním místě. Formátování disku vyprázdní původní souborový systém a nahradí jej alespoň částečně, obvykle na začátku. Při pokusu o obnovení starého systému souborů je nejlepší disk, který je čitelný pro některé vaše soubory. Všechno nelze obnovit přesně tak, jak to bylo tímto způsobem, a ty nejcennější soubory by mohly být ohroženy, pouze s náhodnými vzorky původních souborů na disku. Když přemýšlíte o „formátování“ systémové jednotky, zapomeňte na to; alespoň některé systémové soubory budou pryč. I když můžete zavést operační systém, nikdy nezískáte stabilní systém.
Obnovit
Druhou chybou, kterou mnoho uživatelů počítačů udělá, je použití nástrojů pro obnovení. Ačkoli tyto nástroje existují a mají tendenci dělat svou práci v dobré víře, nejsou navrženy pro práci s disky s vyloučeným souborovým systémem. I s některými z nejlepších nástrojů pro obnovení, jako je RS File Recovery, můžete odstranit více souborů, ale to je vše.
Obnova oddílu
Chcete-li obnovit soubory, měli byste hledat nástroj pro obnovení oddílu, jako je RS Partition Recovery. Tento nástroj, navržený ke zpracování distribuovaných, naformátovaných a poškozených disků, dokáže skenovat celý povrch disku nebo oddílu a obnovit vše, co najde. I když je souborový systém prázdný nebo odstraněný, může tento nástroj pomocí funkce podpisu obnovit mnoho typů souborů, jako jsou dokumenty, obrázky a videa. Přestože jsou segmentované nástroje pro obnovení špičkové pro obnovu dat, jsou obvykle poměrně drahé. Pokud chcete obnovit pouze naformátovaný disk, může být užitečné místo toho vyhledat a uložit.
Obnova souborů FAT a NTFS
Výběrem nástroje, který obnoví pouze disky ve formátu FAT nebo NTFS, můžete ušetřit až 40% nákladů na obnovení oddílu RS. Nezapomeňte, že si budete muset zakoupit nástroj, který je vhodný pro původní souborový systém, nikoli pro ten, který je napsán výše. Pokud je původní jednotka NTFS, získejte NTFS Recovery RS. Pokud je to FAT nebo FAT32, získejte FAT Recovery RS. Tímto způsobem získáte stejně kvalitní nástroje, ale budete omezeni na formátování FAT nebo NTFS. To je ideální volba pro jedinečnou práci.
Vyřezávání souborů (pomocí nástroje)
PhotoRec je úžasný software používaný k vyřezávání souborů a zejména souborů jpeg nebo obrázků (proto se jmenuje Photo Recovery). PhotoRec přehlíží rámec dokumentu a sleduje základní informace, takže bude fungovat bez ohledu na to, zda byl rámec záznamu vašeho média vážně poškozen nebo přeformátován. Photorec je snadno přístupný v operačních systémech Windows.
Jako příklad pomocí tohoto nástroje obnovíme obrazové soubory z 8 GB flash disku.
Nejprve spusťte PhotoRec.exe soubor a spusťte aplikaci. Uvidíme takovou obrazovku:
Zde máme zobrazeny všechny oddíly. Vybereme / K jako náš požadovaný cíl, ze kterého lze obnovit data.
Zde vidíme, jaký systém souborů tento oddíl používá, a dole jsou čtyři možnosti.
Vyhledávání - Tím se prohledá oddíl, ve kterém jsou uloženy soubory pro obnovení.
Možnosti - Používá se pro drobné změny v možnostech.
File Opt - Slouží k úpravě typů souborů, které se mají obnovit.
Přestat - Ukončí proces.
Vybereme File Opt (Možnosti souboru):
To nám dá možnosti pro výběr souborů, které chceme obnovit z požadovaného oddílu. Lisování S zruší označení všech možností. Vybereme JPG obrázky, protože chceme obnovit pouze obrazové soubory z jednotky. Dále stiskneme B.
Chcete-li vybrat Souborový systém, vraťte se k hlavním možnostem a vyberte jiný. Pokud jde o možnosti obnovení, máme dvě možnosti:
- zotavit se z celý oddíl
- zotavení z pouze nepřidělené místo (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3 atd.). Pomocí této možnosti budou obnoveny pouze soubory, které byly odstraněny.
Vše, co musíme udělat, je nastavit umístění, kde budou odstraněné soubory obnoveny. Poté bude proces obnovy spuštěn a dokončen po určité době. Poté vyhledáme obnovené soubory v nastaveném umístění. Obnovené obrazové soubory tam budou.
Závěr
Řezba souborů je známý forenzní počítačový výraz, který popisuje identifikaci typů souborů a jejich odstraňování z nepodřízených klastrů pomocí podpisů souborů. Podpis souboru, známý také jako magické číslo, je číselná nebo trvalá textová hodnota používaná k identifikaci formátu souboru. Extrakce souborů nebo dat je termín používaný v oblasti forenzní informatiky. Počítačově forenzní vyšetřování je získávání, ověřování, analýza a dokumentace důkazů obsažených v počítačovém systému, síti počítačů nebo jiných formách digitálních médií. Extrakce smysluplných dat ze surových dat se nazývá řezba.
Sochařství souborů je identifikace a obnova souborů na základě analýzy formátu. V forenzních výpočtech je sochařství užitečným způsobem, jak najít skryté nebo odstraněné soubory na digitálních médiích. Soubory FF lze skrýt v oblastech, jako jsou ztracené klastry, nepřidělené klastry a přehrávání disků nebo digitálních médií. Chcete-li použít tuto metodu extrakce, musí mít soubor standardní podpis, který se nazývá a záhlaví souboru, na začátku souboru. Chcete-li získat záhlaví souboru, bude nástroj pro obnovení pokračovat v dotazování, dokud nedosáhne zápatí souboru na konci souboru. Data mezi záhlaví a zápatí jsou extrahována a analyzována, aby byla zajištěna integrita. V jeho algoritmech se používá několik sochařských metod, v závislosti na typu souboru.
Moderní operační systémy zcela neodstraní smazané soubory bez souhlasu uživatele. Odstraněné soubory lze obnovit pomocí různých forenzních nástrojů a taktik, pokud odstraněné soubory nejsou přidány do jiného souboru. Poškozené soubory lze obnovit, pokud data nejsou poškozena k nepoznání.
Mezi obnovou souborů a vyřezáváním souborů je velký rozdíl. Obnova souborů využívá informace ze systému souborů; využitím těchto informací lze obnovit několik souborů. Pokud jsou informace nesprávné, nebudou fungovat. S příchodem vyřezávání souborů našli donucovací orgány, technologičtí profesionálové a forenzní profesionálové další nástroj, který lze použít k obnovení smazaných dat. I když to není vždy dokonalé a rafinované, nástroje jako Především skalpel, a Photorec učinili rekreaci souborů snadnější než kdy dříve.
