Filutskjæring og dataregistrering
Live CDer eller DVD -er tilbyr en måte å starte systemstasjonen på, samt den flyttbare eller faste mediestasjonen, slik at du kan bruke filbehandleren eller programvaren til å laste inn filen. En diskserver kan ødelegge disse sakene og lagre verdifulle eller proprietære datafiler i separate rom i OS -filene.
Filutskjæring er en prosedyre som brukes i PC Crime Scene Investigation for å hente ut informasjon fra en harddisk eller andre lagringsenheter uten hjelp fra filsystemtabellen som opprettet den originale filen i utgangspunktet. Filskjæring er en strategi som forutsetter kontroll over dokumenter i ikke tildelt rom uten data og brukes til å gjenopprette informasjon for å spille ut en datastyrt klinisk undersøkelse. Denne prosessen ble opprinnelig kalt "design", som er et generelt betegnelse for å fjerne organisert informasjon fra rå informasjon, i lys av de spesielle attributtene til mønsteret for organisering av den lagrede informasjonen.
En rettsmedisinsk metode som henter dokumenter er avhengig av strukturen og innholdet i filene uten passende filsystemmetadata. Filskjæring lar deg gjenopprette filer fra ikke tildelt plass i en hvilken som helst stasjon. Området til stasjonen som er angitt med filsystemstrukturen (filtabellen) som ikke har noen filsysteminformasjon, kalles ikke tildelt rom.
Manglende eller skadede filsystemstrukturer kan påvirke hele stasjonen. Enkelt sagt, mange filsystemer sletter ikke data når de blir slettet. I stedet eliminerer det ganske enkelt kunnskapen om hvor den er fra. Å skanne rå byte og sette dem i orden er den grunnleggende prosessen med filskjæring. Denne prosessen utføres av Undersøkelse av overskriften (første byte) og bunntekst (siste byte) av en fil.
Filutskjæring er en utmerket måte å gjenopprette filer og filfragmenter når tekst er skadet eller mangler. Det brukes ofte av fagpersoner i feilsøking for å undersøke bevisene på nytt. Et eksempel på forbudet og evnen til å evakuere medier skjedde da informasjonen ble fjernet fra leirene til Osama bin Laden under angrepet av US Seals Navy. Forensics -etterforskere brukte filgjenopprettingsmetoder for å gjenopprette data fra stasjonene og systemene som ble brukt i leirene.
Filsystemoversikt
EN filsystem is en type database som brukes til lagring, oppdatering og henting av filer eller flere antall filer. Det er en måte filer er arkivert logisk og oppkalt for arkivering og gjenoppretting. Det er forskjellige typer filsystemer nevnt nedenfor:
Windows -filsystem: Microsoft Windows bruker bare to typer fett og NTF -er.
- FETT, som betyr 'filallokeringstabell', er den enkleste typen filsystem som inneholder en oppstartssektor, en filtildelingstabell og et enkelt lagringsplass for lagring av filer og mapper. Nylig kom fett i FAT16, FAT12 og FAT32. FAT32 er kompatibel med Windows-baserte lagringsenheter. Windows kan ikke opprette et FAT32 -filsystem med en fil som er større enn 32 GB.
- NTFS, Forkortelse av "Nytt teknologifilsystem" er nå et standard filsystem for filer større enn 32 GB. Kryptering og tilgangskontroll er noen hovedegenskaper for dette filsystemet.
Linux -filsystem: Linux er et mye brukt operativsystem for åpen kildekode, og ble utviklet for testing og utvikling. Dette operativsystemet var ment å bruke forskjellige filsystemkonsepter. I Linux er det flere typer filsystemer.
- Ext2, ext3, ext4 - Dette er det lokale, eller standard, Linux -filsystemet. Rotfilsystemet er vanligvis McApped til hele Linux -distribusjonen. Ext3 -filsystemet er en utmerket oppdatering av det tidligere brukte Ext2 -filsystemet; Den bruker den transaksjonelle filskrivingsoperasjonen. Ext4 er en utvidelsesfil som støtter ext3 -informasjon og filattribusjon.
- Reiserfs - Filsystemproblemet løses ved å lagre mange små filer samtidig. Det er en god latter fra File Manager, og tillatelse fra den kompatible filen, lagring av filkoden, filen inneholder metadata i modus for ikke å bruke det store filsystemet på grunn av størrelsen.
- Xfs - XFS -filsystemet fungerer bra og er mye brukt til arkivering av filer. Denne filsystemtypen er populær på Irix -servere.
- JFS - IBM utviklet dette filsystemet, og det har blitt et filsystem som brukes på nesten alle Linux -distribusjoner
MacOS -filsystem: Apple Macintosh -operativsystemet bruker bare HFS + Filsystem uten HFS -filsystemets utvidelse. MacOS, iPhones, iPads og alle andre Apple -produkter bruker HFS + filsystem. Noen Apple Server -produkter bruker HSCAN -filsystemet. Dette anerkjente filsystemet holder oversikt over informasjon relatert til katalogens visning, Windows -plassering osv.
Filutskjæringsteknikker
Under den digitale undersøkelsen er det nødvendig å analysere de forskjellige mediene typer. Gjeldende informasjon finner du på flere lagringsenheter og i PC -minnet. Ulike typer informasjon kan brytes ned, for eksempel e -post, elektroniske rapporter, rammelogger og mediejournaler. Filskjæring er en gjenopprettingsteknikk der bare innholdet og strukturen i filen blir vurdert i stedet for filmetadata som brukes i organiseringen av data på lagringsmediet.
Nedenfor er noen filerminologier å huske:
- Blokkere - Den minste størrelsen på dataenheter som kan skrives til lagring
- Overskrift - Utgangspunktet for filen.
- Bunntekst - De siste byte av filen.
- Fragment - En eller flere blokker tilhører en enkelt fil.
- Base-fragment - Første fragment av filbeholderen, overskriften til filen.
- Fragmenteringspunkt - Den siste blokken rett før fragmentering finner sted. Flere fragmenter i alle filer resulterer i flere fragmenteringspunkter.
De øverste bedriftens universelle filutskjæringsteknikker er som følger:
- Header-Footer Technique (eller Header- “Maksimal filstørrelse”) - Den grunnleggende strategien her er å hugge filer basert på tittel og håndskrift eller totale filer.
- JPG- eller JPEG -utvidelsesfiler - “\ Xff \ xd8” og “\ xff \ xd9.”
- Gif - med tittelen “\ x47 \ x49 \ x46 \ x38 \ x37 \ x61” og “\ x00 \ x3b” bunntekst.
- PST: “! BDN ”på vei uten bunntekst.
- Hvis filsystemet ikke har en base, maksimalt antall filer som brukes i utskjæringsprogrammet.
- Filstrukturbasert utskjæring
- Den interne utformingen av filen brukes som en grunnleggende teknikk.
- Header, bunntekst, ID -strenger og informasjon er grunnleggende elementer.
- Innholdsbasert utskjæring
Innholdsstruktur er gratis (Mbox, HTML, XML)
- Kjennetegn på materialet
- Teller tegn
- Tekst / språkgjenkjenning
- Svart / hvitt dataliste
- Informasjonsentropi
- Statistiske egenskaper (chi2)
Hugger en fil (uten å bruke noe verktøy)
Deretter får vi se hvordan du kan hugge en .JPEG -fil uten å bruke et verktøy. Først må vi vite strukturen til .JPEG -fil (header og bunntekst, etc.). For å gjøre dette, vil vi åpne en .jpeg -bilde i Hex redaktør for å undersøke hva overskriften og bunnteksten av .jpeg -fil ser ut som.
Her fant vi filoverskriften ( Ffd8ffe0). Nå, for å finne bunnteksten, vil vi undersøke de siste byteene i filen.
Her har vi filfoten eller traileren (FFD9).
Hvis du har et dokument med et bilde i det, kan du snekre bildet ved å kjenne overskriften og bunnteksten.
Nå har vi en ordfil med et bilde i den. Vi vil skjære bildet ut ved hjelp av denne teknikken.
Det første vi trenger å gjøre er å åpne dette orddokumentet med Hex Redaktør ved å klikke Fil >> Åpne.
Her kan vi se en figur som viser ordfilens data i heksadesimal form. Som vi allerede vet, .JPEG -fil har en overskriftsverdi på Ffd8ffe0, Så vi vil søke etter filoverskriften ved å trykke på Ctrl + f eller Søk >> fil og legge inn den kjente overskriften (å velge Hex Value Data -typen er veldig viktig i dette trinnet).
Vi finner en signaturverdi ved forskyvning 14fd.
Deretter må vi søke etter en bunntekst eller trailer. Vi vet at .jpeg -fil har en bunntekstverdi på FFD9, Så vi vil søke etter filtounderen ved å trykke på Ctrl + f eller Søk >> fil og legge inn den kjente bunntekstverdien (å velge hex -verdidatatypen er veldig viktig.
Vi finner en bunntekstverdi ved forskyvning 2ADB.
For tiden har vi overskriften og bunnteksten til et JPEG -dokument, og som vi nylig har sagt, er mellom overskriften og bunnteksten informasjonen til en JPEG -post. Her dupliserer vi hele torget med informasjon med overskrift og bunntekst og lagrer den som en annen fil.
Gå til Rediger >> Velg blokkering og skriv inn begge følgende vilkår:
Filoverskriftsforskyvning: 14fd
Filfoten Offset: 2ADB
Etter å ha kommet inn i disse verdiene, hele .JPEG -filen vil være merket i blått. For å lagre den som en dfile, kopier den ved å høyreklikke og velge Kopiere, eller ved å trykke Ctrl + c. Deretter vil vi lime inn informasjonen i en ny fil. En dialogboks vises, og vi vil klikke Ok. Nå er vi klare til å lagre filen ved å klikke Fil >> Lagre som eller trykke Ctrl + s. Hvis du åpner denne kopierte filen, vil du se det samme bildet som var i originaldokumentet. Dette er den grunnleggende teknikken for å snekre mediefiler.
Datautskjæring
Verktøy for gjenoppretting av data spiller en viktig rolle i de fleste rettsmedisinske undersøkelser, ettersom smarte angripere alltid prøver å slette bevis på forbrytelsene. Nedenfor er noen viktige verktøy for datainnretting i Linux og Vinduer.
- Fremst (File Carving Tool)
For å gjenopprette filer som går tapt på grunn av deres interne datastrukturer, overskrifter og bunntekst, fremst, kan bli brukt. Fremst tar vanligvis innspill i forskjellige bildeformater, for eksempel AFF- eller RAW -formater, som kan genereres ved hjelp av en rekke verktøy, for eksempel FTK Imager, DD, Encase, etc. Du kan navigere til Foremosts hjelpeside for å lære og utforske dens kraftige kommandoer ved å bruke følgende kommando:
ubuntu@ubuntu: ~ $ fremst -hGjenopprett filer fra et diskbilde basert på filtyper spesifisert av
Bruker som bruker -t -bryteren.
JPG -støtte for JFIF- og EXIF -formatene, inkludert implementeringer
brukt i moderne digitale kameraer.
gif
png
BMP -støtte for Windows BMP -format.
avi
EXE -støtte for Windows PE Binaries vil trekke ut DLL- og EXE -filer
sammen med deres kompileringstider.
MPG -støtte for de fleste MPEG -filer (må begynne med 0x000001BA)
Wav
riff dette vil trekke ut avi og riff siden de bruker den samme filen for-
Mat (riff). Legg merke til raskere enn å løpe hver for seg.
WMV -notat kan også trekke ut WMA -filer, da de har et lignende format.
OLE Dette vil ta tak i en hvilken som helst fil ved hjelp av OLE -filstrukturen. Dette
Inkluderer PowerPoint, Word, Excel, Access og Starwriter
Doc Merk at det er mer effektivt å kjøre OLE når du får mer smell for
pengene dine. Hvis du ønsker å ignorere alle andre OLE -filer, så bruk
dette.
Zip Merk at den vil trekke ut .JAR -filer også fordi de bruker en lignende
format. Åpne kontordokumenter er bare zip'd XML -filer, så de
blir også trukket ut. Disse inkluderer SXW, SXC, SXI og SX? til
Ubestemte OpenOffice -filer. Office 2007 -filer er også XML
Basert (PPTX, Docx, XLSX)
rar
htm
CPP C kildekodedeteksjon, merk at dette er primitivt og kan generere
Andre dokumenter enn C -kode.
MP4 -støtte for MP4 -filer.
Alle kjører alle forhåndsdefinerte ekstraksjonsmetoder. [Standard hvis ingen -t er
spesifisert]
- Binwalk
Binwalk brukes til å administrere binære biblioteker og trekke ut viktige data fra firmwarebilder. Dette verktøyet er flott for de som vet hvordan de skal bruke det. Binwalk regnes som et av de beste verktøyene som er tilgjengelige for omvendt engineering og trekke ut firmwarebilder. Binwalk er enkel å bruke og har enorme evner. Du kan navigere til Binwalks hjelpeside for å lære mer ved hjelp av følgende kommando:
ubuntu@ubuntu: ~ $ binwalk --hjelp signatur skannealternativer:-B, -signatur skanner målfil (er) for vanlige filsignaturer
-R, - -RAW = skanner målfil (er) for den spesifiserte sekvensen av byte
-A, -OPCODES SCAN MÅL FIL (er) for vanlige kjørbare opcode -signaturer
-M, - -Magisk = spesifiser en tilpasset magisk fil som skal brukes
-B, - - -dumm deaktiverer smarte signatur nøkkelord
-I, -Invalid viser resultater markert som ugyldige
-x, -exclude = ekskludere resultater som samsvarer
-y, -include = bare vis resultater som samsvarer
Ekstraksjonsalternativer:
-E, -Ekstrakt trekker ut kjente filtyper automatisk
-D, - -dd = trekke ut signaturer, gi filene en utvidelse av og utfør
-M, -Matryoshka skanner rekursivt ekstraherte filer
-D, - -Dypth = Limt Matryoshka Recursion Depth (standard: 8 nivåer dypt)
-C, - - - -Directory = Extract Files/Folders to a Custom Directory (Standard: Gjeldende arbeidskatalog)
-j, -størrelse = Begrens størrelsen på hver ekstrahert fil
-n, -count = begrens antall ekstraherte filer
-r, - -rm slette utskårne filer etter utvinning
-Z, -CARVE CHARVE DATA fra filer, men ikke utfør utvinningsverktøy
Entropianalysealternativer:
-E, -Entropy Beregn filentropi
-F, -rask bruk raskere, men mindre detaljert, entropianalyse
-J, -Save Save Plot som en PNG
-Q, -Nlegend utelater legenden fra Entropy Plot -grafen
-N, -nplot ikke genererer en entropi plottgraf
-H, -Høy = sett den stigende kantets entropi -triggerterskel (standard: 0.95)
-L, -lav = sett den fallende kantets entropi -triggerterskel (standard: 0.85)
Binære diffingalternativer:
-W, - -HEXDUMP Utfør en hexdump / diff av en fil eller filer
-G, -Green viser bare linjer som inneholder byte som er de samme blant alle filene
-Jeg, -Red bare viser linjer som inneholder byte som er forskjellige mellom alle filer
-U, --blue viser bare linjer som inneholder byte som er forskjellige blant noen filer
-W, -Terse diff Alle filer, men viser bare en hex -dump av den første filen
Rå komprimeringsalternativer:
-X, -deflate skanning for rå deflate kompresjonsstrømmer
-Z, - -LZMA -skanning for rå LZMA -kompresjonsstrømmer
-P, -Partial utfører en overfladisk, men raskere, skanning
-S, -stopp stopp etter det første resultatet
Generelle alternativer:
-L, -Lengde = antall byte for å skanne
-o, -Offset = start skanning på denne filforskyvningen
-O, - -base = legg til en baseadresse til alle utskrevne forskyvninger
-K, -Block = Sett filblokkstørrelse
-g, -swap = snu hver n byte før skanning
-f, - -log = loggresultater til fil
-C, - -CSV Log Results to File In CSV -format
-t, -terminformatutgang for å passe til terminalvinduet
-Q, -Rett undertrykker output til stdout
-V, -Verbose Aktiver verbose output
-H, -Hjelp Vis hjelp
-A, -Finclude = Bare skannefiler hvis navn stemmer overens med denne regexen
-P, -FexClude = Ikke skann filer hvis navn stemmer overens med denne regexen
-s, --status = Aktiver statusserveren på den spesifiserte porten
Gjenopprette data fra formaterte disker
Verktøy for gjenoppretting av data bør velges nøye for å gjenopprette informasjon fra formaterte disker, USB -flash -stasjoner og minnekort. Verktøy designet for å fullføre forskjellige aktiviteter kan gi uventede resultater. Nedenfor vil vi se på noen av forskjellene mellom forskjellige datarevinningsverktøy for datakorreksjon i formaterte stasjoner.
Uformat
Den første fatale feilen som mange databrukere gjør når de tilfeldigvis formaterer stasjonene, er å finne, installere og bruke "uformaterte" verktøy. Det er mange av disse verktøyene på markedet; Noen er kommersielle, og andre er gratis varer. Hensikten med disse verktøyene er å gjenoppbygge eller gjenskape den preformaterte disken ved å gjenopprette filsystemet.
Selv om dette kan virke som en levedyktig tilnærming til de uerfarne, kan det ende opp med å være en større feil enn å miste filene i utgangspunktet. Formatering av disken skyller det originale filsystemet, og erstatter den i det minste delvis, vanligvis i begynnelsen. Når du prøver å gjenopprette det gamle filsystemet, er det beste du kan få en disk som er lesbar med noen av filene dine. Alt kan ikke gjenopprettes nøyaktig som det var på denne måten, og de mest dyrebare filene kan bli kompromittert, med bare tilfeldige prøver av de originale filene på disken. Når du tenker på å "formatere" en systemstasjon, glem den; I det minste vil noen systemfiler være borte. Selv om du kan starte opp operativsystemet, vil du aldri få et stabilt system.
Undelete
Den andre feilen som mange databrukere vil gjøre er å bruke gjenopprettingsverktøy. Selv om disse verktøyene eksisterer og har en tendens til å gjøre jobben sin i god tro, er de ikke designet for å håndtere disker med et ekskludert filsystem. Selv med noen av de beste gjenopprettingsverktøyene, for eksempel RS -filgjenoppretting, kan du slette flere filer, men det handler om det.
Partisjonsgjenoppretting
For å gjenopprette filer, bør du se etter et gjenopprettingsverktøy for partisjon som RS Partition Recovery. Dette verktøyet er designet for å håndtere distribuerte, formaterte og skadede disker, og kan skanne hele overflaten på en disk eller partisjon for å gjenopprette alt det kan finne. Selv om filsystemet er tomt eller slettet, kan dette verktøyet gjenopprette mange typer filer, for eksempel dokumenter, bilder og videoer, gjennom signaturfunksjonen. Selv om segmenterte gjenopprettingsverktøy er førsteklasses for gjenoppretting av data, er de vanligvis ganske dyre. Hvis du bare vil gjenopprette en formatert disk, kan det være nyttig å søke og lagre i stedet.
Fett og NTFS utvinning
Du kan spare opptil 40% på kostnadene for partisjon RS-utvinning ved å velge et verktøy som bare gjenoppretter fett- eller NTFS-formaterte disker. Husk at du må kjøpe et verktøy som passer for det originale filsystemet og ikke det som er skrevet ovenfor. Hvis den originale stasjonen er NTFS, må du få NTFS -gjenoppretting RS. Hvis det er fett eller fett32, må du få fettgjenvinningen RS. På denne måten vil du få de samme kvalitetsverktøyene, men du vil være begrenset til FAT eller NTFS -formatering. Dette er det perfekte valget for en unik jobb.
Utskjære filer (ved hjelp av et verktøy)
Photorec er en fantastisk programvare som brukes til å hugge filer og spesielt JPEG eller bildefiler (det er derfor den heter Fotogjenoppretting). Photorec har utsikt over dokumentrammen og forfølger den grunnleggende informasjonen, så den vil fungere uavhengig av om medias journalramme er blitt alvorlig skadet eller omformatert. Photorec er lett tilgjengelig på Windows -operativsystemer.
Som et eksempel vil vi gjenopprette bildefiler fra en 8-GB flash-stasjon ved hjelp av dette verktøyet.
Først, løp Photorec.EXE fil og start applikasjonen. Vi vil se en skjerm som dette:
Her har vi alle partisjonene som viser. Vi vil velge /K som vårt ønskede mål for å gjenopprette data.
Vi kan se hvilket filsystem denne partisjonen bruker her, og det er fire alternativer nederst.
Søk - Dette vil søke i partisjonen som inneholder filer for gjenoppretting.
Alternativer - Brukt til mindre endringer i alternativene.
Filopt - Brukes til å endre typene filer som skal gjenvinnes.
Slutte - Avslutter prosessen.
Vi vil velge Filopt (Filalternativer):
Dette vil gi oss alternativer for å velge filene vi ønsker å gjenopprette fra ønsket partisjon. Pressing S vil fjerne alle alternativene. Vi vil velge JPG -bilder, ettersom vi bare ønsker å gjenopprette bildefiler fra stasjonen. Deretter vil vi trykke B.
For å velge Filsystem, Gå tilbake til hovedalternativene og velg Annen. Når det gjelder gjenvinningsalternativer, har vi to valg:
- gjenopprette fra Hele partisjon
- Gjenoppretting fra ikke tildelte plass (FAT12, FAT16, FAT32, ext1, ext2, ext3, etc.). Ved å bruke dette alternativet vil bare filene som er slettet, bli gjenopprettet.
Nå, alt vi trenger å gjøre er å stille inn stedet der de slettede filene blir gjenopprettet. Etter det vil gjenopprettingsprosessen starte og avslutte etter å ha tatt litt tid. Deretter vil vi se etter de gjenopprettede filene på det angitte stedet. De gjenopprettede bildefilene vil være der.
Konklusjon
Filutskjæring er et kjent rettsmedisinsk datamaskinbetegnelse for å beskrive identifisere filtyper og fjerne dem fra ikke-underordnede klynger ved hjelp av filsignaturer. En filsignatur, også kjent som et magisk nummer, er en numerisk eller permanent tekstverdi som brukes til å identifisere filformatet. Utdrag av filer eller data er et begrep som brukes innen rettsmedisinske informatikk. En datastyrt rettsmedisinske etterforskning er et anskaffelse, verifisering, analyse og dokumentasjon av bevis som finnes i et datasystem, et nettverk av datamaskiner eller andre former for digitale medier. Å trekke ut meningsfulle data fra rå data kalles utskjæring.
Filskulptur er identifisering og gjenoppretting av filer basert på formatanalyse. I rettsmedisinske databehandling er skulptur en nyttig måte å finne skjulte eller slettede filer på digitale medier. FFILES kan skjules i områder som tapte klynger, ikke tildelte klynger og spille plater eller digitale medier. For å bruke denne ekstraksjonsmetoden, må en fil ha en standard signatur, kalt en filoverskrift, I begynnelsen av filen. For å få filoverskriften, vil gjenopprettingsverktøyet fortsette å spørre til den når bunnteksten på filen på slutten av filen. Dataene mellom overskriften og bunnteksten blir trukket ut og analysert for å sikre integritet. Flere skulpturmetoder brukes i algoritmene, avhengig av filtypen.
Moderne operativsystemer sletter ikke slettede filer fullt ut uten brukertillatelse. Slettede filer kan gjenopprettes gjennom forskjellige rettsmedisinske verktøy og taktikker hvis de slettede filene ikke legges til en annen fil. Skadede filer kan gjenopprettes hvis dataene ikke blir skadet uten anerkjennelse.
Det er mye forskjell mellom filgjenoppretting og filutskjæring. Filgjenoppretting bruker informasjon fra filsystemet; Ved å bruke denne informasjonen, kan flere filer gjenopprettes. Hvis informasjonen er feil, vil den ikke fungere. Med bruk av filutskjæring, har lovhåndhevelse, fagpersoner i teknologien og fagfolk i kriminalitet funnet et annet verktøy som kan brukes til å gjenopprette slettede data. Selv om det ikke alltid er perfekt og raffinert, som verktøy som Fremst, Scalpel, og Photorec har gjort fil rekreasjon enklere enn noen gang.