File Carving och Data Recovery

Processen att hämta otillgängliga, formaterade eller skadade eller skadade data från ett lagringsmedium när det inte är tillgängligt med normala metoder kallas Dataåterställning. Information återvinns vanligtvis från lagringsmedia; till exempel interna och externa hårddiskar (HDD); solid state-enheter (SSD); flash-enheter; magnetisk lagring, såsom CD-skivor och DVD-skivor; RAID-delsystem; och andra elektroniska prylar. Återhämtning kan krävas på grund av fysisk skada på lagringsenheter eller legitim skada på filsystemet, vilket förhindrar att systemet monteras av operativsystemet som fungerar som värd (OS). Ett definitivt mål är att duplicera alla grundläggande poster från skadade medier till en ny enhet. Det är möjligt att säkerhetskopiera information snabbt med hjälp av en Live CD eller DVD, starta lagligt från ROM, snarare än att använda den skadade enheten eller enheten för att hämta information från systemet.

Live CD-skivor eller DVD-skivor erbjuder ett sätt att starta systemdriven, såväl som den flyttbara eller fasta medieenheten, så att du kan använda filhanteraren eller programvaran för att ladda filen. En skivserver kan skada dessa fall och lagra värdefulla eller egna datafiler i separata fack i OS-filerna.

File Carving är ett förfarande som används vid PC-brottsplatsundersökning för att extrahera information från en hårddisk eller andra lagringsenheter utan hjälp av filsystemstabellen som skapade originalfilen i första hand. File Carving är en strategi som antar kontroll över dokument i odelat utrymme utan data och används för att återställa information för att spela en datoriserad klinisk undersökning. Denna process kallades ursprungligen "design", vilket är en allmän term för att ta bort organiserad information från rå information, mot bakgrund av de särskilda attributen för organisationsmönstret för den lagrade informationen.

En kriminalteknisk metod som återhämtar dokument är beroende av filernas struktur och innehåll utan lämplig filsystemmetadata. Med filhuggning kan du återställa filer från odelat utrymme på vilken enhet som helst. Det område på enheten som anges av filsystemstrukturen (filtabellen) som inte innehåller någon filsysteminformation kallas odelat utrymme.

Saknade eller skadade filsystemstrukturer kan påverka hela enheten. Enkelt uttryckt tar många filsystem inte bort data när de raderas. Istället eliminerar det helt enkelt kunskapen om var den kommer ifrån. Att skanna råa byte och ordna dem är den grundläggande processen för File Carving. Denna process utförs av undersöker rubriken (första byte) och sidfot (sista byte) i en fil.

Filhantering är ett utmärkt sätt att återställa filer och filfragment när texten är skadad eller saknas. Det används ofta av proffs vid felsökning för att ompröva bevisen. Ett exempel på förbudet och förmågan att evakuera media inträffade när informationen togs bort från Osama Bin Ladens läger under attacken av US Seals Navy. Forensics Investigators använde metoder för filåterställning för att återställa data från enheter och system som används i lägren.

Översikt över filsystem

A filsystem is en typ av databas som används för att lagra, uppdatera och hämta filer eller flera antal filer. Det är ett sätt på vilket filer arkiveras logiskt och namnges för arkivering och återställning. Det finns olika typer av filsystem som nämns nedan:

Windows filsystem: Microsoft Windows använder bara två typer av FAT och NTFS.

• FETT, vilket betyder 'filallokeringstabell', är den enklaste typen av filsystem som innehåller en startsektor, en filallokeringstabell och ett enkelt lagringsutrymme för lagring av filer och mappar. Nyligen kom FAT i FAT16, FAT12 och FAT32. FAT32 är kompatibel med Windows-baserade lagringsenheter. Windows kan inte skapa ett FAT32-filsystem med en fil som är större än 32 GB.
• NTFS, förkortning av "New Technology File System" är nu ett standardfilsystem för filer större än 32 GB. Kryptering och åtkomstkontroll är några huvudegenskaper för detta filsystem.

Linux-filsystem: Linux är ett allmänt använt operativsystem med öppen källkod och utvecklades för testning och utveckling. Detta operativsystem var avsett att använda olika filsystemkoncept. I Linux finns det flera typer av filsystem.

• Ext2, Ext3, Ext4 - Detta är det lokala, eller standard, Linux-filsystemet. Rotsfilsystemet är vanligtvis mcapped till hela Linux-distributionen. Ext3-filsystemet är en utmärkt uppdatering av det tidigare använda Ext2-filsystemet; den använder transaktionsfilsskrivningsoperationen.  Ext4 är en tilläggsfil som stöder Ext3-information och filtillskrivning.
• ReiserFS - Problemet med filsystemet löses genom att spara många små filer samtidigt. Det skrattas bra av filhanteraren, och tillståndet för den kompatibla filen, lagring av filkoden, filen innehåller metadata i läget att inte använda det stora filsystemet på grund av dess storlek.
•  XFS - XFS-filsystemet fungerar bra och används ofta för arkivering av filer. Den här filsystemstypen är populär på IRIX-servrar.
• JFS - IBM utvecklade detta filsystem, och det har blivit ett filsystem som används på nästan alla Linux-distributioner

macOS-filsystem: Apple Macintosh-operativsystemet använder bara HFS + filsystem utan HFS-filsystemstillägg. MacOS, iPhones, iPads och alla andra Apple-produkter använder HFS + filsystem. Vissa Apple Server-produkter använder Hscan-filsystemet. Det här kända filsystemet håller reda på information relaterad till katalogvy, Windows-plats osv.

Filhuggningstekniker

Under den digitala utredningen är det nödvändigt att analysera olika typer av media. Tillämplig information finns på flera lagringsenheter och i PC-minnet. Olika typer av information kan brytas ned, till exempel e-post, elektroniska rapporter, ramloggar och mediaposter. File carving är en återställningsteknik där endast innehållet och strukturen i filen beaktas snarare än filmetadata som används i organisationen av data på lagringsmediet.

Nedan följer några filhanteringsterminologier att komma ihåg:

• Blockera - Den minsta storleken på dataenheter som kan skrivas till lagring
• Rubrik - Utgångspunkten för filen.
• Sidfot - De sista byten i filen.
• Fragment - Ett eller flera block tillhör en enda fil.
• Basfragment - Första fragmentet av filbehållaren, rubriken på filen.
• Fragmenteringspunkt - Det sista blocket strax innan fragmentering äger rum. Flera fragment i valfri fil resulterar i flera fragmenteringspunkter.

De högsta allmänna filhanteringsteknikerna för företag är följande:

• Sidhuvudsteknik (eller sidhuvud - "maximal filstorlek") - Den grundläggande strategin här är att skära filer baserat på titel och handskrift eller totala filer.

1. JPG- eller JPEG-tilläggsfiler - “\ XFF \ xD8” och “\ xFF \ xD9.”
2. GIF - med titeln "\ x47 \ x49 \ x46 \ x38 \ x37 \ x61" och "\ x00 \ x3B" sidfot.
3. PST: “! BDN ”rubrik utan sidfot.
4. Om filsystemet inte har en bas, det maximala antalet filer som används i carving-programmet.

• Filstrukturbaserad snidning

1. Filens interna layout används som en grundläggande teknik.
2. Sidhuvud, sidfot, ID-strängar och storleksinformation är grundläggande element.

• Innehållsbaserad snidning

Innehållsstrukturen är gratis (MBOX, HTML, XML)

• Materialets egenskaper

1. Räkna tecken
2. Text / språkigenkänning
3. Svartvitt datalista
4. Informationsentropi
5. Statistiska egenskaper (Chi²)

Snida en fil (utan att använda något verktyg)

Därefter kommer vi att se hur man hugger en .jpeg-fil utan att använda ett verktyg. Först måste vi veta strukturen på .jpeg-fil (sidhuvud och sidfot osv.). För att göra detta öppnar vi en .jpeg-bild i Hex redaktör för att undersöka vad sidhuvudet och sidfoten på .jpeg-fil ser ut.

Här hittade vi filrubriken ( FFD8FFE0). För att hitta sidfoten kommer vi att undersöka de sista byten i filen.

Här har vi filfoten eller trailern (FFD9).

Om du har ett dokument med en bild i det kan du hugga bilden genom att känna till dess sidhuvud och sidfot.

Nu har vi en ordfil med en bild i den. Vi skär ut bilden med den här tekniken.

Det första vi behöver göra är att öppna detta orddokument med Hex redigerare genom att klicka Arkiv >> Öppna.

Här kan vi se en figur som visar ordfilens data i hexadecimal form. Som vi redan vet är .jpeg-filen har ett huvudvärde på FFD8FFE0, så vi söker efter filrubriken genom att trycka på Ctrl + F eller Sök >> Fil och ange det kända rubrikvärdet (att välja datatyp för hex-värde är mycket viktigt i detta steg).

Vi hittar ett signaturvärde vid Offset 14FD.

Därefter måste vi söka efter en sidfot eller släp. Vi vet att .jpeg-filen har ett sidfotvärde på FFD9, så vi söker efter filfoten genom att trycka på Ctrl + F eller Sök >> Fil och att ange det kända sidfotvärdet (att välja datatyp för hex-värde är mycket viktigt.

Vi hittar ett sidfotvärde vid Offset 2ADB.

För närvarande har vi sidhuvudet och sidfoten i ett jpeg-dokument, och som vi nyligen uppgav, mellan sidhuvudet och sidfoten är informationen om en jpeg-post. Här duplicerar vi hela informationen med sidhuvud och sidfot och lagrar den som en annan fil.

Gå till REDIGERA >> Välj Blockera och ange båda följande termer:

Offset för filrubrik: 14FD

Offset för filfot:  2ADB

Efter att ha angett dessa värden, hela .jpeg-filen kommer att markeras i blått. För att spara den som en dfil, kopiera den genom att högerklicka och välja Kopiera, eller genom att trycka på Ctrl + C. Därefter klistrar vi in ​​informationen i en ny fil. En dialogruta visas och vi klickar OK. Nu är vi redo att spara filen genom att klicka Arkiv >> Spara som eller trycka på Ctrl + S. Om du öppnar den kopierade filen ser du samma bild som i originaldokumentet. Detta är den grundläggande tekniken för att skära mediefiler.

Data Carving Tools

Dataåterställningsverktyg spelar en viktig roll i de flesta kriminaltekniska utredningar, eftersom smarta angripare alltid försöker radera bevis för sina brott. Nedan listas några viktiga verktyg för dataåterställning i Linux och Windows.

• Först (arkivverktyg)

Att återställa filer som går förlorade på grund av deras interna datastrukturer, sidhuvuden och sidfot, främst, kan användas. Främst tar vanligtvis inmatning i olika bildformat, till exempel AFF eller råformat, som kan genereras med en mängd olika verktyg, såsom FTK Imager, DD, encase, etc.  Du kan navigera till den främsta hjälpsidan för att lära dig och utforska dess kraftfulla kommandon med följande kommando:

[e-postskyddad]: ~ $ främst -h Återställ filer från en skivavbildning baserat på filtyper som anges av
användare med -t-omkopplaren.
jpg Stöd för JFIF- och Exif-format, inklusive implementeringar
används i moderna digitalkameror.
gif
png
bmp Stöd för Windows bmp-format.
avi
exe-stöd för Windows PE-binärer kommer att extrahera DLL- och EXE-filer
tillsammans med deras sammanställningstider.
mpg Stöd för de flesta MPEG-filer (måste börja med 0x000001BA)
wav
riff Detta extraherar AVI och RIFF eftersom de använder samma fil för‐
matta (RIFF). notera snabbare än att köra var och en separat.
wmv Note kan också extrahera wma-filer eftersom de har ett liknande format.
ole Detta kommer att fånga alla filer med OLE-filstrukturen. Detta
inkluderar PowerPoint, Word, Excel, Access och StarWriter
doc Observera att det är mer effektivt att köra OLE när du blir mer bang för
din bock. Om du vill ignorera alla andra OLE-filer, använd sedan
detta.
zip Observera att den extraheras .jar-filer också eftersom de använder en liknande
formatera. Open Office-dokument är bara zip-XML-filer, så de
extraheras också. Dessa inkluderar SXW, SXC, SXI och SX? för
obestämda OpenOffice-filer. Office 2007-filer är också XML
baserad (PPTX, DOCX, XLSX)
rar
htm
cpp C källkoddetektering, notera att detta är primitivt och kan generera
andra dokument än C-kod.
mp4 Stöd för MP4-filer.
alla Kör alla fördefinierade extraktionsmetoder. [Standard om inget -t är
specificerad]

• BinWalk

BinWalk används för att hantera binära bibliotek och extrahera viktiga data från firmwarebilder. Detta verktyg är bra för dem som vet hur man använder det. BinWalk anses vara ett av de bästa verktygen som finns tillgängliga för reverse engineering och extrahering av firmwarebilder. BinWalk är lätt att använda och har enorma funktioner. Du kan navigera till binwalks hjälpsida för att lära dig mer med följande kommando:

[e-postskyddad]: ~ $ binwalk --hjälp alternativ för signaturskanning:
-B, --signature Skanna målfil (er) för vanliga filsignaturer
-R, --raw = Skanna målfil (er) för den angivna sekvensen av byte
-A, --opcodes Skanna målfil (er) för vanliga körbara opkodsignaturer
-m, --magic = Ange en anpassad magisk fil som ska användas
-b, --dumb Inaktivera nyckelord för smarta signaturer
-I, --invalid Visa resultat markerade som ogiltiga
-x, --exclude = Uteslut resultat som matchar
-y, --include = Visa bara resultat som matchar
Extraktionsalternativ:
-e, --extract Extrahera automatiskt kända filtyper
-D, --dd = Extrahera signaturer, ge filerna en förlängning av och kör
-M, --matryoshka Skanna extraherade filer rekursivt
-d, --depth = Begränsa matryoshka rekursionsdjup (standard: 8 nivåer djup)
-C, --directory = Extrahera filer / mappar till en anpassad katalog (standard: aktuell arbetskatalog)
-j, --size = Begränsa storleken på varje extraherad fil
-n, --count = Begränsa antalet extraherade filer
-r, --rm Ta bort ristade filer efter extraktion
-z, --carve Carve data från filer, men kör inte extraktionsverktyg
Alternativ för entropianalys:
-E, --entropy Beräkna filentropi
-F, --fast Använd snabbare, men mindre detaljerad, entropianalys
-J, - spara Spara tomt som en PNG
-Q, --nlegend Utelämna legenden från entropi-plotdiagrammet
-N, --nplot Generera inte ett entropidiagram
-H, --high = Ställ in tröskelvärdet för entropi för stigande kant (standard: 0.95)
-L, --low = Ställ in tröskelvärdet för utlösande entropi (standard: 0.85)
Alternativ för binär skillnad:
-W, --hexdump Utför en hexdump / diff för en eller flera filer
-G, --grön Visa endast rader som innehåller byte som är desamma bland alla filer
-i, --red Visa endast rader som innehåller byte som skiljer sig från alla filer
-U, --blue Visa bara rader som innehåller byte som skiljer sig från vissa filer
-w, --terse Diff alla filer, men visa bara en hex-dumpning av den första filen
Rå komprimeringsalternativ:
-X, --deflate Skanna efter råa deflaterade komprimeringsströmmar
-Z, --lzma Sök efter råa LZMA-komprimeringsströmmar
-P, --partial Utför en ytlig, men snabbare, skanning
-S, - stoppa stopp efter det första resultatet
Generella val:
-l, --längd = Antal byte som ska skannas
-o, --offset = Börja skanna vid denna filoffset
-O, --bas = Lägg till en basadress till alla utskrivna förskjutningar
-K, --block = Ställ in filblocksstorlek
-g, --swap = Omvänd varje n byte före skanning
-f, --log = Logga resultat till filen
-c, --csv Logga resultat till fil i CSV-format
-t, --term Formatera utdata så att de passar terminalfönstret
-q, --quiet Dämpa utdata till stdout
-v, --verbose Aktivera verbose output
-h, --help Visa hjälputdata
-a, --finclude = Endast skanna filer vars namn matchar denna regex
-p, --fexclude = Skanna inte filer vars namn matchar denna regex
-s, --status = Aktivera statusservern på den angivna porten

Återställa data från formaterade diskar

Dataåterställningsverktyg bör väljas noggrant för att återställa information från formaterade diskar, USB-flashenheter och minneskort. Verktyg utformade för att slutföra olika aktiviteter kan ge oväntade resultat. Nedan kommer vi att titta på några av skillnaderna mellan olika dataåterställningsverktyg för datakorrigering i formaterade enheter.

Oformat

Det första allvarliga felet som många datoranvändare gör när de oavsiktligt formaterar sina enheter är att hitta, installera och använda "oformaterade" verktyg. Det finns många av dessa verktyg på marknaden; vissa är kommersiella och andra är gratisvaror. Syftet med dessa verktyg är att bygga om eller återskapa den förformaterade disken genom att återställa filsystemet.

Även om det här kan verka som en hållbar metod för de oerfarna, kan det bli ett större misstag än att förlora filerna i första hand. Formatering av skivan spolar det ursprungliga filsystemet och ersätter det åtminstone delvis, vanligtvis i början. När du försöker återställa ditt gamla filsystem är det bästa du kan få en disk som är läsbar med några av dina filer. Allt kan inte återställas exakt som det var så, och de mest värdefulla filerna kan äventyras, med bara slumpmässiga prover av originalfilerna på disken. Glöm det när du tänker på att "formatera" en systemdisk; åtminstone vissa systemfiler är borta. Även om du kan starta operativsystemet får du aldrig ett stabilt system.

Återställ

Det andra misstaget som många datoranvändare gör är att använda återställningsverktyg. Även om dessa verktyg finns och tenderar att göra sitt jobb i god tro är de inte utformade för att hantera diskar med ett uteslutet filsystem. Även med några av de bästa återställningsverktygen, till exempel RS File Recovery, kan du radera flera filer, men det handlar om det.

Partition Recovery

För att återställa filer bör du leta efter ett partitionsåterställningsverktyg som RS Partition Recovery. Utformat för att hantera distribuerade, formaterade och skadade diskar, kan det här verktyget skanna hela ytan på en disk eller partition för att återställa allt det kan hitta. Även om filsystemet är tomt eller raderat kan det här verktyget återställa många typer av filer, såsom dokument, bilder och videor, genom sin signaturfunktion. Men även om segmenterade återställningsverktyg är förstklassiga för dataåterställning är de vanligtvis ganska dyra. Om du bara vill återställa en formaterad disk kan det vara användbart att söka och spara istället.

FAT och NTFS Recovery

Du kan spara upp till 40% på kostnaden för Partition RS-återställning genom att välja ett verktyg som bara återställer FAT- eller NTFS-formaterade diskar. Kom ihåg att du måste köpa ett verktyg som är lämpligt för det ursprungliga filsystemet och inte det som skrivs ovan. Om den ursprungliga enheten är NTFS, hämta NTFS Recovery RS. Om det är FAT eller FAT32, få FAT Recovery RS. På så sätt får du samma kvalitetsverktyg, men du kommer att vara begränsad till FAT- eller NTFS-formatering. Detta är det perfekta valet för ett unikt jobb.

Carving Files (med hjälp av ett verktyg)

PhotoRec är en fantastisk mjukvara som används för att skära filer och särskilt jpeg- eller bildfiler (det är därför det heter Photo Recovery). PhotoRec förbiser dokumentramverket och följer grundläggande information, så det fungerar oavsett om ditt medias rekordram har skadats allvarligt eller omformaterats. Fotocell är lättillgänglig i Windows-operativsystem.

Som ett exempel kommer vi att återställa bildfiler från en 8 GB flash-enhet med det här verktyget.

Kör först PhotoRec.exe fil och starta programmet. Vi ser en skärm så här:

Här har vi alla partitioner som visas. Vi väljer / K som vårt önskade mål att återställa data från.

Vi kan se vilket filsystem denna partition använder här, och det finns fyra alternativ längst ner.

Sök - Detta kommer att söka i partitionen som innehåller filer för återställning.
alternativ - Används för mindre ändringar av alternativen.
Filopt - Används för att ändra de typer av filer som ska återställas.
Sluta - Avslutar processen.

Vi väljer Filopt (Filalternativ):

Detta ger oss alternativ för att välja de filer vi vill återställa från önskad partition. Brådskande S avmarkerar alla alternativ. Vi väljer JPG-bilder, eftersom vi bara vill återställa bildfiler från enheten. Därefter kommer vi att trycka på B.

För att välja Filsystem, gå tillbaka till huvudalternativen och välj Övrig. När det gäller återställningsalternativ har vi två val:

• återhämta sig från hela partitionen
• återhämtning från endast odelat utrymme (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3, etc.). Med detta alternativ återställs endast de filer som har tagits bort.

Nu är allt vi behöver göra att ställa in platsen där de raderade filerna ska återställas. Efter det kommer återställningsprocessen att starta och avslutas efter att ha tagit lite tid.  Sedan kommer vi att leta efter de återställda filerna på den inställda platsen. De återställda bildfilerna kommer att finnas där.

Slutsats

File Carving är en välkänd kriminalteknisk datorterm för att beskriva identifiering av filtyper och ta bort dem från icke-underordnade kluster med filsignaturer. En filsignatur, även känd som ett magiskt nummer, är ett numeriskt eller permanent textvärde som används för att identifiera filformatet. Extraktion av filer eller data är en term som används inom rättsmedicinsk information. En datoriserad kriminalteknisk utredning är ett förvärv, verifiering, analys och dokumentation av bevis som finns i ett datorsystem, ett nätverk av datorer eller andra former av digitala medier. Extrahera meningsfull data från rådata kallas träsnideri.

File Sculpting är identifiering och återställning av filer baserat på formatanalys. I kriminalteknisk databehandling är skulptur ett användbart sätt att hitta dolda eller raderade filer på digitala medier. Filer kan döljas i områden som tappade kluster, odelade kluster och skivor eller digitala media. För att använda denna extraktionsmetod måste en fil ha en standardsignatur, kallad a filrubrik, i början av filen. För att få filhuvudet fortsätter återställningsverktyget att fråga tills det når sidfoten i filen i slutet av filen. Data mellan sidhuvudet och sidfoten extraheras och analyseras för att säkerställa integritet. Flera skulpteringsmetoder används i dess algoritmer, beroende på filtyp.

Moderna operativsystem raderar inte helt raderade filer utan användarens tillstånd. Raderade filer kan återställas genom olika kriminaltekniska verktyg och taktik om de raderade filerna inte läggs till i en annan fil. Skadade filer kan återställas om data inte skadas omöjligt.

Det finns stor skillnad mellan filåterställning och filhantering. Filåterställning använder information från filsystemet; genom att använda denna information kan flera filer återställas. Om informationen är felaktig fungerar den inte. Med tillkomsten av filhantering har brottsbekämpning, teknikpersonal och kriminaltekniker hittat ett annat verktyg som kan användas för att återställa raderade data. Det är inte alltid perfekt och förfinat, men verktyg som Först skalpell, och Fotocell har gjort filrekreation enklare än någonsin.