Резьба напильником

Карвинг файлов — это процесс сборки компьютерных файлов из фрагментов при отсутствии метаданные файловой системы .

Введение и основные принципы

Все файловые системы содержат некоторые метаданные , описывающие реальную файловую систему. Как минимум, это включает в себя иерархию папок и файлов с именами для каждого. Файловая система также будет записывать физические местоположения на устройстве хранения, где хранится каждый файл. Как объясняется ниже, файл может быть разбросан по фрагментам по разным физическим адресам.

Карвинг файлов — это процесс восстановления файлов без этих метаданных. Это делается путем анализа необработанных данных и определения того, что это такое (текст, исполняемый файл, png, mp3 и т. д.). Это можно сделать разными способами, но самый простой — найти подпись файла или «магические числа», которые отмечают начало и/или конец файла определенного типа. ^[1] Например, каждый файл класса Java имеет в качестве первых четырех байтов шестнадцатеричное значение. CA FE BA BE. Некоторые файлы также содержат нижние колонтитулы, что позволяет легко определить конец файла.

Большинство файловых систем, таких как семейство FAT UNIX и Fast File System , работают с концепцией кластеров одинакового и фиксированного размера. Например, файловая система FAT32 может быть разбита на кластеры по 4 КиБ каждый. Любой файл размером менее 4 КиБ помещается в один кластер, и в каждом кластере никогда не бывает более одного файла. Файлы, занимающие более 4 КиБ, распределяются по множеству кластеров. Иногда все эти кластеры являются смежными, а иногда они разбросаны по двум или, возможно, нескольким так называемым фрагментам , причем каждый фрагмент содержит несколько смежных кластеров, хранящих одну часть данных файла. Очевидно, что большие файлы с большей вероятностью будут фрагментированы.

Симсон Гарфинкель ^[2] сообщила статистику фрагментации, собранную с более чем 350 дисков, содержащих FAT , NTFS и UFS файловые системы . Он показал, что, хотя фрагментация на обычном диске невелика, уровень фрагментации важных для судебной экспертизы файлов, таких как электронная почта, документы JPEG и Word , относительно высок. Уровень фрагментации файлов JPEG составил 16 %, документов Word — 17 %, AVI — 22 %, а файлов PST ( Microsoft Outlook ) — 58 % (доля файлов, фрагментированных на два или более дополнительные фрагменты). Пал, Шанмугасундарам и Мемон ^[3] представил эффективный алгоритм, основанный на жадной эвристике и альфа-бета-обрезке для повторной сборки фрагментированных изображений. Пал, Сенкар и Мемон ^[4] представил последовательную проверку гипотез как эффективный механизм обнаружения точек фрагментации. Ричард и Руссев ^[5] представил Scalpel, инструмент для вырезания файлов с открытым исходным кодом ^[6] существующая с 2005 года и изначально основанная на Foremost. ^[7]

Вырезание файлов — очень сложная задача, требующая потенциально огромного количества перестановок. эту задачу Чтобы облегчить , программное обеспечение для вырезания обычно широко использует модели и эвристики. Это необходимо не только с точки зрения времени выполнения, но и для точности результатов. Современные алгоритмы вырезания файлов используют статистические методы, такие как последовательная проверка гипотез для определения точек фрагментации.

Мотивация

В большинстве случаев при удалении файла запись в метаданных файловой системы удаляется, но фактические данные все еще остаются на диске. Вырезание файлов можно использовать для восстановления данных с жесткого диска, где метаданные были удалены или иным образом повреждены. Этот процесс может быть успешным даже после форматирования или переразметки диска.

Вырезание файлов может выполняться с использованием бесплатного или коммерческого программного обеспечения и часто выполняется , в сочетании с компьютерной криминалистической экспертизой или наряду с другими усилиями по восстановлению (например, ремонтом оборудования) компаниями, занимающимися восстановлением данных . ^[8] Хотя основной целью восстановления данных является восстановление содержимого файла, компьютерные судебно-медицинские эксперты часто не меньше интересуются метаданными, например, кому принадлежал файл, где он хранился и когда он был последний раз изменен. ^[9] Таким образом, хотя судебно-медицинский эксперт может использовать вырезание файла, чтобы доказать, что файл когда-то хранился на жестком диске, ему или ей может потребоваться найти другие доказательства, чтобы доказать, кто поместил его туда.

Схемы резьбы

Резьба бифрагментного зазора

Гарфинкель ^[2] представило использование быстрой проверки объектов для повторной сборки файлов, разделенных на две части. Этот метод называется бифрагментной резьбой по зазору (BGC). Идентифицирован набор стартовых фрагментов и набор завершающих фрагментов. Фрагменты собираются заново, если вместе они образуют действительный объект.

Умная Резьба

Pal ^[3] разработал схему вырезания, не ограничивающуюся бифрагментированными файлами. Этот метод, известный как SmartCarving, использует эвристику поведения фрагментации известных файловых систем. Алгоритм состоит из трех этапов: предварительная обработка, сопоставление и повторная сборка. На этапе предварительной обработки блоки распаковываются и/или расшифровываются при необходимости. На этапе сопоставления блоки сортируются по типу файла. На этапе повторной сборки блоки размещаются последовательно для воспроизведения удаленных файлов. Алгоритм SmartCarving лежит в основе приложений Adroit Photo Forensics и Adroit Photo Recovery от Digital Assembly.

Вырезание дампов памяти

Моментальные снимки энергозависимой памяти компьютеров (т.е. ОЗУ) могут быть вырезаны. Вырезание дампов памяти обычно используется в цифровой криминалистике, позволяя следователям получить доступ к эфемерным доказательствам. Эфемерные доказательства включают недавно открытые изображения и веб-страницы, документы, чаты и сообщения, переданные через социальные сети. Например ЛиМЭ ^[10] может использоваться в сочетании с волатильностью ^[11] сделать такую задачу. зашифрованный том ( TrueCrypt , BitLocker , PGP Disk Если использовался ), двоичные ключи к зашифрованным контейнерам можно извлечь и использовать для мгновенного монтирования таких томов. Содержимое энергозависимой памяти фрагментируется. Компания Belkasoft разработала собственный алгоритм вырезания для обеспечения вырезания фрагментированных наборов памяти (BelkaCarving).

См. также

Ссылки

^ «Подписи файлов» .
^ Перейти обратно: ^а ^б Симсон Гарфинкель , «Вырезка смежных и фрагментированных файлов с помощью быстрой проверки объектов». Архивировано 23 мая 2012 г. в Wayback Machine , в материалах исследовательского семинара по цифровой криминалистике 2007 г. , DFRWS, Питтсбург, Пенсильвания, август 2007 г.
^ Перейти обратно: ^а ^б А. Пал и Н. Мемон, «Автоматическая повторная сборка фрагментированных изображений с использованием жадных алгоритмов - URL-адрес теперь недействителен» в журнале IEEE Transactions on Image Processing, февраль 2006 г., стр. 385–393.
^ А. Таким образом, обнаружение заголовка файла означает, что найден первый фрагмент файла, но остальные фрагменты могут быть разбросаны где угодно в разделе, что значительно усложняет вырезание файла. Изучая, как файловые системы на самом деле осуществляют фрагментацию, и применяя статистику, можно сделать достоверные предположения о том, какие фрагменты могут сочетаться друг с другом. Затем эти фрагменты соединяются в различных возможных перестановках и проверяется, подходят ли они друг другу. Для некоторых файлов программное обеспечение легко проверить, подходят ли они друг другу, в то время как для других программное обеспечение может случайно соединить части неправильно. Пал, Т. Сенкар и Н. Мемон, «Обнаружение точки фрагментации файла с помощью последовательной проверки гипотез — URL-адрес теперь недействителен» , Digital Investigations, осень 2008 г.
^ Ричард, Голден, Руссев, В., «Скальпель: экономичный и высокопроизводительный резчик файлов». Архивировано 9 февраля 2019 г. в Wayback Machine , в материалах семинара по исследованиям в области цифровой криминалистики 2005 г., DFRWS, август 2005 г.
^ https://github.com/sleuthkit/scalpel
^ https://foremost.sourceforge.net/
^ «Профессиональные услуги по восстановлению данных | Компания по восстановлению данных SERT» . Архивировано из оригинала 12 мая 2015 г. Проверено 5 мая 2015 г.
^ «Понимание удаленных файлов»
^ https://github.com/504ensicsLabs/LiME
^ https://github.com/volatilityfoundation/volatility

[1] «Подписи файлов» .

[garfinkel_dfrws2007-2] Перейти обратно: ^а ^б Симсон Гарфинкель , «Вырезка смежных и фрагментированных файлов с помощью быстрой проверки объектов». Архивировано 23 мая 2012 г. в Wayback Machine , в материалах исследовательского семинара по цифровой криминалистике 2007 г. , DFRWS, Питтсбург, Пенсильвания, август 2007 г.

[pal_ieee_ip-3] Перейти обратно: ^а ^б А. Пал и Н. Мемон, «Автоматическая повторная сборка фрагментированных изображений с использованием жадных алгоритмов - URL-адрес теперь недействителен» в журнале IEEE Transactions on Image Processing, февраль 2006 г., стр. 385–393.

[pal_dig_inv2008-4] А. Таким образом, обнаружение заголовка файла означает, что найден первый фрагмент файла, но остальные фрагменты могут быть разбросаны где угодно в разделе, что значительно усложняет вырезание файла. Изучая, как файловые системы на самом деле осуществляют фрагментацию, и применяя статистику, можно сделать достоверные предположения о том, какие фрагменты могут сочетаться друг с другом. Затем эти фрагменты соединяются в различных возможных перестановках и проверяется, подходят ли они друг другу. Для некоторых файлов программное обеспечение легко проверить, подходят ли они друг другу, в то время как для других программное обеспечение может случайно соединить части неправильно. Пал, Т. Сенкар и Н. Мемон, «Обнаружение точки фрагментации файла с помощью последовательной проверки гипотез — URL-адрес теперь недействителен» , Digital Investigations, осень 2008 г.

[scalpel_dfrws-5] Ричард, Голден, Руссев, В., «Скальпель: экономичный и высокопроизводительный резчик файлов». Архивировано 9 февраля 2019 г. в Wayback Machine , в материалах семинара по исследованиям в области цифровой криминалистики 2005 г., DFRWS, август 2005 г.

[6] ttps://github.com/sleuthkit/scalpel

[7] ttps://foremost.sourceforge.net/

[8] «Профессиональные услуги по восстановлению данных | Компания по восстановлению данных SERT» . Архивировано из оригинала 12 мая 2015 г. Проверено 5 мая 2015 г.

[9] «Понимание удаленных файлов»

[10] ttps://github.com/504ensicsLabs/LiME

[11] ttps://github.com/volatilityfoundation/volatility

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]