Изрязване на файлове и възстановяване на данни

Процесът на извличане на недостъпни, форматирани или повредени или повредени данни от носител за съхранение, когато не е достъпен чрез нормални методи, се нарича Възстановяване на данни. Информацията обикновено се възстановява от носители за съхранение; например вътрешни и външни твърди дискове (HDD); твърди дискове (SSD); флашки; магнитно съхранение, като CD и DVD; RAID подсистеми; и други електронни джаджи. Възстановяването може да се наложи поради физическа вреда на устройствата за съхранение или законна вреда на файловата система, предотвратявайки монтирането на системата от хост работещата операционна система (OS). Окончателната цел е да се дублират всички основни записи от увредения носител на ново устройство. Възможно е да архивирате информация бързо, като използвате CD или DVD на живо, като стартирате законно от ROM, вместо да използвате повредено устройство или устройство за събиране на информация от системата.

CD-та или DVD-та на живо предлагат начин за зареждане на системното устройство, както и сменяемото или фиксирано медийно устройство, което ви позволява да използвате файловия мениджър или софтуера за зареждане на файла. Дисковият сървър може да повреди тези случаи и да съхранява ценни или патентовани файлове с данни в отделни отделения в OS файловете.

Пила дърворезба е процедура, използвана при разследване на местопрестъпление на компютър за извличане на информация от твърд диск или други устройства за съхранение без помощта на таблицата на файловата система, която първоначално е създала оригиналния файл. File Carving е стратегия, която поема контрол върху документи в неразпределено пространство без данни и се използва за възстановяване на информация за провеждане на компютъризиран клиничен преглед. Този процес първоначално се нарича „дизайн“, което е общ термин за премахване на организирана информация от сурова информация, в светлината на конкретните атрибути на модела на организация на съхраняваната информация.

Съдебният метод, който възстановява документите, зависи от структурата и съдържанието на файловете без подходящите метаданни на файловата система. Изрязването на файлове ви позволява да възстановявате файлове от неразпределено пространство във всяко устройство. Областта на устройството, посочена от структурата на файловата система (файлова таблица), която не съдържа никаква информация за файловата система, се нарича неразпределено пространство.

Липсващи или повредени структури на файловата система могат да повлияят на цялото устройство. Най-просто казано, много файлови системи не изтриват данни, когато са изтрити. Вместо това просто елиминира знанието откъде е. Сканирането на необработени байтове и подреждането им е основният процес на изрязване на файлове. Този процес се извършва от изследване на заглавката (първи байтове) и долния колонтитул (последните байтове) на файл.

Издълбаването на файлове е отличен начин за възстановяване на файлове и фрагменти от файлове, когато текстът е повреден или липсва. Често се използва от професионалисти при отстраняване на неизправности за преразглеждане на доказателствата. Пример за забрана и способност за евакуация на медиите се случи, когато информацията беше премахната от лагерите на Осама бин Ладен по време на атаката от американския флот на тюлените. Криминалистите са използвали методи за възстановяване на файлове, за да възстановят данни от устройствата и системите, използвани в лагерите.

Общ преглед на файловите системи

A файлова система is тип база данни, използвана за съхранение, актуализиране и извличане на файлове или няколко броя файлове. Това е начин, по който файловете се архивират логически и се именуват за архивиране и възстановяване. Има различни видове файлови системи, споменати по-долу:

Файлова система на Windows: Microsoft Windows използва само два типа FAT и NTFS.

• ДЕБЕЛ, което означава „таблица за разпределение на файлове“, е най-простият тип файлова система, съдържаща сектор за зареждане, таблица за разпределение на файлове и просто място за съхранение на файлове и папки. Наскоро FAT се появи в FAT16, FAT12 и FAT32. FAT32 е съвместим с базирани на Windows устройства за съхранение. Windows не може да създаде файлова система FAT32 с файл, по-голям от 32 GB.
• NTFS, съкращение от „Нова технологична файлова система“, сега е файлова система по подразбиране за файлове, по-големи от 32 GB. Шифроването и контролът на достъпа са някои от основните свойства на тази файлова система.

Файлова система Linux: Linux е широко използвана операционна система с отворен код и е разработена за тестване и разработка. Тази операционна система е предназначена да използва различни концепции на файловата система. В Linux има няколко типа файлови системи.

• Външни2, Външни3, Външни4 - Това е локалната файлова система по подразбиране на Linux. Основната файлова система обикновено е свързана с цялата дистрибуция на Linux. Файловата система Ext3 е отлична актуализация на използваната преди това файлова система Ext2; той използва операцията за запис на транзакционен файл.  Ext4 е файл с разширение, който поддържа информация за Ext3 и приписване на файлове.
• ReiserFS - Проблемът с файловата система се решава чрез запазване на много малки файлове наведнъж. Има добър смях от файловия мениджър и разрешението на съвместимия файл, съхранението на кода на файла, файлът съдържа метаданни в режим на неизползване на голямата файлова система поради своя размер.
•  XFS - Файловата система XFS работи добре и се използва широко за архивиране на файлове. Този тип файлова система е популярен на IRIX сървърите.
• JFS - IBM разработи тази файлова система и тя се превърна във файлова система, която се използва на почти всички дистрибуции на Linux

файлова система macOS: Операционната система Apple Macintosh използва само HFS + файлова система без разширение на файловата система HFS. MacOS, iPhones, iPad и всички други продукти на Apple използват HFS + файлова система. Някои продукти на Apple Server използват файловата система Hscan. Тази известна файлова система следи информацията, свързана с изгледа на директории, местоположението на Windows и т.н.

Техники за дърворезба

По време на дигиталното разследване е необходимо да се анализират различните видове медии. Приложима информация може да бъде намерена на няколко устройства за съхранение и в паметта на компютъра. Различни видове информация могат да бъдат разбити, например имейл, електронни отчети, рамкови дневници и медийни записи. Изрязването на файлове е техника за възстановяване, при която се разглежда само съдържанието и структурата на файла, а не метаданните на файла, използвани при организирането на данни на носителя за съхранение.

По-долу има някои терминологии за изрязване на файлове, които да запомните:

• Блок - Най-малкият размер на единиците за данни, които могат да бъдат записани в хранилището
• Хедър - Началната точка на файла.
• Долен колонтитул - Последните байтове на файла.
• Фрагмент - Един или няколко блока принадлежат към един файл.
• Основен фрагмент - Първи фрагмент от файлов контейнер, заглавката на файла.
• Точка на фрагментация - Последният блок непосредствено преди фрагментирането. Множество фрагменти във всеки файл водят до няколко точки на фрагментация.

Върховните корпоративни универсални техники за резба на файлове са както следва:

• Техника на долния колонтитул (или заглавката - „максимален размер на файла“) - Основната стратегия тук е да издълбаете файлове въз основа на заглавие и почерк или общо файлове.

1. JPG или JPEG файлове с разширения - “\ XFF \ xD8” и “\ xFF \ xD9.”
2. GIF - със заглавие „\ x47 \ x49 \ x46 \ x38 \ x37 \ x61” и долен колонтитул „\ x00 \ x3B”.
3. PST: “! BDN ”заглавие без долни колонтитули.
4. Ако файловата система няма основа, максималният брой файлове, използвани в програмата за резба.

• Резба на базата на файлова структура

1. Вътрешното оформление на файла се използва като основна техника.
2. Информацията за заглавието, долния колонтитул, идентификационните низове и размера е основен елемент.

• Базирано на съдържание резба

Структурата на съдържанието е безплатна (MBOX, HTML, XML)

• Характеристики на материала

1. Брой символи
2. Разпознаване на текст / език
3. Черно-бял списък с данни
4. Информационна ентропия
5. Статистически характеристики (Chi²)

Изрязване на файл (без използване на никакъв инструмент)

След това ще видим как да издълбаем a .jpeg файл без използване на инструмент. Първо, трябва да знаем структурата на .jpeg файл (горен и долен колонтитул и др.). За целта ще отворим a .jpeg изображение в Hex редактор, за да разгледа какво е горният и долният колонтитул на .jpeg файл изглежда така.

Тук намерихме заглавката на файла ( FFD8FFE0). Сега, за да намерим долния колонтитул, ще разгледаме последните байтове във файла.

Тук имаме долния колонтитул на файла или ремаркето (FFD9).

Ако имате документ с изображение в него, можете да издълбаете изображението, като знаете неговия горен и долен колонтитул.

Сега имаме файл с думи с изображение в него. Ще издълбаем изображението, използвайки тази техника.

Първото нещо, което трябва да направим, е да отворим този документ с думи с Hex редактор, като щракнете върху Файл >> Отваряне.

Тук можем да видим фигура, показваща данните на файла с думи в шестнадесетична форма. Както вече знаем, .jpeg файлът има заглавна стойност от FFD8FFE0, така че ще търсим заглавката на файла чрез натискане Ctrl + F или Търсене >> Файл и въвеждане на известната стойност на заглавката (изборът на тип данни с шестнадесетична стойност е много важен в тази стъпка).

Ще намерим стойност на подписа в Offset 14FD.

След това трябва да потърсим долен колонтитул или ремарке. Знаем, че .jpeg файлът има стойност на долен колонтитул FFD9, така че ще търсим долния колонтитул на файла чрез натискане Ctrl + F или Търсене >> Файл и въвеждане на известната стойност на долния колонтитул (изборът на тип данни с шестнадесетична стойност е много важен.

Ще намерим стойността на долния колонтитул в Offset 2ADB.

Понастоящем имаме заглавката и долния колонтитул на jpeg документ и, както наскоро заявихме, между горния и долния колонтитул е информацията за jpeg запис. Тук дублираме целия квадрат с информация с горен и долен колонтитул и го съхраняваме като друг файл.

Отидете на РЕДАКТИРАНЕ >> Изберете Блокиране и въведете и двата следните термина:

Отместване на заглавката на файла: 14FD

Отместване на долния колонтитул:  2ADB

След въвеждане на тези стойности, цялата .jpeg файлът ще бъде маркиран в синьо. За да го запазите като dfile, копирайте го, като щракнете с десния бутон и изберете копие, или чрез натискане Ctrl + C. След това ще поставим информацията в нов файл. Ще се появи диалогов прозорец и ние ще щракнем Добре. Сега сме готови да запазим файла, като щракнем Файл >> Запазване като или натискане Ctrl + S. Ако отворите този копиран файл, ще видите същото изображение като в оригиналния документ. Това е основната техника за издълбаване на медийни файлове.

Инструменти за издълбаване на данни

Инструментите за възстановяване на данни играят важна роля в повечето криминалистични разследвания, тъй като интелигентните нападатели винаги се опитват да изтрият доказателства за своите престъпления. По-долу са изброени някои важни инструменти за възстановяване на данни в Linux и Windows.

• Най-напред (инструмент за дърворезба)

За възстановяване на файлове, които са загубени поради техните вътрешни структури от данни, горни и долни колонтитули, най-напред, може да се използва. Преди всичко обикновено се въвеждат в различни формати на изображения, като AFF или сурови формати, които могат да бъдат генерирани с помощта на различни инструменти, като FTK Imager, DD, encase и т.н.  Можете да отидете до страницата за помощ на foremost, за да научите и изследвате нейните мощни команди, като използвате следната команда:

[имейл защитен]: ~ $ foremost -h Възстановяване на файлове от дисково изображение въз основа на типовете файлове, посочени от
потребител с помощта на превключвателя -t.
jpg Поддръжка за форматите JFIF и Exif, включително имплементации
използва се в съвременните цифрови фотоапарати.
gif
png
bmp Поддръжка за windows bmp формат.
avi
exe Поддръжка за двоични файлове на Windows PE ще извлече DLL и EXE файлове
заедно с времето им на компилиране.
mpg Поддръжка за повечето MPEG файлове (трябва да започне с 0x000001BA)
wav
riff Това ще извлече AVI и RIFF, тъй като те използват един и същ файл за
подложка (RIFF). отбелязвайте по-бързо, отколкото да изпълнявате всеки поотделно.
wmv Note може също да извлича wma файлове, тъй като те имат подобен формат.
ole Това ще вземе всеки файл, използващ файловата структура OLE. Това
включва PowerPoint, Word, Excel, Access и StarWriter
doc Забележете, че е по-ефективно да стартирате OLE, тъй като получавате повече удар
парите си. Ако искате да игнорирате всички други ole файлове, използвайте
това.
zip Забележете, че ще се извлече .jar файлове, тъй като те използват подобен
формат. Документите на Open Office са само XML файлове с цип, така че те са
също се извличат. Те включват SXW, SXC, SXI и SX? за
неопределени OpenOffice файлове. Файловете на Office 2007 също са XML
базирани (PPTX, DOCX, XLSX)
rar
htm
cpp C откриване на изходен код, имайте предвид, че това е примитивно и може да генерира
документи, различни от C код.
mp4 Поддръжка за MP4 файлове.
всички Изпълнете всички предварително дефинирани методи за извличане. [По подразбиране, ако няма -t е
посочено]

• BinWalk

BinWalk се използва за управление на двоични библиотеки и извличане на важни данни от изображения на фърмуера. Този инструмент е чудесен за тези, които знаят как да го използват. BinWalk се счита за един от най-добрите инструменти за обратен инженеринг и извличане на изображения на фърмуера. BinWalk е лесен за използване и се предлага с огромни възможности. Можете да отидете до страницата за помощ на binwalk, за да научите повече, като използвате следната команда:

[имейл защитен]: ~ $ binwalk --помощ Опции за сканиране на подписи:
-B, --signature Сканирайте целеви файл (и) за общи подписи на файлове
-R, --raw = Сканирайте целеви файл (и) за посочената последователност от байтове
-A, --opcodes Сканирайте целеви файл (и) за често срещани изпълними подписи на opcode
-m, --magic = Посочете персонализиран магически файл, който да използвате
-b, --dumb Деактивиране на ключови думи за интелигентен подпис
-I, --invalid Показване на резултатите, означени като невалидни
-x, --exclude = Изключете резултатите, които съвпадат
-y, --include = Показват се само резултати, които съвпадат
Опции за извличане:
-e, --extract Автоматично извличане на известни типове файлове
-D, --dd = Извличане на подписи, дава на файловете разширение и изпълнява
-M, --matryoshka Рекурсивно сканиране на извлечени файлове
-d, --depth = Ограничете дълбочината на рекурсия на матрьошка (по подразбиране: 8 нива дълбочина)
-C, --directory = Извличане на файлове / папки в персонализирана директория (по подразбиране: текущата работна директория)
-j, --size = Ограничете размера на всеки извлечен файл
-n, --count = Ограничете броя на извлечените файлове
-r, --rm Изтриване на издълбани файлове след извличане
-z, --carve Изрязва данни от файлове, но не изпълнява помощни програми за извличане
Опции за анализ на ентропията:
-E, --entropy Изчислява файловата ентропия
-F, - бързо Използвайте по-бърз, но по-малко подробен анализ на ентропията
-J, --save Запазване на парцела като PNG
-Q, --nlegend Пропуснете легендата от графиката на графика на ентропията
-N, --nplot Не генерирайте графика на графика на ентропията
-H, --high = Задаване на праг на задействане на ентропията на възходящия ръб (по подразбиране: 0.95)
-L, --low = Задаване на праг на задействане на ентропията на падащия ръб (по подразбиране: 0.85)
Опции за двоично различаване:
-W, --hexdump Извършва hexdump / diff на файл или файлове
-G, --green Показват се само редове, съдържащи байтове, които са еднакви между всички файлове
-i, --red Показва само редове, съдържащи байтове, които са различни между всички файлове
-U, --blue Показва само редове, съдържащи байтове, които са различни сред някои файлове
-w, --terse Различава всички файлове, но показва само шестнадесетичен дъмп на първия файл
Сурови опции за компресия:
-X, --deflate Сканиране за сурови дефлиращи потоци на компресия
-Z, --lzma Сканиране за сурови LZMA потоци за компресия
-P, --partial Извършете повърхностно, но по-бързо сканиране
-S, --stop Stop след първия резултат
Общи опции:
-l, --length = Брой байтове за сканиране
-o, --offset = Стартирайте сканирането при това отместване на файла
-O, --base = Добавете основен адрес към всички отпечатани отмествания
-K, --block = Задаване на размера на блока на файла
-g, --swap = Обърнете всеки n байта преди сканиране
-f, --log = Регистрирайте резултатите във файла
-c, --csv Регистрация на резултатите в CSV формат
-t, --term Форматирайте изхода, за да побере терминалния прозорец
-q, --quiet Потиска изхода към stdout
-v, --verbose Активиране на подробен изход
-h, --help Покажи изхода за помощ
-a, --finclude = Сканирайте само файлове, чиито имена съвпадат с този регулярен израз
-p, --fexclude = Не сканирайте файлове, чиито имена съвпадат с това регулярно изражение
-s, --status = Активиране на сървъра за състояние на посочения порт

Възстановяване на данни от форматирани дискове

Инструментите за възстановяване на данни трябва да бъдат подбрани внимателно, за да се възстанови информация от форматирани дискове, USB флаш памети и карти с памет. Инструментите, предназначени за извършване на различни дейности, могат да доведат до неочаквани резултати. По-долу ще разгледаме някои от разликите между различните инструменти за възстановяване на данни за корекция на данни във форматирани устройства.

Неформатиране

Първата фатална грешка, която много компютърни потребители правят при случайно форматиране на устройствата си, е да намерят, инсталират и използват „неформатирани“ инструменти. Има много от тези инструменти на пазара; някои са търговски, а други са безплатни стоки. Целта на тези инструменти е да възстановят или пресъздадат предварително форматирания диск чрез възстановяване на файловата система.

Въпреки че това може да изглежда като жизнеспособен подход към неопитните, може да се окаже по-голяма грешка, отколкото загубата на файловете на първо място. Форматирането на диска изтрива оригиналната файлова система, като я замества поне частично, обикновено в началото. Когато се опитате да възстановите старата си файлова система, най-доброто, което можете да получите, е диск, който е четим с някои от вашите файлове. Всичко не може да бъде възстановено точно както е било по този начин и най-ценните файлове могат да бъдат компрометирани, като на диска има само произволни проби от оригиналните файлове. Когато мислите за „форматиране“ на системно устройство, забравете го; поне някои системни файлове ще бъдат изчезнали. Дори ако можете да стартирате операционната система, никога няма да получите стабилна система.

Възстановяване

Втората грешка, която много потребители на компютъра ще направят, е използването на инструменти за възстановяване. Въпреки че тези инструменти съществуват и са склонни да си вършат работата добросъвестно, те не са предназначени да обработват дискове с изключена файлова система. Дори и с някои от най-добрите инструменти за възстановяване, като RS File Recovery, можете да изтриете множество файлове, но това е всичко.

Възстановяване на дялове

За да възстановите файлове, трябва да потърсите инструмент за възстановяване на дялове като RS Partition Recovery. Проектиран да обработва разпределени, форматирани и повредени дискове, този инструмент може да сканира цялата повърхност на диск или дял, за да възстанови всичко, което намери. Дори ако файловата система е празна или изтрита, този инструмент може да възстанови много видове файлове, като документи, изображения и видеоклипове, чрез функцията си за подпис. Въпреки това, въпреки че инструментите за сегментирано възстановяване са първокласни за възстановяване на данни, те обикновено са доста скъпи. Ако искате само да възстановите форматиран диск, може да е полезно вместо това да търсите и запазвате.

Възстановяване на FAT и NTFS

Можете да спестите до 40% от разходите за възстановяване на Partition RS, като изберете инструмент, който възстановява само дискове, форматирани с FAT или NTFS. Не забравяйте, че ще трябва да закупите инструмент, който е подходящ за оригиналната файлова система, а не този, написан по-горе. Ако оригиналното устройство е NTFS, вземете NTFS Recovery RS. Ако е FAT или FAT32, вземете FAT Recovery RS. По този начин ще получите същите качествени инструменти, но ще бъдете ограничени до FAT или NTFS форматиране. Това е идеалният избор за уникална работа.

Изрязване на файлове (с помощта на инструмент)

PhotoRec е страхотен софтуер, използван за изрязване на файлове и особено jpeg или файлове с изображения (затова е наречен Photo Recovery). PhotoRec пренебрегва рамката на документите и преследва основната информация, така че ще работи, независимо дали рамката за запис на вашия медия е сериозно увредена или преформатирана. Photorec е лесно достъпен в операционни системи Windows.

Като пример ще възстановим файлове с изображения от 8 GB GB флаш устройство с помощта на този инструмент.

Първо стартирайте PhotoRec.exe файл и стартирайте приложението. Ще видим екран като този:

Тук имаме всички дялове, които се показват. Ние ще изберем / К като желаната ни цел, от която да възстановим данните.

Тук можем да видим коя файлова система използва този дял, а в дъното има четири опции.

Търсене - Това ще търси дяла, който съдържа файлове за възстановяване.
Настроики - Използва се за незначителни промени в опциите.
Файл Опт - Използва се за промяна на типовете файлове, които трябва да бъдат възстановени.
Откажи се - Излиза от процеса.

Ние ще изберем Файл Опт (Опции на файла):

Това ще ни даде опции за избор на файлове, които искаме да възстановим от желания дял. Натискане С ще премахне отметката от всички опции. Ние ще изберем JPG снимки, тъй като искаме само да възстановим файлове с изображения от устройството. След това ще натиснем Б.

За да изберете Файлова система, върнете се към основните опции и изберете Други. Що се отнася до възможностите за възстановяване, имаме два избора:

• възстановяване от цял дял
• възстановяване от само неразпределено пространство (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3 и др.). Използвайки тази опция, ще бъдат възстановени само изтритите файлове.

Сега всичко, което трябва да направим, е да зададем мястото, където ще бъдат възстановени изтритите файлове. След това процесът на възстановяване ще започне и завърши след известно време.  След това ще потърсим възстановените файлове на зададеното място. Възстановените файлове с изображения ще бъдат там.

Заключение

Пила дърворезба е добре познат съдебен компютърен термин, описващ идентифицирането на типовете файлове и премахването им от неподчинени клъстери с помощта на файлови подписи. Файловият подпис, известен също като магическо число, е числова или постоянна текстова стойност, използвана за идентифициране на файловия формат. Екстракция на файлове или данни е термин, използван в областта на съдебната информатика. Компютъризиран криминалистично разследване е придобиване, проверка, анализ и документиране на доказателства, съдържащи се в компютърна система, мрежа от компютри или други форми на цифров носител. Извиква се смислени данни от необработени данни дърворезба.

Скулптуриране на файлове е идентификацията и възстановяването на файлове въз основа на анализ на формат. При криминалистичните изчисления скулптурата е полезен начин за намиране на скрити или изтрити файлове на цифров носител. Файловете могат да бъдат скрити в области като загубени клъстери, неразпределени клъстери и възпроизвеждане на дискове или цифров носител. За да се използва този метод за извличане, файлът трябва да има стандартен подпис, наречен a заглавна част на файла, в началото на файла. За да получи заглавката на файла, инструментът за възстановяване ще продължи да прави заявки, докато стигне до долния колонтитул на файла в края на файла. Данните между горния и долния колонтитул се извличат и анализират, за да се гарантира целостта. В неговите алгоритми се използват няколко метода за извайване, в зависимост от типа на файла.

Съвременните операционни системи не изтриват напълно изтритите файлове без разрешение на потребителя. Изтритите файлове могат да бъдат възстановени чрез различни криминалистични инструменти и тактики, ако изтритите файлове не се добавят към друг файл. Повредените файлове могат да бъдат възстановени, ако данните не са повредени до неузнаваемост.

Има много разлика между възстановяването на файлове и изрязването на файлове. Възстановяването на файлове използва информация от файловата система; чрез използване на тази информация могат да бъдат възстановени няколко файла. Ако информацията е неправилна, тя няма да работи. С появата на карвинг на файлове, правоприлагащите, технологичните и криминалистичните специалисти намериха друг инструмент, който може да се използва за възстановяване на изтрити данни. Въпреки че не винаги е перфектен и изискан, инструменти като Преди всичко, скалпел, и Photorec са направили възстановяването на файлове по-лесно от всякога.