Odzyskiwanie zdjęć

Odzyskiwanie zdjęć to proces odzyskiwania zdjęć cyfrowych z uszkodzonych, nieudanych, uszkodzonych lub niedostępnych dodatkowych nośników pamięci, gdy nie można uzyskać do nich normalnego dostępu. Odzyskiwanie zdjęć można uznać za podzbiór ogólnej odzyskiwania danych .

Utrata lub awarie usuwania zdjęć mogą być spowodowane awariami/błędami zarówno sprzętu, jak i oprogramowania.

Odzyskiwanie danych po awarii logicznej

Logiczne uszkodzenie lub niemożność przeglądania zdjęć może wystąpić z kilku powodów. Najczęstsze przyczyny to:

Usuwanie zdjęć
Uszkodzenie sektora rozruchowego nośnika
Uszkodzenie systemu plików
Formatowanie dysku
Przenieś lub skopiuj błędy

Odzyskiwanie zdjęć za pomocą rzeźbienia plików

Większość programów do odzyskiwania zdjęć działa przy użyciu techniki zwanej rzeźbieniem plików (rzeźbienie danych) . Istnieje wiele różnych technik rzeźbienia plików, które są używane do odzyskiwania zdjęć. Większość z tych technik zawodzi w przypadku fragmentacji systemu plików . Simson Garfinkel wykazał, że średnio 16% plików JPEG jest pofragmentowanych, co oznacza, że średnio 16% plików JPEG jest odzyskiwanych częściowo lub wygląda na uszkodzonych po odzyskaniu przy użyciu technik, które nie radzą sobie z pofragmentowanymi zdjęciami. Rzeźbienie nagłówka i stopki, wraz z rzeźbieniem rozmiaru nagłówka, to zdecydowanie najczęstsze techniki odzyskiwania zdjęć. ^{[ potrzebny cytat ]}

Rzeźba nagłówka i stopki

W przypadku rzeźbienia w nagłówku i stopce program do odzyskiwania próbuje odzyskać zdjęcia w oparciu o standardową sygnaturę bajtu początkowego i końcowego formatu zdjęcia. Na przykład pliki JPEG zawsze zaczynają się od sekwencji szesnastkowej „FFD8” i muszą kończyć się sekwencją szesnastkową „FFD9”. Wycinania nagłówka i stopki nie można użyć do odzyskania pofragmentowanych zdjęć, a pofragmentowane zdjęcia będą wyglądać na częściowo odzyskane lub uszkodzone, jeśli zostaną dodane nieprawidłowe dane. Użycie stopek może często spowodować obcięcie zdjęcia, ponieważ wiele plików JPEG zawiera miniatury jako osadzony obiekt. Jeśli plik zostanie zakończony FFD9, zostanie uszkodzony, chyba że liczone są zagnieżdżone FFD8/FFD9.

Rzeźba wielkości nagłówka

W przypadku rzeźbienia w rozmiarze nagłówka program do odzyskiwania próbuje odzyskać zdjęcia na podstawie standardowej sygnatury bajtu początkowego formatu zdjęcia, a także rozmiaru zdjęcia, który jest pochodny lub wyraźnie określony w formacie zdjęcia. Wycinania rozmiaru nagłówka nie można używać do odzyskiwania pofragmentowanych zdjęć, a pofragmentowane zdjęcia będą wyglądać na częściowo odzyskane lub uszkodzone, jeśli zostaną dodane nieprawidłowe dane.

Rzeźbienie struktury plików

Bardziej zaawansowana forma rzeźbienia, program do odzyskiwania próbuje odzyskać zdjęcia w oparciu o szczegółową znajomość zasad struktury formatu zdjęcia. Umożliwi to programowi do odzyskiwania identyfikację, kiedy zdjęcie nie jest kompletne lub pofragmentowane, ale należy zrobić więcej, aby sprawdzić, czy pofragmentowane zdjęcie można odzyskać. Ta technika jest rzadko używana przez większość programów do odzyskiwania zdjęć. ^{[ potrzebne źródło ]}

Zatwierdzona rzeźba

W zatwierdzonym rzeźbieniu dekoder służy do wykrywania błędów w odzyskiwaniu zdjęcia. Bardziej zaawansowane formy zatwierdzonego rzeźbienia mają miejsce, gdy każda część odzyskanego zdjęcia jest porównywana z resztą zdjęcia, aby sprawdzić, czy „pasuje” wizualnie. Zatwierdzone rzeźbienie doskonale sprawdza się w wykrywaniu zdjęć, które są albo fragmentaryczne, albo mają części, które są nadpisane lub których brakuje. Samo zatwierdzone rzeźbienie nie może być użyte do odzyskania pofragmentowanych zdjęć.

Rzeźba dziennika

Rzeźbienie w dzienniku ma miejsce, gdy program do odzyskiwania wykorzystuje informacje pozostałe w strukturach systemu plików lub w dzienniku do odzyskania usuniętego zdjęcia. Na przykład czasami system NTFS zapisuje w dziennikach dokładną lokalizację pliku przed jego usunięciem. Program korzystający z rzeźbienia w dzienniku będzie w stanie odzyskać zdjęcie. Aby mieć pewność co do jakości odzyskiwania, do weryfikacji odzyskanego zdjęcia należy również użyć zatwierdzonego rzeźbienia lub rzeźbienia struktury pliku.

Rzeźbienie szczeliny dwufragmentowej

Technika odzyskiwania fragmentarycznego zdjęcia, w której identyfikuje się nagłówek i stopkę, a następnie weryfikuje się wszystkie kombinacje bloków między nagłówkiem a stopką, aby określić, która kombinacja skutkuje prawidłowym odzyskaniem zdjęcia. Ta technika zadziała tylko wtedy, gdy plik zostanie podzielony na dwie części.

Inteligentne rzeźbienie

Proces odzyskiwania pofragmentowanych zdjęć poprzez oglądanie bloków na dysku i określanie, który blok najlepiej pasuje wizualnie do odzyskiwanego zdjęcia. Odbywa się to równolegle dla wszystkich bloków, które nie są częścią odzyskanego pliku.

^ ^a ^b Simson Garfinkel , Rzeźbienie ciągłych i pofragmentowanych plików z szybką weryfikacją obiektów , w Proceedings of the 2007 digital forensics research Workshop, DFRWS, Pittsburgh, PA, sierpień 2007

Dalsza lektura

Tanenbaum, A. & Woodhull, AS (1997). Systemy operacyjne: projektowanie i wdrażanie, wyd. 2. Nowy Jork: Prentice Hall.
Odzyskiwanie mocno pofragmentowanych plików JPEG z serwisu ScienceDirect

[garfinkel_dfrws2007-1] Simson Garfinkel , Rzeźbienie ciągłych i pofragmentowanych plików z szybką weryfikacją obiektów , w Proceedings of the 2007 digital forensics research Workshop, DFRWS, Pittsburgh, PA, sierpień 2007