Rzeźba pliku

Rzeźbienie plików to proces ponownego składania plików komputerowych z fragmentów w przypadku braku metadanych systemu plików .

Wprowadzenie i podstawowe zasady

Wszystkie systemy plików zawierają pewne metadane opisujące rzeczywisty system plików. Obejmuje to co najmniej hierarchię folderów i plików wraz z nazwami dla każdego z nich. System plików rejestruje również fizyczne lokalizacje na urządzeniu pamięci masowej, w których przechowywany jest każdy plik. Jak wyjaśniono poniżej, plik może być rozproszony we fragmentach pod różnymi adresami fizycznymi.

Rzeźbienie plików to proces polegający na próbie odzyskania plików bez tych metadanych. Odbywa się to poprzez analizę surowych danych i określenie, co to jest (tekst, plik wykonywalny, png, mp3 itp.). Można to zrobić na różne sposoby, ale najprostszym jest wyszukanie sygnatury pliku lub „magicznych liczb”, które oznaczają początek i/lub koniec określonego typu pliku. Na przykład każdy plik klasy Java ma pierwsze cztery bajty wartości szesnastkowej CA FE BA BE . Niektóre pliki zawierają również stopki, co ułatwia identyfikację zakończenia pliku.

Większość systemów plików, takich jak rodzina FAT i Fast File System systemu UNIX , działa z koncepcją klastrów o równej i stałej wielkości. Na przykład FAT32 może być podzielony na klastry po 4 KiB każdy. Każdy plik mniejszy niż 4 KiB mieści się w pojedynczym klastrze, aw każdym klastrze nigdy nie ma więcej niż jednego pliku. Pliki, które zajmują więcej niż 4 KiB, są przydzielane do wielu klastrów. Czasami wszystkie te klastry są ciągłe, a innym razem są rozproszone na dwóch lub potencjalnie wielu tak zwanych fragmentach , przy czym każdy fragment zawiera pewną liczbę ciągłych klastrów przechowujących jedną część danych pliku. Oczywiście duże pliki są bardziej podatne na fragmentację.

Simson Garfinkel przedstawił statystyki fragmentacji zebrane z ponad 350 dysków zawierających systemy plików FAT , NTFS i UFS . Pokazał, że podczas gdy fragmentacja na typowym dysku jest niska, stopień fragmentacji plików ważnych z punktu widzenia kryminalistyki, takich jak poczta elektroniczna, dokumenty JPEG i Word , jest stosunkowo wysoki. Stwierdzono, że współczynnik fragmentacji plików JPEG wyniósł 16%, dokumenty programu Word miały współczynnik fragmentacji 17%, AVI miał wskaźnik fragmentacji 22%, a pliki PST ( Microsoft Outlook ) miały współczynnik fragmentacji 58% (część plików pofragmentowana na dwie lub więcej części). więcej fragmentów). Pal, Shanmugasundaram i Memon przedstawili wydajny algorytm oparty na zachłannej heurystyce i przycinaniu alfa-beta do ponownego składania pofragmentowanych obrazów. Pal, Sencar i Memon wprowadzili sekwencyjne testowanie hipotez jako skuteczny mechanizm wykrywania punktów fragmentacji. Richard i Roussev zaprezentowali Scalpel, narzędzie do rzeźbienia plików typu open source.

Rzeźbienie plików to bardzo złożone zadanie, wymagające potencjalnie ogromnej liczby permutacji. Aby uczynić to zadanie wykonalnym , oprogramowanie do rzeźbienia zazwyczaj szeroko wykorzystuje modele i heurystykę. Jest to konieczne nie tylko z punktu widzenia czasu wykonania, ale również dokładności wyników. Najnowocześniejsze algorytmy rzeźbienia plików wykorzystują techniki statystyczne, takie jak sekwencyjne testowanie hipotez, do określania punktów fragmentacji.

Motywacja

W większości przypadków usunięcie pliku powoduje usunięcie wpisu w metadanych systemu plików, ale rzeczywiste dane nadal znajdują się na dysku. Rzeźbienie plików może służyć do odzyskiwania danych z dysku twardego, z którego metadane zostały usunięte lub uszkodzone w inny sposób. Ten proces może zakończyć się powodzeniem nawet po sformatowaniu dysku lub ponownym podziale na partycje.

Rzeźbienie plików może być wykonywane przy użyciu bezpłatnego lub komercyjnego oprogramowania i często jest wykonywane w połączeniu z komputerowymi badaniami śledczymi lub innymi działaniami związanymi z odzyskiwaniem danych (np. naprawą sprzętu) przez firmy zajmujące się odzyskiwaniem danych . Podczas gdy głównym celem odzyskiwania danych jest odzyskanie zawartości pliku, badacze zajmujący się kryminalistyką komputerową są często równie zainteresowani metadanymi, takimi jak właściciel pliku, miejsce jego przechowywania i data ostatniej modyfikacji. Tak więc, chociaż ekspert medycyny sądowej może użyć rzeźbienia w pliku, aby udowodnić, że plik był kiedyś przechowywany na dysku twardym, może potrzebować poszukać innych dowodów, aby udowodnić, kto go tam umieścił.

Schematy rzeźbienia

Rzeźbienie szczeliny dwufragmentowej

Garfinkel wprowadził szybkie sprawdzanie poprawności obiektów do ponownego składania plików, które zostały podzielone na dwie części. Ta technika jest określana jako Bifragment Gap Carving (BGC). Zidentyfikowano zestaw fragmentów początkowych i zestaw fragmentów końcowych. Fragmenty są ponownie składane, jeśli razem tworzą ważny obiekt.

SmartCarving

Pal opracował schemat rzeźbienia, który nie ogranicza się do plików podzielonych na części. Technika ta, znana jako SmartCarving, wykorzystuje heurystykę dotyczącą fragmentacji znanych systemów plików. Algorytm składa się z trzech faz: wstępnego przetwarzania, zestawiania i ponownego składania. W fazie przetwarzania wstępnego bloki są w razie potrzeby dekompresowane i/lub deszyfrowane. W fazie zestawiania bloki są sortowane według typu pliku. W fazie ponownego składania bloki są układane w kolejności w celu odtworzenia usuniętych plików. Algorytm SmartCarving jest podstawą aplikacji Adroit Photo Forensics i Adroit Photo Recovery firmy Digital Assembly.

Rzeźbienie zrzutów pamięci

Migawki pamięci ulotnej komputerów (tj. RAM) mogą być rzeźbione. Wycinanie zrzutów pamięci jest rutynowo stosowane w kryminalistyce cyfrowej, umożliwiając śledczym dostęp do efemerycznych dowodów. Dowody efemeryczne obejmują ostatnio przeglądane obrazy i strony internetowe, dokumenty, czaty i komunikację za pośrednictwem sieci społecznościowych. użyto zaszyfrowanego wolumenu ( TrueCrypt , BitLocker , PGP Disk ), klucze binarne do zaszyfrowanych kontenerów można wyodrębnić i użyć do natychmiastowego zamontowania takich woluminów. Zawartość pamięci ulotnej ulega fragmentacji. Zastrzeżony algorytm rzeźbienia został opracowany przez Belkasoft, aby umożliwić rzeźbienie pofragmentowanych zestawów pamięci (BelkaCarving).

Zobacz też