Dateischnitzerei und Datenwiederherstellung

Fr. Chris Frisch
Dateischnitzerei und Datenwiederherstellung
Der Prozess des Abrufens unzugänglicher, formatierter oder beschädigter oder beschädigter Daten von einem Speichermedium, wenn es nicht durch normale Methoden zugänglich ist Datenwiederherstellung. Informationen werden in der Regel aus Speichermedien zurückgezogen. Zum Beispiel interne und externe Festplatten (HDDs); Solid-State-Laufwerke (SSDs); Flash -Laufwerke; Magnetspeicher wie CDs und DVDs; RAID -Subsysteme; und andere elektronische Geräte. Die Wiederherstellung kann aufgrund des physischen Schadens für Speichergeräte oder des legitimen Schadens für das Dateisystem erforderlich sein und verhindern, dass das System vom Host Works Operating System (OS) montiert wird. Ein endgültiges Ziel ist es, alle grundlegenden Aufzeichnungen von den Schadenmedien auf ein neues Laufwerk zu duplizieren. Es ist möglich, Informationen mit einer Live -CD oder einer Live.

Live -CDs oder DVDs bieten eine Möglichkeit, das System Laufwerk sowie das abnehmbare oder feste Medienantrieb zu starten, sodass Sie den Dateimanager oder die Software zum Laden der Datei verwenden können. Ein Festplattenserver kann diese Fälle beschädigen und wertvolle oder proprietäre Datendateien in separaten Kompartimenten in den Betriebssystemdateien speichern.

Dateischnitzen ist ein Verfahren, das bei PC -Tatortuntersuchungen verwendet wird, um Informationen aus einer Festplatte oder anderer Speichergeräte ohne Hilfe der Dateisystemtabelle zu extrahieren, in der die Originaldatei überhaupt erst erstellt wurde. Dateischnitzerei ist eine Strategie, die die Kontrolle über Dokumente im nicht zugewiesenen Raum ohne Daten übernimmt und zur Wiederherstellung von Informationen verwendet wird, um eine computergestützte klinische Prüfung abzuspielen. Dieser Prozess wurde zunächst als „Design“ bezeichnet, was ein allgemeiner Begriff für die Entfernung organisierter Informationen aus groben Informationen ist, angesichts der besonderen Attribute des Organisationsmusters der gespeicherten Informationen.

Eine forensische Methode, die Dokumente wiederholt. Mit der Dateischnitzerei können Sie Dateien aus dem nicht zugewiesenen Speicherplatz in einem beliebigen Laufwerk wiederherstellen. Der Bereich des Laufwerks, der durch die Dateisystemstruktur (Dateitabelle) angegeben ist, in der keine Dateisysteminformationen enthalten sind.

Fehlende oder beschädigte Dateisystemstrukturen können das gesamte Laufwerk beeinflussen. Einfach ausgedrückt, löschen viele Dateisysteme keine Daten, wenn sie gelöscht werden. Stattdessen beseitigt es einfach das Wissen darüber, woher es stammt. Das Scannen von Rohbytes und das Aufgeben in Ordnung ist der grundlegende Prozess der Dateischnitzerei. Dieser Prozess wird von durchgeführt Untersuchung des Headers (First Bytes) und der Fußzeile (letzte Bytes) einer Datei.

Das Dateischnitzen ist eine hervorragende Möglichkeit, Dateien und Dateifragmente wiederherzustellen, wenn der Text beschädigt oder fehlt. Es wird oft von Fachleuten zur Fehlerbehebung verwendet, um die Beweise erneut zu untersuchen. Ein Beispiel für das Verbot und die Fähigkeit, Medien zu evakuieren. Forensik -Ermittler verwendeten Dateiwiederherstellungsmethoden, um Daten aus den in den Camps verwendeten Laufwerken und Systeme wiederherzustellen.

Dateisystemübersicht

A Dateisystem is Eine Art von Datenbank, die zum Speichern, Aktualisieren und Abrufen von Dateien oder mehreren Dateien verwendet wird. Auf diese Weise werden Dateien logisch archiviert und nach Archivierung und Wiederherstellung benannt. Im Folgenden werden verschiedene Arten von Dateisystemen erwähnt:

Windows -Dateisystem: Microsoft Windows verwendet nur zwei Arten von Fett und NTFs.

  • FETT, Dies bedeutet "Dateizuweisungstabelle", der einfachste Typ des Dateisystems, der einen Startsektor, eine Dateizuweisungstabelle und einen einfachen Speicherplatz zum Speichern von Dateien und Ordnern enthält. Vor kurzem kam Fat in FAT16, FAT12 und FAT32. FAT32 ist mit Windows-basierten Speichergeräten kompatibel. Windows kann kein Fat32 -Dateisystem mit einer Datei erstellen, die größer als 32 GB ist.
  • NTFS, Die Abkürzung des „neuen Technologiedateisystems“ ist jetzt ein Standarddateisystem für Dateien von mehr als 32 GB. Verschlüsselung und Zugriffskontrolle sind einige Haupteigenschaften dieses Dateisystems.

Linux -Dateisystem: Linux ist ein weit verbreitetes Open-Source-Betriebssystem und wurde für Tests und Entwicklung entwickelt. Dieses Betriebssystem sollte verschiedene Dateisystemkonzepte verwenden. In Linux gibt es verschiedene Arten von Dateisystemen.

  • Ext2, ext3, ext4 - Dies ist das lokale oder Standard -Linux -Dateisystem. Das Stammdateisystem ist im Allgemeinen auf die gesamte Linux -Verteilung mcingiert. Das Ext3 -Dateisystem ist eine hervorragende Aktualisierung des zuvor verwendeten Ext2 -Dateisystems. Es verwendet die Transaktionsdatei -Schreiboperation. EXT4 ist eine Erweiterungsdatei, die Ext3 -Informationen und Dateizuordnungen unterstützt.
  • Reiserfs - Das Problem des Dateisystems wird gelöst, indem viele kleine Dateien gleichzeitig gespeichert werden. Der Dateimanager lacht und die Erlaubnis der kompatiblen Datei, die Speicherung des Dateicodes, die Datei enthält Metadaten im Modus der Nicht -Verwendung des großen Dateisystems aufgrund ihrer Größe nicht.
  • Xfs - Das XFS -Dateisystem funktioniert gut und wird häufig für die Dateiarchivierung verwendet. Dieser Dateisystemtyp ist auf Irix -Servern beliebt.
  • JFS - IBM hat dieses Dateisystem entwickelt und ist zu einem Dateisystem geworden, das bei fast allen Linux -Verteilungen verwendet wird

MacOS -Dateisystem: Das Apple Macintosh -Betriebssystem verwendet nur das HFS + Dateisystem ohne HFS -Dateisystemerweiterung. MacOS, iPhones, iPads und alle anderen Apple -Produkte verwenden die HFS + Dateisystem. Einige Apple Server -Produkte verwenden das HSCAN -Dateisystem. Dieses renommierte Dateisystem verfolgt die Informationen zu Verzeichnisansicht, Windows -Standort usw.

Datei -Schnitztechniken

Während der digitalen Untersuchung ist es erforderlich, die verschiedenen Arten von Medien zu analysieren. GELTIGE INFORMATIONEN finden Sie auf mehreren Speichergeräten und im PC -Speicher. Verschiedene Arten von Informationen können beispielsweise E -Mail, elektronische Berichte, Framework -Protokolle und Medienunterlagen unterteilt werden. Dateischnitzerei ist eine Wiederherstellungstechnik, bei der nur der Inhalt und die Struktur der Datei in Betracht gezogen werden, anstatt Dateimetadaten für die Organisation von Daten auf dem Speichermedium zu verwenden.

Im Folgenden finden Sie einige Terminologien für Dateien, um sich zu erinnern:

  • Block - Die kleinste Größe der Dateneinheiten, die in den Speicher geschrieben werden können
  • Header - Der Ausgangspunkt der Datei.
  • Fusszeile - Die letzten Bytes der Datei.
  • Fragment - Ein oder mehrere Blöcke gehören zu einer einzelnen Datei.
  • Basisfragment - Erstes Fragment des Dateibehälters, der Header der Datei.
  • Fragmentierungspunkt - Der letzte Block kurz vor der Fragmentierung erfolgt. Mehrere Fragmente in jeder Datei führen zu mehreren Fragmentierungspunkten.

Die obersten universellen Datei -Carving -Techniken sind wie folgt:

  • Header-Footer-Technik (oder Header-"Maximale Dateigröße") - Die grundlegende Strategie hier besteht darin, Dateien basierend auf Titel und Handschrift oder Gesamtdateien zu schnitzen.
  1. JPG- oder JPEG -Erweiterungsdateien - "\ Xff \ xd8" und "\ xff \ xd9.”
  2. GIF - Titel "\ x47 \ x49 \ x46 \ x38 \ x37 \ x61" und "\ x00 \ x3b" Fußzeile.
  3. PST: "! Bdn ”ohne Fußzeilen überschreiten.
  4. Wenn das Dateisystem keine Basis hat, ist die maximale Anzahl der im Schnitzprogramm verwendeten Dateien.
  • Dateistrukturbasierte Schnitzerei
  1. Das interne Layout der Datei wird als Basistechnik verwendet.
  2. Header, Fußzeile, ID -Zeichenfolgen und Größeninformationen sind grundlegende Elemente.
  • Inhaltsbasiertes Schnitzen

Die Inhaltsstruktur ist kostenlos (Mbox, HTML, XML)

  • Merkmale des Materials
  1. Zählen Sie Charaktere
  2. Text- / Spracherkennung
  3. Schwarz -Weiß -Datenliste
  4. Informationsentropie
  5. Statistische Merkmale (Chi2)

Eine Datei schnitzen (ohne ein Tool zu verwenden)

Als nächstes werden wir sehen, wie man a schnitzt .JPEG -Datei ohne Verwendung eines Tools. Zunächst müssen wir die Struktur der Struktur kennenlernen .JPEG -Datei (Header und Fußzeile usw.). Dazu werden wir a öffnen .JPEG -Bild in der Verhexen Herausgeber, um zu untersuchen, was die Header und die Fußzeile des .JPEG -Datei sieht aus wie.

Hier fanden wir den Dateikopf ( Ffd8ffe0). Um die Fußzeile zu finden, werden wir die letzten Bytes in der Datei untersuchen.

Hier haben wir die Dateifußzeile oder Trailer (Anhänger (Ffd9).

Wenn Sie ein Dokument mit einem Bild haben, können Sie das Bild schnitzen, indem Sie seine Header und Fußzeile kennen.

Jetzt haben wir eine Wortdatei mit einem Bild darin. Wir werden das Bild mit dieser Technik herausschnitzen.

Das erste, was wir tun müssen, ist dieses Wortdokument mit dem zu öffnen Verhexen Herausgeber durch Klicken Datei >> Öffnen.

Hier sehen wir eine Figur, die die Daten der Wortdatei in hexadezimaler Form zeigt. Wie wir bereits wissen, die .Die JPEG -Datei hat einen Header -Wert von Ffd8ffe0, Wir werden also nach dem Dateikopf suchen, indem wir drücken Strg + f oder Suche >> Datei und Eingabe des bekannten Header -Werts (die Auswahl des HEX -Wert -Datentyps ist in diesem Schritt sehr wichtig).

Wir werden zum Offset einen Signaturwert finden 14fd.

Als nächstes müssen wir nach einer Fußzeile oder einem Anhänger suchen. Wir wissen, dass die .Die JPEG -Datei hat einen Fußzellwert von Ffd9, Wir werden also nach der Dateifußzeile suchen, indem wir drücken Strg + f oder Suche >> Datei und Eingabe des bekannten Fußzeilenwerts (Auswahl des HEX -Wert -Datentyps ist sehr wichtig.

Wir werden bei Offset einen Fußzeilenwert finden 2adb.

Derzeit haben wir die Header und Fußzeile eines JPEG -Dokuments und, wie wir kürzlich erwähnt haben. Hier duplizieren wir das gesamte Informationsquadrat mit Header und Fußzeile und speichern sie als eine andere Datei.

Gehe zu Bearbeiten >> block auswählen und geben Sie beide folgenden Begriffe ein:

Datei -Header -Offset: 14fd

Dateifußzeile Offset: 2adb

Nach dem Eingeben dieser Werte die Ganze .Die JPEG -Datei wird blau markiert. Kopieren Sie es mit der rechten Maustaste und auswählen Kopieren, oder durch Drücken Strg + c. Als nächstes werden wir die Informationen in eine neue Datei einfügen. Ein Dialogfeld wird angezeigt, und wir werden klicken OK. Jetzt sind wir bereit, die Datei durch Klicken zu speichern Datei >> speichern als oder drücken Strg + s. Wenn Sie diese kopierte Datei öffnen, sehen Sie dasselbe Bild wie im Originaldokument. Dies ist die grundlegende Technik zum Schnitzen von Mediendateien.

Datenschnitzwerkzeuge

Datenwiederherstellungstools spielen in den meisten forensischen Untersuchungen eine wichtige Rolle, da intelligente Angreifer immer versuchen, Beweise für ihre Verbrechen zu löschen. Im Folgenden sind einige wichtige Datenwiederherstellungstools in aufgeführt Linux Und Fenster.

  • Vor allem (Tool zum Schnitzen von Dateien)

Dateien wiederherzustellen, die aufgrund ihrer internen Datenstrukturen, Header und Fußzeilen verloren gehen, in erster Linie, kann verwendet werden. Normalerweise nimmt die Eingabe in verschiedenen Bildformaten wie AFF- oder RAW -Formaten ein, die mit einer Vielzahl von Tools erzeugt werden können, z. B. FTK -Imager, DD, Encase usw. Sie können zur Seite von Wesentlichkeit navigieren, um die leistungsstarken Befehle mit dem folgenden Befehl zu lernen und zu erkunden:

Ubuntu@Ubuntu: ~ $ WORMOST -H
Wiederherstellen Dateien von einem Festplattenbild basierend auf Dateitypen, die von der angegeben wurden
Benutzer verwendet den -t -Switch.
JPG -Unterstützung für die JFIF- und EXIF ​​-Formate, einschließlich Implementierungen
Wird in modernen Digitalkameras verwendet.
GIF
png
BMP -Unterstützung für das Windows BMP -Format.
Avi
EXE -Unterstützung für Windows PE -Binärdateien extrahiert DLL- und EXE -Dateien
zusammen mit ihren Kompilierungszeiten.
MPG -Unterstützung für die meisten MPEG -Dateien (muss mit 0x000001ba beginnen)
Wave
Riff Dies wird AVI und Riff extrahieren, da sie dieselbe Datei für - verwenden
Matte (Riff). Beachten Sie schneller als einzeln auszuführen.
WMV -Note kann auch WMA -Dateien extrahieren, da sie ein ähnliches Format haben.
OLE Dies greift jede Datei mit der OLE -Dateistruktur ab. Das
Enthält PowerPoint, Wort, Excel, Access und Starwriter
Dokument Hinweis Es ist effizienter, OLE zu betreiben, da Sie mehr für einen Knall bekommen
Dein Geld. Wenn Sie alle anderen OLE -Dateien ignorieren möchten, verwenden Sie dann
Das.
ZIP -Note, es wird extrahieren .Jar -Dateien auch, weil sie eine ähnliche Verwendung verwenden
Format. Offene Office -Dokumente sind nur Reißverschluss -XML -Dateien, also sie
werden auch extrahiert. Dazu gehören SXW, SXC, SXI und SX? für
Unbestimmte OpenOffice -Dateien. Office 2007 -Dateien sind auch XML
basiert (pptX, docx, xlsx)
rar
htm
CPP C -Quellcodeerkennung, beachten Sie, dass dies primitiv ist und möglicherweise generiert wird
andere Dokumente als C -Code.
MP4 -Unterstützung für MP4 -Dateien.
Alle führen alle vordefinierten Extraktionsmethoden aus. [Standard, wenn nein -t ist
angegeben]
  • Binwalk

Binwalk wird verwendet, um binäre Bibliotheken zu verwalten und wichtige Daten aus Firmware -Bildern zu extrahieren. Dieses Tool eignet sich hervorragend für diejenigen, die wissen, wie man es benutzt. Binwalk gilt als eines der besten Tools für Reverse Engineering und Extrahieren von Firmware -Bildern. Binwalk ist einfach zu bedienen und verfügt über enorme Fähigkeiten. Sie können zu Binwalks Hilfeseite navigieren, um mehr mit dem folgenden Befehl zu erfahren:

Ubuntu@Ubuntu: ~ $ binwalk -Help Signature Scan Optionen:
-B, -Signatur -Scan -Zieldatei (n) für gemeinsame Dateisignaturen
-R, - -raw = Scan -Zieldatei (n) für die angegebene Abfolge von Bytes
-A, -OPCODES Scan -Zieldateien (en) für gängige ausführbare Opcode -Signaturen
-m, - -magic = Geben Sie eine benutzerdefinierte magische Datei an, die verwendet werden soll
-b, -dumme Deaktivieren von Keywords Smart Signature
-I, -Invalid zeigen Ergebnisse als ungültig
-x, -exklude = Ergebnisse ausschließen, die übereinstimmen, die übereinstimmen
-y, -include = nur zeigen Ergebnisse, die übereinstimmen
Extraktionsoptionen:
-E, -extrahieren automatisch bekannte Dateitypen extrahieren
-D, - -dd = Signaturen extrahieren, den Dateien eine Erweiterung von und ausführen
-M, - -matryoshka rekursiv extrahierte Dateien scannen
-D, -Depth = Grenze matryoshka -Rekursionstiefe (Standard: 8 Stufen tief)
-C, -Verzeichnis = Dateien/Ordner extrahieren in ein benutzerdefiniertes Verzeichnis (Standard: Aktuelles Arbeitsverzeichnis)
-J, -Größe = Begrenzen Sie die Größe jeder extrahierten Datei
-n, -count = Begrenzen Sie die Anzahl der extrahierten Dateien
-R, -RM Löschen Sie geschnitzte Dateien nach der Extraktion
-Z, -Abschnitzeladdaten aus Dateien, aber keine Extraktionsdienstprogramme ausführen
Entropieanalyseoptionen:
-E, -Inentropie berechnen die Dateientropie
-F, -Schneller Verwendung schneller, aber weniger detailliert, Entropieanalyse
-J, -Save Save Plot als PNG
-Q, -NLEGEND VERLASSEN Sie die Legende aus dem Entropie -Diagramm -Diagramm
-N, --NPlot generieren kein Entropie -Diagramm -Diagramm
-H, - -hohe = Legen Sie die steigende Kanten -Entropie -Trigger -Schwelle fest (Standard: 0.95)
-L, - -low = Legen Sie den Abzugsschwellenwert für die fallende Kante ein (Standard: 0.85)
Binäre Differenzoptionen:
-W, - -Hexdump führen einen Hexdump / Diff einer Datei oder Dateien durch
-G, -Green zeigen nur Zeilen mit Bytes, die unter allen Dateien gleich sind
-i, -redieren nur Zeilen, die Bytes enthalten, die zwischen allen Dateien unterschiedlich sind
-U, --blue zeigen nur Zeilen mit Bytes, die zwischen einigen Dateien unterschiedlich sind
-W, -TERSE Diff alle Dateien, aber nur einen Hex -Dump der ersten Datei anzeigen
Rohkomprimierungsoptionen:
-X, -Deflate Scan für Rohdeverträglichkeitskompressionsströme
-Z, - -Lzma -Scan für Roh -LZMA -Komprimierungsströme
-P, -partial führen Sie ein oberflächliches, aber schneller durch, Scan
-S, -Haltestelle nach dem ersten Ergebnis
Allgemeine Optionen:
-L, -Length = Anzahl der zum Scannen zu scannierten Bytes
-o, --offset = SCAN bei diesem Dateiversatz starten
-O, -Base = Fügen Sie allen gedruckten Offsets eine Basisadresse hinzu
-K, -Block = Dateiblockgröße festlegen
-g, - -swap = Umrunden Sie alle n Bytes vor dem Scannen um
-f, - -log = Protokollergebnisse zur Datei
-C, - -CSV -Protokollergebnisse, die im CSV -Format Datei versehen können
-t, -TERM -Formatausgabe, um das Terminalfenster anzupassen
-Q, -Quiet unterdrückt die Ausgabe auf stdout
-v, --verbose aktivieren die ausführliche Ausgabe
-H, -HELP Show -Hilfeausgabe
-a, -fininclude = nur scannen Dateien, deren Namen mit diesem Regex übereinstimmen
-p, -fexclude = scannen keine Dateien, deren Namen mit diesem Regex übereinstimmen
-S, --Status = Aktivieren Sie den Statusserver am angegebenen Port

Daten aus formatierten Scheiben wiederherstellen

Datenwiederherstellungstools sollten sorgfältig ausgewählt werden, um Informationen von formatierten Festplatten, USB -Flash -Laufwerken und Speicherkarten wiederherzustellen. Tools, die zum Ausführen verschiedener Aktivitäten entwickelt wurden, können unerwartete Ergebnisse erzielen. Im Folgenden werden wir einige der Unterschiede zwischen verschiedenen Datenwiederherstellungstools für die Datenkorrektur bei formatierten Laufwerken untersuchen.

Unformat

Der erste tödliche Fehler, den viele Computerbenutzer bei versehentlich formatiertem Antrieb machen, besteht darin, "unformatierte" Tools zu finden, zu installieren und zu verwenden. Es gibt viele dieser Tools auf dem Markt; Einige sind kommerziell und andere sind freie Waren. Der Zweck dieser Tools ist es, die vorformatierte Festplatte durch Wiederherstellung des Dateisystems wieder aufzubauen oder neu zu erstellen.

Dies scheint zwar ein praktikabler Ansatz für die Unerfahrenen zu sein, aber es könnte ein größerer Fehler sein, als die Dateien überhaupt zu verlieren. Das Formatieren der Festplatte spült das Original -Dateisystem und ersetzt es zumindest teilweise, normalerweise am Anfang. Wenn Sie versuchen, Ihr altes Dateisystem wiederherzustellen, ist das Beste, was Sie erhalten, eine Festplatte, die mit einigen Ihrer Dateien lesbar ist. Alles kann nicht genau so wiederhergestellt werden, wie es so war, und die wertvollsten Dateien könnten beeinträchtigt werden, wobei nur zufällige Beispiele der Originaldateien auf der Festplatte. Wenn Sie über das „Formatieren“ eines Systems nachdenken, vergessen Sie es. Zumindest einige Systemdateien werden weg sein. Selbst wenn Sie das Betriebssystem booten können, erhalten Sie nie ein stabiles System.

Wahnsinnig

Der zweite Fehler, den viele Computerbenutzer machen werden, ist die Verwendung von Wiederherstellungswerkzeugen. Obwohl diese Tools existieren und ihre Arbeit in gutem Glauben erledigen, sind sie nicht darauf ausgelegt, Scheiben mit einem ausgeschlossenen Dateisystem zu handhaben. Selbst mit einigen der besten Wiederherstellungswerkzeuge wie der Wiederherstellung von RS -Dateien können Sie mehrere Dateien löschen, aber das ist schon.

Verteilungswiederherstellung

Um Dateien wiederherzustellen, sollten Sie nach einem Partition -Wiederherstellungstool wie RS Partition Recovery suchen. Dieses Tool kann für verteilte, formatierte und beschädigte Scheiben ausgelegt und kann die gesamte Oberfläche einer Festplatte oder Partition scannen, um alles wiederherzustellen, was es finden kann. Auch wenn das Dateisystem leer oder gelöscht ist, kann dieses Tool über seine Signaturfunktion viele Arten von Dateien wie Dokumenten, Bildern und Videos wiederherstellen. Obwohl segmentierte Wiederherstellungstools für die Datenwiederherstellung erstklassig sind, sind sie normalerweise ziemlich teuer. Wenn Sie nur eine formatierte Festplatte wiederherstellen möchten, kann es nützlich sein, stattdessen zu suchen und zu speichern.

Fett- und NTFS -Erholung

Sie können bis zu 40% für die Kosten für die Verteilungsrückgewinnung sparen, indem Sie ein Tool auswählen, das nur Fett- oder NTFS-formatierte Festplatten wiederherstellt. Denken Sie daran, dass Sie ein Tool kaufen müssen, das für das Original -Dateisystem geeignet ist, und nicht das oben geschriebene Tool. Wenn das ursprüngliche Laufwerk NTFS ist, erhalten Sie die NTFS Recovery Rs. Wenn es Fett oder Fat32 ist, holen Sie sich die Fettwiederherstellung rs. Auf diese Weise erhalten Sie die gleichen Qualitätstools, aber Sie beschränken sich auf FAT- oder NTFS -Formatierung. Dies ist die perfekte Wahl für einen einzigartigen Job.

Schnitzdateien (mit einem Tool)

Photorec ist eine großartige Software, die zum Schnitzen von Dateien und insbesondere JPEG- oder Bilddateien verwendet wird (deshalb heißt sie Photo Recovery). Photorec übersieht den Dokument -Framework und verfolgt die grundlegenden Informationen. Photorec ist auf Windows -Betriebssystemen leicht zugänglich.

Als Beispiel werden wir Bilddateien aus einem 8-GB-Flash-Laufwerk mit diesem Tool wiederherstellen.

Führen Sie zuerst die Photorec.exe Datei und Starten Sie die Anwendung. Wir werden einen solchen Bildschirm sehen:

Hier zeigen wir alle Partitionen. Wir werden auswählen /K als unser gewünschtes Ziel, um Daten wiederherzustellen.

Wir können sehen, welches Dateisystem diese Partition hier verwendet, und am Ende stehen vier Optionen.

Suchen - Dadurch wird die Partition durchsucht, die Dateien für die Wiederherstellung enthält.
Optionen - Wird für geringfügige Änderungen der Optionen verwendet.
Datei opt - Wird zum Ändern der Arten von Dateien verwendet, die wiederhergestellt werden sollen.
Aufhören - Verlässt den Prozess.

Wir werden auswählen Datei opt (Dateioptionen):

Dadurch können wir Optionen zur Auswahl der Dateien erhalten, die wir von der gewünschten Partition wiederherstellen möchten. Drücken S wird alle Optionen entfalten. Wir werden auswählen JPG -Bilder, da wir nur Bilddateien aus dem Laufwerk wiederherstellen möchten. Als nächstes werden wir drücken B.

So wählen Sie die aus Dateisystem, Kehren Sie zu den Hauptoptionen zurück und wählen Sie Andere. In Bezug auf Wiederherstellungsoptionen haben wir zwei Möglichkeiten:

  • erholen sich von der ganze Partition
  • Erholung von Nur nicht zugewiesener Raum (FAT12, FAT16, FAT32, ext1, ext2, ext3 usw.). Mit dieser Option werden nur die gelöschten Dateien wiederhergestellt.

Jetzt müssen wir nur den Speicherort festlegen, an dem die gelöschten Dateien wiederhergestellt werden. Danach beginnt und endet der Wiederherstellungsprozess, nachdem einige Zeit in Anspruch genommen und beendet wird. Dann suchen wir nach den wiederhergestellten Dateien am festgelegten Speicherort. Die wiederhergestellten Bilddateien werden dort sein.

Abschluss

Dateischnitzen ist ein bekannter forensischer Computerbegriff zur Beschreibung von identifizierenden Dateitypen und das Entfernen von nicht subordinaten Clustern mithilfe von Dateisignaturen. Eine Dateisignatur, auch als magische Nummer bezeichnet, ist ein numerischer oder dauerhafter Textwert, der zur Identifizierung des Dateiformats verwendet wird. Extraktion von Dateien oder Daten ist ein Begriff, der im Bereich der forensischen Informatik verwendet wird. Ein computergestützt gerichtsmedizinische Untersuchung ist eine Akquisition, Überprüfung, Analyse und Dokumentation von Beweisen, die in einem Computersystem, einem Netzwerk von Computern oder anderen Formen digitaler Medien enthalten sind. Das Extrahieren von aussagekräftigen Daten aus Rohdaten wird genannt Carving.

Datei Bildhauerung ist die Identifizierung und Wiederherstellung von Dateien basierend auf der Formatanalyse. In Forensic Computing ist Skulpting eine nützliche Möglichkeit, versteckte oder gelöschte Dateien in digitalen Medien zu finden. Ffiles können in Bereichen wie verloren. Um diese Extraktionsmethode zu verwenden, muss eine Datei eine Standardsignatur haben, die als a bezeichnet wird Datei -Header, zu Beginn der Datei. Um den Datei -Header zu erhalten, wird das Wiederherstellungstool weiter abfragen. Die Daten zwischen dem Header und der Fußzeile werden extrahiert und analysiert, um die Integrität zu gewährleisten. In seinen Algorithmen werden je nach Dateityp mehrere Bildhauermethoden verwendet.

Moderne Betriebssysteme löschen gelöschte Dateien ohne Benutzererlaubnis nicht vollständig. Löschte Dateien können über verschiedene forensische Tools und Taktiken wiederhergestellt werden, wenn die gelöschten Dateien nicht zu einer anderen Datei hinzugefügt werden. Beschädigte Dateien können wiederhergestellt werden, wenn die Daten nicht über die Erkennung hinaus beschädigt werden.

Es gibt einen großen Unterschied zwischen Dateiwiederherstellung und Dateischnitzen. Dateiwiederherstellung verwendet Informationen aus dem Dateisystem. Durch die Verwendung dieser Informationen können mehrere Dateien wiederhergestellt werden. Wenn die Informationen falsch sind, funktioniert dies nicht. Mit dem Aufkommen von Dateischnitzen, Strafverfolgungsbehörden, Technologiefachleuten und Forensik -Fachleuten haben ein weiteres Tool gefunden, mit dem gelöschte Daten wiederhergestellt werden können. Obwohl es nicht immer perfekt und raffiniert ist, mögen Werkzeuge In erster Linie Skalpell, Und Photorec habe die Datei Erholung leichter als je zuvor erleichtert.

Java
Was ist Import Java.io.*; in Java?
In Java der „Import Java.io.*; ist eine Importanweisung, mit der ein Java -Programm Klassen aus der...
Ansgar Radtke
AWS
Was ist eine Instanz und wie man sie in EC2 verwendet??
Eine Instanz ist eine virtuelle Maschine auf der Cloud, die für die Verwendung kosten kann. Der EC2 ...
Fr. Chris Frisch
Php
So verwenden Sie die Funktion der AddSlashes -Funktion in PHP
fügtslashes () -Funktion in PHP fügt eine Backslash (\) vor Sonderzeichen wie Zitate, Apostrophes un...
Jean Dengler
Python
Filter Nan Pandas
Ahmed Stöckert
Python
Konvertieren Sie die Zeichenfolge, um Python zu setzen
Ahmed Stöckert
Docker
Was ist der Zweck eines Docker-Composes?.YML -Datei in Docker?
Jessica Schimmer
c scharf
Was ist System.Io Namespace in C#
Mohamed Flore
Docker
Wie werden Volumina in Docker definiert??
Jean Dengler
Php
So verwenden Sie Array_reverse -Funktion in PHP
Stephan Harms
JavaScript
Wie funktioniert die Onclick -Veranstaltung in JavaScript?
Jessica Schimmer
Java
So verwenden Sie Byte -Schlüsselwort in Java
Gian Eisenlauer
JavaScript
Was macht die ATOB -Methode in JavaScript?
Frederik Rodehau
AWS
Was ist der Batch -Prozess und wie man ihn in AWS verwendet??
Arved Riermeier