什么是銼刀雕刻(File Carving)?
文件分割是計算機取證中使用的一種技術,它不需要原始創建文件的文件系統的幫助,從磁盤驅動器或其他存儲設備中提取格式化的文件或數據,但這個過程實際上包括掃描存儲設備上可用的數據,然后以某種方式檢查這些信息是否是文...
文件分割是計算機取證中使用的一種技術,它不需要原始創建文件的文件系統的幫助,從磁盤驅動器或其他存儲設備中提取格式化的文件或數據,但這個過程實際上包括掃描存儲設備上可用的數據,然后以某種方式檢查這些信息是否是文件或包含一些預定義的重要信息,因此,磁盤上的所有信息都需要根據其上下文進行評估,這意味著該過程可能需要很長時間,而且根據存儲設備的狀態,成功率可能很低。這是非常困難的,但可能,從具有大量文件碎片的驅動器上切割文件。成功的文件切割的最終結果是重建一個文件,使其內容完全顯示出來,盡管在某些情況下,如果恢復了足夠的相關信息,則可接受的結果可能是部分重建的文件。
在某些情況下,無論是硬件故障、人為錯誤還是惡意操作,都可以是可接受的結果攻擊時,存儲設備的文件系統及其上的所有信息都會被刪除。根據信息被刪除的方式,磁盤本身可能仍包含以前存在的所有信息,但以無序、無序的字節流的形式存在。使文件切割成為可能的一種機制是,當許多文件系統從驅動器中刪除一個文件時,它們不會刪除數據,而是將磁盤上的該區域標記為可供新文件使用。舊數據將一直保留到被覆蓋為止,即使在這種情況下,它仍有可能被恢復
在文件雕刻中使用的一種非常基本的技術是逐步遍歷磁盤上的信息塊,以查找文件簽名。這些數據是結構化的數據塊,指示特定類型文件的開始。例如,可能包含寬度的圖像文件的開頭以及圖像的高度和一些調色板數據。如果找到與文件類型的標題完全匹配的數據塊,則嘗試解釋標題后面的數據,以確定它是否真的是文件數據。如果成功,這可能會導致原始文件的重建。
文件雕刻過程中出現的一個復雜問題與碎片文件有關,這意味著文件存儲在一個磁盤上的兩個或多個不同的物理位置。有些技術不嘗試重建這些類型的文件。其他方法使用現有的文件系統知識來嘗試估計文件的其他部分可能位于何處,盡管這個過程非常困難。
在某些情況下,無論是硬件故障、人為錯誤還是惡意操作,都可以是可接受的結果攻擊時,存儲設備的文件系統及其上的所有信息都會被刪除。根據信息被刪除的方式,磁盤本身可能仍包含以前存在的所有信息,但以無序、無序的字節流的形式存在。使文件切割成為可能的一種機制是,當許多文件系統從驅動器中刪除一個文件時,它們不會刪除數據,而是將磁盤上的該區域標記為可供新文件使用。舊數據將一直保留到被覆蓋為止,即使在這種情況下,它仍有可能被恢復在文件雕刻中使用的一種非常基本的技術是逐步遍歷磁盤上的信息塊,以查找文件簽名。這些數據是結構化的數據塊,指示特定類型文件的開始。例如,可能包含寬度的圖像文件的開頭以及圖像的高度和一些調色板數據。如果找到與文件類型的標題完全匹配的數據塊,則嘗試解釋標題后面的數據,以確定它是否真的是文件數據。如果成功,這可能會導致原始文件的重建。
文件雕刻過程中出現的一個復雜問題與碎片文件有關,這意味著文件存儲在一個磁盤上的兩個或多個不同的物理位置。有些技術不嘗試重建這些類型的文件。其他方法使用現有的文件系統知識來嘗試估計文件的其他部分可能位于何處,盡管這個過程非常困難。
- 發表于 2020-07-10 16:04
- 閱讀 ( 1352 )
- 分類:電腦網絡
admin
0 篇文章
作家榜 ?
-
xiaonan123
189 文章
-
湯依妹兒
97 文章
-
luogf229
46 文章
-
jy02406749
45 文章
-
小凡
34 文章
-
Daisy萌
32 文章
-
我的QQ3117863681
24 文章
-
華志健
23 文章