什么是锉刀雕刻(File Carving)?
文件分割是计算机取证中使用的一种技术,它不需要原始创建文件的文件系统的帮助,从磁盘驱动器或其他存储设备中提取格式化的文件或数据,但这个过程实际上包括扫描存储设备上可用的数据,然后以某种方式检查这些信息是否是文...
文件分割是计算机取证中使用的一种技术,它不需要原始创建文件的文件系统的帮助,从磁盘驱动器或其他存储设备中提取格式化的文件或数据,但这个过程实际上包括扫描存储设备上可用的数据,然后以某种方式检查这些信息是否是文件或包含一些预定义的重要信息,因此,磁盘上的所有信息都需要根据其上下文进行评估,这意味着该过程可能需要很长时间,而且根据存储设备的状态,成功率可能很低。这是非常困难的,但可能,从具有大量文件碎片的驱动器上切割文件。成功的文件切割的最终结果是重建一个文件,使其内容完全显示出来,尽管在某些情况下,如果恢复了足够的相关信息,则可接受的结果可能是部分重建的文件。
在某些情况下,无论是硬件故障、人为错误还是恶意操作,都可以是可接受的结果攻击时,存储设备的文件系统及其上的所有信息都会被删除。根据信息被删除的方式,磁盘本身可能仍包含以前存在的所有信息,但以无序、无序的字节流的形式存在。使文件切割成为可能的一种机制是,当许多文件系统从驱动器中删除一个文件时,它们不会删除数据,而是将磁盘上的该区域标记为可供新文件使用。旧数据将一直保留到被覆盖为止,即使在这种情况下,它仍有可能被恢复
在文件雕刻中使用的一种非常基本的技术是逐步遍历磁盘上的信息块,以查找文件签名。这些数据是结构化的数据块,指示特定类型文件的开始。例如,可能包含宽度的图像文件的开头以及图像的高度和一些调色板数据。如果找到与文件类型的标题完全匹配的数据块,则尝试解释标题后面的数据,以确定它是否真的是文件数据。如果成功,这可能会导致原始文件的重建。
文件雕刻过程中出现的一个复杂问题与碎片文件有关,这意味着文件存储在一个磁盘上的两个或多个不同的物理位置。有些技术不尝试重建这些类型的文件。其他方法使用现有的文件系统知识来尝试估计文件的其他部分可能位于何处,尽管这个过程非常困难。
在某些情况下,无论是硬件故障、人为错误还是恶意操作,都可以是可接受的结果攻击时,存储设备的文件系统及其上的所有信息都会被删除。根据信息被删除的方式,磁盘本身可能仍包含以前存在的所有信息,但以无序、无序的字节流的形式存在。使文件切割成为可能的一种机制是,当许多文件系统从驱动器中删除一个文件时,它们不会删除数据,而是将磁盘上的该区域标记为可供新文件使用。旧数据将一直保留到被覆盖为止,即使在这种情况下,它仍有可能被恢复在文件雕刻中使用的一种非常基本的技术是逐步遍历磁盘上的信息块,以查找文件签名。这些数据是结构化的数据块,指示特定类型文件的开始。例如,可能包含宽度的图像文件的开头以及图像的高度和一些调色板数据。如果找到与文件类型的标题完全匹配的数据块,则尝试解释标题后面的数据,以确定它是否真的是文件数据。如果成功,这可能会导致原始文件的重建。
文件雕刻过程中出现的一个复杂问题与碎片文件有关,这意味着文件存储在一个磁盘上的两个或多个不同的物理位置。有些技术不尝试重建这些类型的文件。其他方法使用现有的文件系统知识来尝试估计文件的其他部分可能位于何处,尽管这个过程非常困难。
- 发表于 2020-07-10 16:04
- 阅读 ( 1457 )
- 分类:电脑网络
admin
0 篇文章
作家榜 »
-
xiaonan123
189 文章
-
汤依妹儿
97 文章
-
luogf229
46 文章
-
jy02406749
45 文章
-
小凡
34 文章
-
Daisy萌
32 文章
-
我的QQ3117863681
24 文章
-
华志健
23 文章