Mi az adatfaragás, és hogyan használható fájlok helyreállítására?

El adatfaragás (vagy fájlfaragás) Egzotikusnak hangzik, de valójában egyike azoknak a technikáknak, amelyek megmentik a napot, amikor minden elveszettnek tűnik: formázott lemezek, törölt partíciók, sérült fájlrendszerek... és mégis vissza tudjuk állítani a fájlokat. Nem varázslatról van szó; arról szól, hogy kihasználjuk a fájlok belső szerkezetét, és az utolsó bájtig kinyerjük a lemezből, még akkor is, ha az operációs rendszer azt mondja, hogy üres.

Mi is pontosan az adatfaragás?

Röviden, az adatfaragás a adatsorozatok (fájlok) kinyerésének folyamata egy nagyobb adathalmazbólA fájlrendszer-struktúrákra való támaszkodás nélkül. A DFRWS 2006 úgy definiálta, mint egy nagyobb adathalmazból származó adatsorok kinyerését, ami jellemző a fájlrendszer kiosztatlan területeinek elemzésére, fájlfejlécek és láblécek használatával az egyes típusok felismerésére, a fájlrendszer teljes figyelmen kívül hagyásával.

Egyszerűbben fogalmazva: ahelyett, hogy megkérdeznék a fájlrendszertől: "Hé, hol van ez a fájl?", a faragógépek A lemezt egy hatalmas bájtblokkként olvasták "nyersen".És belül a belső aláírásuk alapján keresik a fájlokat. Ez olyan digitális, mintha egy hulladéklerakóban kutatnánk, ahol a formájuk alapján felismerhető tárgyakat keressük, anélkül, hogy bármilyen leltárt készítenénk arról, hogy mi volt ott.

Ezt az eljárást általában a ki nem osztott vagy nem alkalmazott területEzek olyan területek, amelyeket a fájlrendszer szabadként jelöl meg, de ahol még mindig vannak régi fájlok maradványai. Súlyosan sérült, újraparticionált vagy formázott lemezeken közvetlenül is dolgozhat ezekkel a területekkel. a teljes fizikai felület a készülék.

Fontos részlet, hogy az adatfaragás Nem korlátozódik a klasszikus merevlemezekreEz vonatkozik az SSD-kre, SD-kártyákra is, USB-meghajtókRAW formátumú forenzikus képek, memóriaképek stb. Amíg vannak elemzendő bájtok, megpróbálhatsz belőlük fájlokat „kivágni”.

Klasszikus helyreállítás vs. fájlvágás

A hagyományos adatmentés azon a tényen alapul, hogy A fájlrendszer metaadatai továbbra is élnekPéldául NTFS (Windows), FAT, ext4 (Linux) stb. rendszerekben, amikor törölünk egy fájlt, általában csak a táblázatban lévő bejegyzése lesz szabadként megjelölve, de az adatok ott maradnak, amíg felül nem írják őket.

Amíg ezek a struktúrák léteznek, az eszközök működhetnek. olvasd el a fájltáblákat, kövesd az adatblokkokra mutató mutatókat és rekonstruálják a fájlt, még akkor is, ha az töredezett. Könnyen megkülönböztethetik azt is, hogy mely blokkok tartoznak az aktív fájlokhoz, és melyek „árva”.

A probléma? Amikor ezek közül bármelyik forgatókönyv bekövetkezik, a klasszikus módszer sebezhetővé válik, és Semmi hasznosat nem tud visszaállítani.:

• A fájlt régen törölték és a fájltáblázatban lévő rekordját újra felhasználták.
• A lemez formázása vagy újraparticionálása megtörtént (például Linuxot telepítesz egy régi Windows rendszerre).
• A fájlrendszer struktúrái sérültek fizikai sérülés, rosszindulatú program vagy logikai hibák miatt.
• Az eredeti fájlrendszert egy másik felülírta (tipikus példa: egy ext4-re formázott Windows lemez).

Ott van reszelős faragás jön beFélreteszi a táblázatokat, inode-okat és MFT-ket, és a következőkre összpontosít: Az eszköz nyers tárhelyének vizsgálata ismert fájlminták keresése utánEz egy „vakabb” megközelítés, de rendkívül hasznos, amikor már nincs mihez kapaszkodni.

Aláírások, fejlécek, láblécek és varázsszámok

A faragás kulcsa az, hogy szinte minden reszelőtípus rendelkezik felismerhető aláírásokEzek az aláírások általában a fejlécben (a fájl elején), és néha a láblécben (végén) is megtalálhatók. Továbbá sok formátum az első néhány bájtban tárolja az adatokat. metaadatok, például a fájl teljes hossza vagy egyéb szerkezeti információk.

A koncepció a varázslatos szám Lényeges: ez egy állandó, amely lehetővé teszi a fájltípus egyértelmű azonosítását, függetlenül az operációs rendszer által adott kiterjesztéstől. A kiterjesztések (.jpg, .doc, .zip…) segítik a felhasználót és a rendszert, de ami igazán számít, az az, hogy mi van a fájl első néhány bájtjában.

Például a szabványos GIF-ek ASCII karakterláncokkal kezdődnek. „GIF87a” vagy „GIF89a”Hexadecimális formában ez egy adott fejlécet jelent, amelyet bármely eszköz kikereshet. GIF-ek esetén a lábléc tipikusan tartalmazza a bájtot. 0x3B («;»), ismét nagyon meghatározott pozíciókban.

Egy másik jól ismert példa: egy jól formázott JPEG 0xFFD8-cal kezdődik és 0xFFD9-cel végződik.Ha megnyitunk egy képet egy hex editorban, akkor az aláírást az elején, a jelölőt pedig a végén látjuk. Közöttük vannak más formátumspecifikus jelölők (szegmensek, Huffman-táblázatok stb.), amelyek lehetővé teszik számunkra a validálást.

Linuxban a parancs filé mágikus számok adatbázisát használja (a /usr/share/file/magic vagy annak lefordított változata magic.mgc) az A fájl tényleges típusát az első néhány bájt vizsgálatával lehet meghatározni.nem a bővítmény. Nincs ilyen hatékony natív megfelelője Windowsban, de olyan eszközök, mint a fájlver vagy harmadik féltől származó segédprogramok, amelyek hasonló funkciókat kínálnak.

Hogyan működik a reszelőfaragás lépésről lépésre

A legtöbb eszközben az általános logika nagyon hasonló, bár mindegyiknek megvannak a saját trükkjei. Röviden, általában egy fájlvágási folyamat következik. ezeket az alapvető szakaszokat:

1. Az eszköz vagy kép szekvenciális leolvasása
Az eszköz blokkokban olvassa be a lemez, partíció vagy forenzikus kép tartalmát (például innen: 512 bytes Alapértelmezés szerint, bár sok esetben lehetőség van a méret módosítására olyan paraméterekkel, mint például -bEzek a blokkok a memóriába töltődnek, így könnyen elemezhetők.

2. Fejléc- és lábléc-aláírások keresése
A memóriában lévő adatok alapján a program keresse meg a konfigurációs fájlban definiált aláírásokat (például foremost.conf (Foremost esetében). Minden konfigurációs bejegyzés a következőket jelzi:

• A helyreállított fájlhoz rendelendő kiterjesztés (jpg, doc, gif, stb.).
• Ha a mágikus szám összehasonlítása a következő: kis- és nagybetűérzékeny vagy nem.
• Maximális méret ami a fájlban lehet, ha nem található lábléc.
• A fejléc és opcionálisan a lábléc értékei a hexadecimális vagy oktális.
• Speciális opciók, mint például HÁTRA vagy KÖVETKEZŐ keresési változatokhoz.

Amikor érvényes fejlécet talál, az eszköz feltételezi, hogy a fájl ott kezdődik, és megkeresi a megfelelő láblécet, vagy ha a formátum lehetővé teszi, a beágyazott információkból kiszámítja a hosszt magában a fejlécben.

3. Adatkinyerés és -összeállítás
Miután a kezdő- és végpontot (vagy a becsült méretet) meghatározták, a program másolja a fájl részét képező összes blokkot és egy új fájlba írja őket. Lábléc nélküli, de fejlécmérettel rendelkező formátumok esetén (például BMP) ez a metaadat határozza meg, hogy hány bájtot kell beolvasni.

4. A helyreállított fájlok validálása
A legfejlettebb eszközök nem elégszenek meg azzal, hogy „csak úgy bármit” helyreállítsanak: alkalmazhatók fájltípus-specifikus validátorok annak ellenőrzésére, hogy a belső struktúrák értelmesek-e (táblázatok, ellenőrzőösszegek, kötelező mezők stb.). Ez csökkenti a téves riasztások számát, és segít a sérült vagy hiányos fájlok észlelésében.

5. Az eredmények és a jelentés rendszerezése
Normális esetben az eszköz létrehoz egy kimeneti könyvtár (például teljesítmény vagy a jelzett -o), és azon belül kiterjesztés szerint almappákat generál: jpg, gif, olestb. Ezenkívül egy auditfájlt is létrehoz, típus audit.txt, ahol dokumentálva van:

• Végrehajtási paraméterek, kezdési és befejezési időpont.
• Az elemzett eszköz vagy kép neve.
• Típus szerint kibontott fájlok száma.
• Az egyes lekért fájlok neve, mérete és eltolás a forrásképen belül.

Tipikus reszelőfaragó szerszámok

Az adatmentés és a kriminalisztikai elemzés napi munkájában a következőket használják: különféle speciális eszközök amelyek ezeket a faragási technikákat különböző módon valósítják meg, többé-kevésbé automatizálási és validálási képességekkel.

PhotoRec
A Photorec valószínűleg az egyik legnépszerűbb faragógép. Ez az ingyenes, nyílt forráskódú és platformfüggetlenEredetileg fényképek helyreállítására tervezték, de ma már több száz fájltípust támogat. Nyers képek vagy eszközök beolvasásával és ismert aláírásokból fájlok kinyerésével működik az eredeti tartalom módosítása nélkül.

Sebészkés
A szike egy másik klasszikus a szabad ökoszisztémában. Lehetővé teszi a nagyon részletes aláírás-konfiguráció konfigurációs fájlján keresztül, ami nagyon rugalmassá teszi a forenzikus környezetekben, ahol fontos pontosan meghatározni, hogy mely fájltípusokat keressük. Általában innen futtatható: parancssor Linuxban és bizonyos szintű technikai tudást igényel.

Legelső
Elsősorban a hadseregből származik (az Egyesült Államok Légiereje számára fejlesztették ki), és a kódját később kiadták. Filozófiája középpontjában... Faragás fejtámla/lábtámla és beágyazott hossz szerintEgy nagyon átfogó konfigurációs fájlra támaszkodik. Könnyen telepíthető Linux rendszerekre, Windows rendszeren pedig a következővel lefordítva használható: cygwin, amely POSIX kompatibilitási rétegként működik.

A Foremost esetében a Windows rendszeren való használatához a következőkre van szükség: Fordítsd le forráskódból a Cygwin környezetbenmajd a futtatható fájl másolása foremost.exe, a fájlod foremost.conf és a könyvesbolt cygwin1.dll ugyanabba a könyvtárba. Innen úgy futtatható, mintha Linux rendszeren lennénk, ugyanazokkal a beállításokkal és viselkedéssel.

Valós élethelyzetek, ahol adatfaragást alkalmaznak

Az elméleten túl a faragásnak nagyon specifikus és gyakori alkalmazások mind professzionális, mind otthoni környezetben. Néhány tipikus példa:

Régóta törölt fájlok helyreállítása
Amikor egy fájlt törölnek (például), és megpróbálják visszaállítani olyan eszközökkel, mint például Windows fájl-helyreállításHa a rendszer ezt követően újra felhasználja a fájltáblázatban lévő bejegyzést, a klasszikus módszer nem lát semmit. Azonban amíg a fájlblokkok nincsenek felülírva, az adatvágás folytatódik. Továbbra is megtalálhatja ezeket a fejléceket, és a tartalom nagy részét rekonstruálhatja..

Formázott lemezek vagy törölt partíciókkal rendelkező lemezek
Formázás vagy újraparticionálás során jellemzően csak a metaadat-területek és a logikai struktúra változik. A fizikai tartalom megmarad, legalábbis kezdetben. Egy jó particionálási folyamat ezt lehetővé teszi. töltsön fel fényképeket, dokumentumokat és egyéb fájlokat azokról a területekről, amelyek most "üresnek" tűnnek.

Digitális forenzikus vizsgálat
Egy forenzikus elemzés során gyakori, hogy a következőkkel dolgoznak: RAW lemezképek amelyek számtalan próbatételen mentek keresztül: újratelepített operációs rendszerek, rosszindulatú programok, törlési kísérletek stb. Az adatmásolás elengedhetetlen a helymeghatározáshoz bizonyíték a ki nem jelölt helyenrégi e-mailek, alkalmazásnaplók, ideiglenes dokumentumok vagy „elfelejtett” fájlok, amelyekre a fájlrendszer már nem hivatkozik.

Helyreállítás sérült eszközökön
A hibás szektorokat tartalmazó lemezeken vagy logikai problémákkal küzdő SSD-ken a fájlrendszer annyira megsérülhet, hogy Még össze sem szerelikItt is, ha egy korábban létrehozott képre vésünk rá (hogy ne súlyosbítsuk a kárt), legalább néhány hasznos információt megmenthetünk.

A fájlfaragás korlátai: elnevezés, fragmentáció és téves riasztások

Az adatfaragás hihetetlenül hatékony, de nem csoda. Van benne valami. ismerni kell a szerkezeti korlátokat hogy elkerüljük a csalódásokat vagy a téves következtetések levonását egy forenzikus elemzés során.

Az eredeti név és útvonal elvesztése
A fájlrendszerhez való hozzáférés nélkül a program nem ismeri a fájl nevét vagy azt a mappát, amelyben található. Ezért generálnak az eszközök általános neveket, például 00032837.doc, kép0001.jpgstb. Bizonyítéki vagy felhasználói szempontból ez kötelezi manuálisan ellenőrizze a tartalmat relevanciájának azonosítására.

Fájltöredezettség
A klasszikus faragás legnagyobb akadálya a töredezettség. Sok egyszerű algoritmus Feltételezik, hogy a fájl összefüggő blokkokban van.A gyakorlatban, különösen a sokat használt lemezeken, a nagy fájlokat (nagy felbontású képeket, e-mail PST-ket, adatbázisokat stb.) általában több, a lemezen szétszórt töredékre osztják.

Simson Garfinkel tanulmányaihoz hasonló tanulmányok kimutatták, hogy bár a fragmentáció teljes százalékos aránya szerénynek tűnhet, A törvényszéki érdeklődésre számot tartó akták típusai között az adatok az egekbe szöknek. (Például a JPG, DOC vagy PST fájlok jelentős százaléka töredezettnek tűnik.) Ezekben az esetekben egy egyszerű fejléc-lábléc-elvágás Hiányos vagy beágyazott szeméttel rendelkező fájlokat állít helyre más köztes fájlokból.

Téves riasztások és sérült fájlok
Minél általánosabb egy fájltípus aláírása, Könnyebbek a hamis véletlenek véletlenszerű adatokban (pl. egy ZIP fájl „PK”-jének megtekintése egy szövegfájlban). Ezért fontos a belső struktúra megfelelő validálása: deklarált hossz, kötelező mezők, fejléc konzisztencia stb.

Ezen problémák csökkentése érdekében olyan megközelítéseket alkalmaznak, mint a Fájlszerkezet-alapú faragás, szemantikus faragás, fejlett validációs faragás és intelligens faragás, amelyek a strukturális elemzést, a statisztikai mintákat (entropia, bájteloszlás) és akár a nyelvi elemzést is ötvözik annak eldöntésére, hogy egy blokk beleillik-e egy jelöltfájlba vagy sem.

Okos faragás és fejlett technikák

A fragmentáció kezelése és az eredmények minőségének javítása érdekében algoritmusokat fejlesztettek ki, amelyek okos faragásAz általános elképzelés az, hogy ne feltételezzük többé, hogy minden összefüggő, hanem a problémát egyfajta rendszerként kell kezelni. blokk kirakós amit a megfelelő sorrendben kell újra összeszerelni.

Néhány klasszikus mű (például Shanmugasundaram művei) egy töredezett archívum rekonstrukcióját modellezi egy Hamilton-út Egy gráfban: minden blokk egy csomópont, és az élek annak valószínűségét jelölik, hogy az egyik blokk követi a másikat, attól függően, hogy a tartalmuk hogyan illeszkedik egymáshoz. Innen a következőket alkalmazzuk: heurisztikák, alfa-béta keresés és egyéb gráf- és játékelméleti technikák hogy megtaláljuk a legvalószínűbb sorozatot.

Magas szinten sok jelenlegi okosfaragó három fázist követ:

• Előfeldolgozott: kicsomagolja, visszafejti vagy normalizálja a blokkokat, hogy elemezhetők legyenek.
• Ellenőrizve: a blokkok osztályozása a valószínűsíthető fájltípus szerint (aláírás, entrópia, belső minták… alapján).
• Újra összeszerelve: a töredékeket a leglogikusabb sorrendbe rendezi a teljes fájlok rekonstruálásához, még akkor is, ha azok erősen töredezettek.

Ez a megközelítés az alapja az olyan üzleti eszközöknek, mint a kereskedési eszközök mint például az Adroit Photo Forensics vagy az Adroit Photo Recovery, amelyeket valóban kihívást jelentő körülmények között készült fényképek helyreállítására terveztek. Emellett jellemzően nagyon szigorú validátorokat használnak minden egyes képtípus (JPEG, TIFF, kamera RAW stb.) esetén.

Jó gyakorlatok faragás előtt és alatt

Ha az adatfaragást komoly esetben fogják alkalmazni (legyen szó akár egy adatmentésre törekvő vállalatról, akár egy kriminalisztikai vizsgálatról), számos lehetőség áll rendelkezésre. jó gyakorlatok, amelyeket mindig be kell tartani:

Lemezkép létrehozása
Mielőtt bármit is tennénk, a bölcs dolog az, hogy létrehozunk egy az eszköz bitenkénti képe (például, azzal dd, dc3dd, Guymagerstb.). Ezáltal elkerülhető az eredeti korong érintése, és lehetővé válik a faragási folyamatok megismétlése különböző eszközökkel és paraméterekkel anélkül, hogy kárt okozna.

Mindig másolatokon dolgozz
Miután a fő kép elkészült, érdemes munkapéldányokat készíteni és alkalmazza rájuk a faragóeszközöket. Ez megőrzi a megváltoztathatatlan bizonyítékokat arra az esetre, ha meg kell ismételni az elemzéseket, bizonyítékokat kell bemutatni a bíróságon, vagy egyszerűen csak az eredményeket kell ellenőrizni az eszközök új verzióival.

Beállítások módosítása és tesztelése
Az olyan eszközök, mint a Foremost, a Scalpel vagy a Photorec, lehetővé teszik a keresés típusainak, az elfogadott maximális méretek, az aláírások értelmezésének stb. finomhangolását. Célszerű próbáljon ki különböző konfigurációkatkülönösen akkor, ha előre tudja, milyen típusú fájlok érdeklik (például csak Office-dokumentumok vagy csak képek).

Manuális ellenőrzés és ellenőrzés
Bár az automatikus validátorok segítenek, végül valami másra van szükség. emberi felülvizsgálat Annak felmérésére, hogy egy helyreállított fájl releváns, teljes vagy csak zajos-e. Forenzikus környezetben elengedhetetlen az egyes lépések dokumentálása, a naplók megőrzése és a felügyeleti lánc fenntartása.

Ha mindezt egy szervezett megközelítéssel és a megfelelő eszközökkel kombináljuk, akkor az adatfaragás válik... az egyik leghatékonyabb eszköz az információk kritikus helyzetekben történő helyreállításához, mind a professzionális szférában, mind a hétköznapibb esetekben (a klasszikus "formáztam a kamera kártyáját, és megvolt az összes nyaralási fotó").

Végső soron arról van szó, hogy megértsük, mi az adatfaragás, és hogyan hasznosítja a benne rejlő lehetőségeket. belső fájlaláírások és milyen korlátaik vannak a fragmentációvalEz jelenti a különbséget aközött, hogy feladjuk az ügyet, vagy sikerül megmentenünk azokat a dokumentumokat vagy képeket, amelyek örökre eltűntnek tűntek.

Kapcsolódó cikk:

Hogyan lehet visszaállítani a törölt fájlokat a TestDisk és a PhotoRec segítségével

Izsák

Szenvedélyes író a bájtok és általában a technológia világáról. Szeretem megosztani tudásomat írásban, és ezt fogom tenni ebben a blogban, megmutatom a legérdekesebb dolgokat a kütyükről, szoftverekről, hardverekről, technológiai trendekről stb. Célom, hogy egyszerű és szórakoztató módon segítsek eligazodni a digitális világban.