Powrót   Forum CDRinfo.pl > Archiwizacja - Dyski twarde, SSD, pendrive, karty pamięci > Odzyskiwanie danych

Odzyskiwanie danych Dyskusje poświęcone odzyskiwaniu danych z dysków twardych i pamięci flash



Witaj Nieznajomy! Zaloguj się lub Zarejestruj

Zarejestrowani użytkownicy mają dostęp do dodatkowych opcji, lepszej wyszukiwarki oraz mniejszej ilości reklam. Rejestracja jest całkowicie darmowa!

Odpowiedz na post
 
LinkBack Opcje związane z dyskusją Ocena dyskusji Tryby wyświetlania
Stary 13.09.2016, 09:23   #1
Stały bywalec ;)
 
Avatar użytkownika xor82
 
Data rejestracji: 28.07.2015
Posty: 103
xor82 zaczyna zdobywać reputację <1 - 49 pkt>
File Carving - pytań kilka

Czy ktoś z Was miał do czynienia z tematyką file carving, odzyskiwania plików z dysków trybie RAW lub niekompletnych? Chodzi mi o budowę pliku. Czy po nagłówku zawsze zaczyna się już konkretna zawartość pliku?

Weźmy np. jpg z nagłówkiem FFD8FFE0, to czy po końcu nagłówka od razu zaczyna się zawartość zdjęcia, czy są jeszcze jakieś dodatkowe informacje o pliku? Jak rozpoznać, gidze zaczyna się konkretna zawartość?
xor82 jest offline   Odpowiedz cytując ten post

  #ads
CDRinfo.pl
Reklamowiec
 
 
 
Data rejestracji: 29.12.2008
Lokalizacja: Sieć globalna
Wiek: 31
Posty: 1227
 

CDRinfo.pl is online  
Stary 13.09.2016, 10:40   #2
konsolowy Nostradamus
 
Avatar użytkownika Berion
 
Data rejestracji: 24.06.2004
Lokalizacja: klaster Virgo, Droga Mleczna, system Sol.
Posty: 17,038
Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>
Zawsze, ponieważ klaster jest większy niż wielkość nagłówka. Ale nie ma żadnej gwarancji na to, że plik zajmuje kolejne po sobie klastry, wręcz szansa jest niewielka. Poczytaj o fragmentacji danych w systemach plików.
__________________
Wszystko co chciałbyś wiedzieć o:
| PSX | PS2 | PS3 | Xbox |
Berion jest offline   Odpowiedz cytując ten post
Stary 13.09.2016, 13:13   #3
Zarejestrowany
 
Avatar użytkownika Fix00ser
 
Data rejestracji: 29.03.2014
Posty: 25
Fix00ser zaczyna zdobywać reputację <1 - 49 pkt>
Lektura obowiązkowa
http://pdf.ebookpoint.pl/infsle/infsle.pdf
https://magazyn.mediarecovery.pl/wszystkie-wydania/
http://www.odzyskiwanie-danych.net/a...trybie_raw.php
Dedykowany soft do carvingu fotek to licencyjny
Adroit Photo z silnikiem <smart-carving>
http://digital-assembly.com/products...rtcarving.html
https://forensictools.pl/pl/oprogram...forensics.html
opis w CHIP 6/2011 str 136/137

Ostatnio zmieniany przez Fix00ser : 13.09.2016 o godz. 13:34
Fix00ser jest offline   Odpowiedz cytując ten post
Stary 13.09.2016, 13:53   #4
Stały bywalec ;)
 
Avatar użytkownika xor82
 
Data rejestracji: 28.07.2015
Posty: 103
xor82 zaczyna zdobywać reputację <1 - 49 pkt>
Cytat:
Napisany przez Berion Podgląd Wiadomości
Poczytaj o fragmentacji danych w systemach plików.
Tak wiem, ale załóżmy sytuację "idealną" Rozumiem ze do dokładnego odwzorowania gdzie są fragmenty danego pliku posłużyć mogłaby jedynie kopia MFT z czasu, gdy badany plik istniał?
xor82 jest offline   Odpowiedz cytując ten post
Stary 13.09.2016, 20:06   #5
konsolowy Nostradamus
 
Avatar użytkownika Berion
 
Data rejestracji: 24.06.2004
Lokalizacja: klaster Virgo, Droga Mleczna, system Sol.
Posty: 17,038
Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>
W sytuacji idealnej tak.

A tego nie wiem, tym zajmują się programy żeby mi głowa nie pękła.
__________________
Wszystko co chciałbyś wiedzieć o:
| PSX | PS2 | PS3 | Xbox |
Berion jest offline   Odpowiedz cytując ten post
Stary 13.09.2016, 21:29   #6
Stały bywalec ;)
 
Avatar użytkownika xor82
 
Data rejestracji: 28.07.2015
Posty: 103
xor82 zaczyna zdobywać reputację <1 - 49 pkt>
Cytat:
Napisany przez Berion Podgląd Wiadomości
W sytuacji idealnej tak.

A tego nie wiem, tym zajmują się programy żeby mi głowa nie pękła.
Są takie? Czytałem, że takie składanie danych to raczej praca detektywa
xor82 jest offline   Odpowiedz cytując ten post
Stary 13.09.2016, 22:18   #7
konsolowy Nostradamus
 
Avatar użytkownika Berion
 
Data rejestracji: 24.06.2004
Lokalizacja: klaster Virgo, Droga Mleczna, system Sol.
Posty: 17,038
Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>
To zależy od sytuacji. Nie da się rozmawiać o odzyskiwaniu danych ogólnie.

Jeśli jest kopia starej tablicy to na jej podstawie można spróbować odczytać dane, które być może nie zostały nadpisane. Jeśli nie ma to po nagłówku z nadzieją na niepofragmentowany plik np. JPG. I tym zajmują się prawie wszystkie programy do odzyskiwania danych jak Reccuva, Photorec itd. Nie musisz tym sobie zaprzątać głowy tylko znaleźć program, który tak ma napisane algorytmy do przeszukiwania i rozpoznawania danych, aby znalazł ich jak najwięcej w Twoim przypadku.

Żeby szukać danych samemu musisz najpierw mieć jakieś podstawy.
__________________
Wszystko co chciałbyś wiedzieć o:
| PSX | PS2 | PS3 | Xbox |
Berion jest offline   Odpowiedz cytując ten post
Stary 14.09.2016, 08:36   #8
Stały bywalec ;)
 
Avatar użytkownika xor82
 
Data rejestracji: 28.07.2015
Posty: 103
xor82 zaczyna zdobywać reputację <1 - 49 pkt>
Czemu o to pytam. W jednym z wątków (0 odpowiedzi) poruszyłem temat zniszczonego(?) pliku. Zrobiłem podgląd binarny pliku i widzę, że nagłówek i stopka jest ok. Widać też zawartość pliku, chociaż jest jeden blok, gdzie są same zera. Plik jednak nie otwiera się w programie. Zacząłem więc szukać możliwości naprawy tego pliku o ile to możliwe. Z tego co czytałem pliki nie otwierają się zazwyczaj bo zgubiły stopkę, nagłówek. Czy jest jakakolwiek możliwość naprawy, żeby plik choć częściowo otworzyć?
xor82 jest offline   Odpowiedz cytując ten post
Stary 14.09.2016, 13:34   #9
konsolowy Nostradamus
 
Avatar użytkownika Berion
 
Data rejestracji: 24.06.2004
Lokalizacja: klaster Virgo, Droga Mleczna, system Sol.
Posty: 17,038
Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>
Nie da się odpowiedzieć na to pytanie. Każdy przypadek jest unikalny. Skoro się nie otwiera, to znaczy że jest uszkodzony w miejscu które zawiera istotne dla danego formatu informacje.
__________________
Wszystko co chciałbyś wiedzieć o:
| PSX | PS2 | PS3 | Xbox |
Berion jest offline   Odpowiedz cytując ten post
Stary 14.09.2016, 13:43   #10
Stały bywalec ;)
 
Avatar użytkownika xor82
 
Data rejestracji: 28.07.2015
Posty: 103
xor82 zaczyna zdobywać reputację <1 - 49 pkt>
Rozpatrzmy to na przykładzie .jpg. Czy jeśli jest poprawny nagłówek i stopka to też może się nie otworzyć?
xor82 jest offline   Odpowiedz cytując ten post
Stary 14.09.2016, 17:45   #11
konsolowy Nostradamus
 
Avatar użytkownika Berion
 
Data rejestracji: 24.06.2004
Lokalizacja: klaster Virgo, Droga Mleczna, system Sol.
Posty: 17,038
Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>
JPEG nie ma stopki. Więc już samo założenie jest złe.

To zależy od programów, które odczytują pliki *.jpg. Teoretycznie nagłówek nie jest potrzebny (przeczytaj z czego się z składa), ale jeśli to się ma do czegoś nadawać (kolory itd.) to jest niezbędny. Część danych w środku może być uszkodzona i wówczas przeglądarka zdjęć powinna je zignorować (czarne piksele).
__________________
Wszystko co chciałbyś wiedzieć o:
| PSX | PS2 | PS3 | Xbox |
Berion jest offline   Odpowiedz cytując ten post
Stary 14.09.2016, 19:41   #12
Stały bywalec ;)
 
Avatar użytkownika xor82
 
Data rejestracji: 28.07.2015
Posty: 103
xor82 zaczyna zdobywać reputację <1 - 49 pkt>
A o tutaj piszą, że ma znak końca FF D9

http://www.cse.scu.edu/~tschwarz/COE...Labs/lab2.html
http://resources.infosecinstitute.com/file-carving/
xor82 jest offline   Odpowiedz cytując ten post
Stary 15.09.2016, 15:30   #13
konsolowy Nostradamus
 
Avatar użytkownika Berion
 
Data rejestracji: 24.06.2004
Lokalizacja: klaster Virgo, Droga Mleczna, system Sol.
Posty: 17,038
Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>
A faktycznie, ma. Ale wszyscy go i tak ignorują.
__________________
Wszystko co chciałbyś wiedzieć o:
| PSX | PS2 | PS3 | Xbox |
Berion jest offline   Odpowiedz cytując ten post
Stary 15.09.2016, 15:42   #14
Stały bywalec ;)
 
Avatar użytkownika xor82
 
Data rejestracji: 28.07.2015
Posty: 103
xor82 zaczyna zdobywać reputację <1 - 49 pkt>
Udało mi się częściowo odzyskać plik (a właściwie dane z pliku), o którym pisałem w innym temacie.

https://forum.cdrinfo.pl/f109/e-dekl...fil-dat-95873/

Ale to jest ciekawszy przypadek niż "zwykly" .jpg. W edytorze HEX widziałem, że zepsuty plik ma nagłówek i stopkę na swoim miejscu, więc nie to było powodem, że nie mógł się otworzyć w aplikacji. Okazało się, że plik był bazą danych SQLite3, ale w jakimś własnym rozszerzeniu. Zepsuty plik otworzyłem, więc w programem do baz danych i udało mi się wydobyć część danych z tabel. Jednak okazało się, że baza nie była kompletna. I tu pojawia się pytanie.

Jak więc taki plik jest rozbudowywany na dysku? Skoro pierwotnie jest dla niego rezerwowane jakieś miejsce to czy w trakcie dodawani danych w późniejszych okresach jest on również fragmentowany? Czy taki sfragmentowana cześć mogła po prostu zostać trwale usunięta z dysku stąd błąd w pliku?
xor82 jest offline   Odpowiedz cytując ten post
Stary 15.09.2016, 15:50   #15
konsolowy Nostradamus
 
Avatar użytkownika Berion
 
Data rejestracji: 24.06.2004
Lokalizacja: klaster Virgo, Droga Mleczna, system Sol.
Posty: 17,038
Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>Berion jest wybitnie uzdolniony i zna sie rzeczowo na sprawach <1500 - 1999 pkt>
Może być fragmentowany w późniejszym czasie.

Jeśli plik został "usunięty" to sektory, które zajmował oznaczane są w tablicy systemu plików jako czyste. Tak działa usuwanie... Więc nie ma żadnego znaczenia czy był pofragmentowany czy nie. Jeśli plik nie został usunięty i jest pofragmentowany to żadna z jego części nie mogła zostać usunięta bo to bez sensu...
__________________
Wszystko co chciałbyś wiedzieć o:
| PSX | PS2 | PS3 | Xbox |
Berion jest offline   Odpowiedz cytując ten post
Odpowiedz na post

Opcje związane z dyskusją
Tryby wyświetlania Oceń tę dyskusję
Oceń tę dyskusję:

Twoje uprawnienia:
Nie możesz rozpoczynać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz umieszczać załączników
Nie możesz edytować swoich postów

BB codeWłączone
EmotikonkiWłączone
Kody [IMG]Włączone
Kody HTML są Wyłączone
TrackbacksWyłączone
PingbacksWyłączone
RefbacksWyłączone


Podobne dyskusje
Dyskusja Autor Forum Odpow. Ostatni Post
Wordpress - kilka pytań andrzejj9 Komputery 16 12.12.2015 15:29
Nagrywarka mi zjada płyty DriX Napędy optyczne DVD 22 20.05.2006 12:35
wymiana dużych plików Igloo Komputery 4 29.12.2005 20:11
TDK 440n i płyty cd M@rk Napędy optyczne CD 0 29.01.2005 13:01
propozycja spotkania kiedys Wigilijnego a teraz Wielkanocnego :)... -Sid-The-Rat=> Off topic 1842 14.05.2003 07:38


Wszystkie czasy w strefie CET. Aktualna godzina: 11:27.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2017, vBulletin Solutions Inc.
Search Engine Optimization by vBSEO