File Carving - pytań kilka

[xor82]

Czy ktoś z Was miał do czynienia z tematyką file carving, odzyskiwania plików z dysków trybie RAW lub niekompletnych? Chodzi mi o budowę pliku. Czy po nagłówku zawsze zaczyna się już konkretna zawartość pliku?

Weźmy np. jpg z nagłówkiem FFD8FFE0, to czy po końcu nagłówka od razu zaczyna się zawartość zdjęcia, czy są jeszcze jakieś dodatkowe informacje o pliku? Jak rozpoznać, gidze zaczyna się konkretna zawartość?

[Berion]

Zawsze, ponieważ klaster jest większy niż wielkość nagłówka. Ale nie ma żadnej gwarancji na to, że plik zajmuje kolejne po sobie klastry, wręcz szansa jest niewielka. Poczytaj o fragmentacji danych w systemach plików.

[Fix00ser]

Lektura obowiązkowa
http://pdf.ebookpoint.pl/infsle/infsle.pdf
https://magazyn.mediarecovery.pl/wszystkie-wydania/
http://www.odzyskiwanie-danych.net/a...trybie_raw.php
Dedykowany soft do carvingu fotek to licencyjny
Adroit Photo z silnikiem <smart-carving>
http://digital-assembly.com/products...rtcarving.html
https://forensictools.pl/pl/oprogram...forensics.html
opis w CHIP 6/2011 str 136/137

[xor82]

Cytat:

Napisany przez Berion

Poczytaj o fragmentacji danych w systemach plików.

Tak wiem, ale załóżmy sytuację "idealną" Rozumiem ze do dokładnego odwzorowania gdzie są fragmenty danego pliku posłużyć mogłaby jedynie kopia MFT z czasu, gdy badany plik istniał?

[Berion]

W sytuacji idealnej tak.

A tego nie wiem, tym zajmują się programy żeby mi głowa nie pękła.

[xor82]

Cytat:

Napisany przez Berion

W sytuacji idealnej tak.

A tego nie wiem, tym zajmują się programy żeby mi głowa nie pękła.

Są takie? Czytałem, że takie składanie danych to raczej praca detektywa

[Berion]

To zależy od sytuacji. Nie da się rozmawiać o odzyskiwaniu danych ogólnie.

Jeśli jest kopia starej tablicy to na jej podstawie można spróbować odczytać dane, które być może nie zostały nadpisane. Jeśli nie ma to po nagłówku z nadzieją na niepofragmentowany plik np. JPG. I tym zajmują się prawie wszystkie programy do odzyskiwania danych jak Reccuva, Photorec itd. Nie musisz tym sobie zaprzątać głowy tylko znaleźć program, który tak ma napisane algorytmy do przeszukiwania i rozpoznawania danych, aby znalazł ich jak najwięcej w Twoim przypadku.

Żeby szukać danych samemu musisz najpierw mieć jakieś podstawy.

[xor82]

Czemu o to pytam. W jednym z wątków (0 odpowiedzi) poruszyłem temat zniszczonego(?) pliku. Zrobiłem podgląd binarny pliku i widzę, że nagłówek i stopka jest ok. Widać też zawartość pliku, chociaż jest jeden blok, gdzie są same zera. Plik jednak nie otwiera się w programie. Zacząłem więc szukać możliwości naprawy tego pliku o ile to możliwe. Z tego co czytałem pliki nie otwierają się zazwyczaj bo zgubiły stopkę, nagłówek. Czy jest jakakolwiek możliwość naprawy, żeby plik choć częściowo otworzyć?

[Berion]

Nie da się odpowiedzieć na to pytanie. Każdy przypadek jest unikalny. Skoro się nie otwiera, to znaczy że jest uszkodzony w miejscu które zawiera istotne dla danego formatu informacje.

[xor82]

Rozpatrzmy to na przykładzie .jpg. Czy jeśli jest poprawny nagłówek i stopka to też może się nie otworzyć?

[Berion]

JPEG nie ma stopki. Więc już samo założenie jest złe.

To zależy od programów, które odczytują pliki *.jpg. Teoretycznie nagłówek nie jest potrzebny (przeczytaj z czego się z składa), ale jeśli to się ma do czegoś nadawać (kolory itd.) to jest niezbędny. Część danych w środku może być uszkodzona i wówczas przeglądarka zdjęć powinna je zignorować (czarne piksele).

[xor82]

A o tutaj piszą, że ma znak końca FF D9

http://www.cse.scu.edu/~tschwarz/COE...Labs/lab2.html
http://resources.infosecinstitute.com/file-carving/

[Berion]

A faktycznie, ma. Ale wszyscy go i tak ignorują.

[xor82]

Udało mi się częściowo odzyskać plik (a właściwie dane z pliku), o którym pisałem w innym temacie.

E-deklaracje, uszkodzony profil .dat.

Ale to jest ciekawszy przypadek niż "zwykly" .jpg. W edytorze HEX widziałem, że zepsuty plik ma nagłówek i stopkę na swoim miejscu, więc nie to było powodem, że nie mógł się otworzyć w aplikacji. Okazało się, że plik był bazą danych SQLite3, ale w jakimś własnym rozszerzeniu. Zepsuty plik otworzyłem, więc w programem do baz danych i udało mi się wydobyć część danych z tabel. Jednak okazało się, że baza nie była kompletna. I tu pojawia się pytanie.

Jak więc taki plik jest rozbudowywany na dysku? Skoro pierwotnie jest dla niego rezerwowane jakieś miejsce to czy w trakcie dodawani danych w późniejszych okresach jest on również fragmentowany? Czy taki sfragmentowana cześć mogła po prostu zostać trwale usunięta z dysku stąd błąd w pliku?

[Berion]

Może być fragmentowany w późniejszym czasie.

Jeśli plik został "usunięty" to sektory, które zajmował oznaczane są w tablicy systemu plików jako czyste. Tak działa usuwanie... Więc nie ma żadnego znaczenia czy był pofragmentowany czy nie. Jeśli plik nie został usunięty i jest pofragmentowany to żadna z jego części nie mogła zostać usunięta bo to bez sensu...