File Carving - pytań kilka
Czy ktoś z Was miał do czynienia z tematyką file carving, odzyskiwania plików z dysków trybie RAW lub niekompletnych? Chodzi mi o budowę pliku. Czy po nagłówku zawsze zaczyna się już konkretna zawartość pliku?
Weźmy np. jpg z nagłówkiem FFD8FFE0, to czy po końcu nagłówka od razu zaczyna się zawartość zdjęcia, czy są jeszcze jakieś dodatkowe informacje o pliku? Jak rozpoznać, gidze zaczyna się konkretna zawartość? |
Zawsze, ponieważ klaster jest większy niż wielkość nagłówka. :P Ale nie ma żadnej gwarancji na to, że plik zajmuje kolejne po sobie klastry, wręcz szansa jest niewielka. Poczytaj o fragmentacji danych w systemach plików.
|
Lektura obowiązkowa
http://pdf.ebookpoint.pl/infsle/infsle.pdf https://magazyn.mediarecovery.pl/wszystkie-wydania/ http://www.odzyskiwanie-danych.net/a...trybie_raw.php Dedykowany soft do carvingu fotek to licencyjny Adroit Photo z silnikiem <smart-carving> http://digital-assembly.com/products...rtcarving.html https://forensictools.pl/pl/oprogram...forensics.html opis w CHIP 6/2011 str 136/137 |
Cytat:
|
W sytuacji idealnej tak.
A tego nie wiem, tym zajmują się programy żeby mi głowa nie pękła. :) |
Cytat:
|
To zależy od sytuacji. Nie da się rozmawiać o odzyskiwaniu danych ogólnie.
Jeśli jest kopia starej tablicy to na jej podstawie można spróbować odczytać dane, które być może nie zostały nadpisane. Jeśli nie ma to po nagłówku z nadzieją na niepofragmentowany plik np. JPG. I tym zajmują się prawie wszystkie programy do odzyskiwania danych jak Reccuva, Photorec itd. Nie musisz tym sobie zaprzątać głowy tylko znaleźć program, który tak ma napisane algorytmy do przeszukiwania i rozpoznawania danych, aby znalazł ich jak najwięcej w Twoim przypadku. Żeby szukać danych samemu musisz najpierw mieć jakieś podstawy. :P |
Czemu o to pytam. W jednym z wątków (0 odpowiedzi) poruszyłem temat zniszczonego(?) pliku. Zrobiłem podgląd binarny pliku i widzę, że nagłówek i stopka jest ok. Widać też zawartość pliku, chociaż jest jeden blok, gdzie są same zera. Plik jednak nie otwiera się w programie. Zacząłem więc szukać możliwości naprawy tego pliku o ile to możliwe. Z tego co czytałem pliki nie otwierają się zazwyczaj bo zgubiły stopkę, nagłówek. Czy jest jakakolwiek możliwość naprawy, żeby plik choć częściowo otworzyć?
|
Nie da się odpowiedzieć na to pytanie. Każdy przypadek jest unikalny. Skoro się nie otwiera, to znaczy że jest uszkodzony w miejscu które zawiera istotne dla danego formatu informacje.
|
Rozpatrzmy to na przykładzie .jpg. Czy jeśli jest poprawny nagłówek i stopka to też może się nie otworzyć?
|
JPEG nie ma stopki. Więc już samo założenie jest złe. ;)
To zależy od programów, które odczytują pliki *.jpg. Teoretycznie nagłówek nie jest potrzebny (przeczytaj z czego się z składa), ale jeśli to się ma do czegoś nadawać (kolory itd.) to jest niezbędny. Część danych w środku może być uszkodzona i wówczas przeglądarka zdjęć powinna je zignorować (czarne piksele). |
A o tutaj piszą, że ma znak końca :) FF D9
http://www.cse.scu.edu/~tschwarz/COE...Labs/lab2.html http://resources.infosecinstitute.com/file-carving/ |
A faktycznie, ma. Ale wszyscy go i tak ignorują. :)
|
Udało mi się częściowo odzyskać plik (a właściwie dane z pliku), o którym pisałem w innym temacie.
https://forum.cdrinfo.pl/f109/e-dekl...fil-dat-95873/ Ale to jest ciekawszy przypadek niż "zwykly" .jpg. W edytorze HEX widziałem, że zepsuty plik ma nagłówek i stopkę na swoim miejscu, więc nie to było powodem, że nie mógł się otworzyć w aplikacji. Okazało się, że plik był bazą danych SQLite3, ale w jakimś własnym rozszerzeniu. Zepsuty plik otworzyłem, więc w programem do baz danych i udało mi się wydobyć część danych z tabel. Jednak okazało się, że baza nie była kompletna. I tu pojawia się pytanie. Jak więc taki plik jest rozbudowywany na dysku? Skoro pierwotnie jest dla niego rezerwowane jakieś miejsce to czy w trakcie dodawani danych w późniejszych okresach jest on również fragmentowany? Czy taki sfragmentowana cześć mogła po prostu zostać trwale usunięta z dysku stąd błąd w pliku? |
Może być fragmentowany w późniejszym czasie.
Jeśli plik został "usunięty" to sektory, które zajmował oznaczane są w tablicy systemu plików jako czyste. Tak działa usuwanie... Więc nie ma żadnego znaczenia czy był pofragmentowany czy nie. Jeśli plik nie został usunięty i jest pofragmentowany to żadna z jego części nie mogła zostać usunięta bo to bez sensu... |
Wszystkie czasy w strefie CET. Aktualna godzina: 03:42. |
Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, vBulletin Solutions Inc.