Co to jest rzeźbienie pliku?

Wycinanie plików to technika stosowana w informatyce śledczej w celu wyodrębnienia sformatowanego pliku lub danych z dysku lub innego urządzenia pamięci masowej bez pomocy systemu plików, który pierwotnie utworzył plik. Istnieje wiele różnych metod i algorytmów, których można użyć, ale proces zasadniczo obejmuje skanowanie danych dostępnych na urządzeniu pamięci masowej, a następnie, w taki czy inny sposób, sprawdzenie, czy informacje te są plikiem lub zawierają pewne predefiniowane ważne informacje. System plików nie jest obecny podczas procesu wycinania plików, więc wszystkie informacje na dysku muszą zostać ocenione pod kątem ich kontekstu, co oznacza, że ​​proces może zająć dużo czasu i, w zależności od stanu urządzenia pamięci masowej, może mieć niski wskaźnik sukcesu. Wycinanie plików z dysków o dużej fragmentacji plików jest niezwykle trudne, ale możliwe. Końcowym rezultatem udanego rzeźbienia pliku jest rekonstrukcja pliku w taki sposób, że jego zawartość jest w pełni obecna, chociaż akceptowalnym wynikiem w niektórych sytuacjach może być częściowo zrekonstruowany plik, jeśli odzyskana zostanie wystarczająca ilość istotnych informacji.

W niektórych przypadkach, czy to w wyniku awarii sprzętu, błędu ludzkiego lub złośliwego ataku, system plików urządzenia pamięci masowej i wszystkie zawarte na nim informacje mogą zostać usunięte. W zależności od tego, w jaki sposób informacje zostały usunięte, sam dysk może nadal zawierać wszystkie informacje, które wcześniej były obecne, ale w nieuporządkowanym, niezorganizowanym strumieniu bajtów. Jednym z mechanizmów umożliwiających wycinanie plików jest to, że gdy wiele systemów plików usuwa plik z dysku, nie usuwają one danych, ale zamiast tego oznaczają ten obszar dysku jako dostępny dla nowych plików. Stare dane pozostają, dopóki nie zostaną nadpisane, a nawet w takim przypadku nadal istnieje szansa na ich odzyskanie.

Bardzo podstawowa technika stosowana w rzeźbieniu plików polega na przejściu przez bloki informacji na dysku w poszukiwaniu podpisów plików. Są to uporządkowane fragmenty danych, które wskazują początek pliku określonego typu. Jednym z przykładów jest początek pliku obrazu, który może zawierać szerokość i wysokość obrazu oraz niektóre dane palety kolorów. W przypadku znalezienia bloku danych, który wyraźnie pasuje do nagłówka typu pliku, podejmowana jest próba zinterpretowania danych znajdujących się za nagłówkiem, aby sprawdzić, czy rzeczywiście są to dane pliku. Jeśli się powiedzie, może to doprowadzić do odtworzenia oryginalnego pliku.

Komplikacja występująca przy rzeźbieniu plików ma związek z plikami, które są pofragmentowane, co oznacza, że ​​plik jest przechowywany w co najmniej dwóch różnych fizycznych lokalizacjach na dysku. Niektóre techniki nie próbują odtworzyć tego typu plików. Inne metody wykorzystują istniejącą wiedzę o systemach plików, aby spróbować określić, gdzie mogą znajdować się inne części pliku, chociaż ten proces jest bardzo trudny.