Co je to vyřezávání souborů?
Carving File je technika používaná v počítačové forenzice k extrahování formátovaného souboru nebo dat z disku diskových jednotek nebo jiného úložného zařízení bez pomoci souborového systému, který původně vytvořil soubor. Existuje celá řada různých metod a algoritmů, které lze použít, ale tento proces v podstatě zahrnuje skenování prostřednictvím dat, která jsou dostupná na úložném zařízení, a poté tak či onak kontrolují, zda jsou tyto informace souborem nebo obsahuje určité předdefinované informace. Během procesu řezání souborů není souborový systém přítomen, takže všechny informace na disku je třeba vyhodnotit pro svůj kontext, což znamená, že tento proces může trvat dlouho a v závislosti na stavu úložného zařízení může mít nízkou úspěšnost. Je neuvěřitelně obtížné, ale možné, vyřezat soubory z pohonů, které mají velké množství fragmentace souborů. Konečným výsledkem úspěšného vyřezávání souborů je rekonstrukce souboru takovým způsobem, že jeho conteNT jsou plně přítomny, ačkoli přijatelný výsledek v některých situacích může být částečně rekonstruovaným souborem, pokud je získáno dostatek relevantních informací.
V některých případech, ať už prostřednictvím selhání hardwaru, lidského chyby nebo škodlivého útoku, souborového systému úložného zařízení a všech informací o něm lze vymazat. V závislosti na tom, jak byly informace odstraněny, může samotný disk stále obsahovat všechny informace, které byly dříve přítomny, ale v neuspořádaném dezorganizovaném proudu bajtů. Jeden mechanismus, který umožňuje vyřezávání souborů, je, že když mnoho souborových systémů vymaže soubor z jednotky, neodstraní data, ale místo toho označují tuto oblast disku jako k dispozici pro nové soubory. Stará data zůstávají, dokud nejsou přepsána, a dokonce i v tom případě stále existuje šance, že je lze obnovit.
Velmi základní technika používaná při řezání souborů zahrnuje kroknutíUgh bloky informací na disku hledající podpisy souborů. Jedná se o strukturované kusy dat, které označují začátek souboru konkrétního typu. Jedním z příkladů je začátek obrazového souboru, který může obsahovat šířku a výšku obrázku a některá data palety barev. Pokud by byl nalezen blok dat, který čistě odpovídá nadpisu typu souboru, potom se pokouší interpretovat data podle záhlaví, aby se zjistilo, zda se jedná o skutečně data souboru. Pokud by to bylo úspěšné, mohlo by to vést k rekonstrukci původního souboru.
Komplikace, která se vyskytuje při řezání souborů, má co do činění se soubory, které jsou roztříštěné, což znamená, že soubor je uložen na dvou nebo více různých fyzických místech na disku. Některé techniky se nepokoušejí rekonstruovat tyto typy souborů. Jiné metody používají stávající znalosti souborových systémů k pokusu o přiblížení, kde by mohly být umístěny ostatní části souboru, ačkoli tento proces je velmi obtížný.