Co je řezání souborů?
Vyřezávání souborů je technika používaná v počítačové forenzní analýze extrahování formátovaného souboru nebo dat z diskové jednotky nebo jiného úložného zařízení bez pomoci souborového systému, který soubor původně vytvořil. Existuje celá řada různých metod a algoritmů, které lze použít, ale tento proces v podstatě zahrnuje skenování dat, která jsou k dispozici na paměťovém zařízení, a poté, ať už tak či onak, zkontrolujeme, zda jsou tyto informace souborem nebo zda obsahují některé předdefinované důležité informace. Souborový systém není přítomen během procesu řezání souborů, takže všechny informace na disku musí být vyhodnoceny z hlediska jeho kontextu, což znamená, že proces může trvat dlouho a v závislosti na stavu paměťového zařízení může mít nízká úspěšnost. Je neuvěřitelně obtížné, ale možné, vyřezávat soubory z jednotek, které mají velké množství fragmentace souborů. Konečným výsledkem úspěšného vyřezávání souboru je rekonstrukce souboru takovým způsobem, aby byl jeho obsah plně přítomen, i když přijatelným výsledkem může být v některých situacích částečně rekonstruovaný soubor, je-li získáno dostatečné množství příslušných informací.
V některých případech, ať už z důvodu selhání hardwaru, lidské chyby nebo škodlivého útoku, může být systém souborů úložného zařízení a všechny informace na něm vymazány. V závislosti na tom, jak byly informace odstraněny, může samotný disk stále obsahovat všechny informace, které byly dříve přítomny, ale v neuspořádaném, neuspořádaném proudu bajtů. Jedním z mechanismů, který umožňuje řezání souborů, je to, že když mnoho souborových systémů smaže soubor z jednotky, neodstraní data, ale místo toho označí tuto oblast disku jako dostupnou pro nové soubory. Stará data zůstávají, dokud nejsou přepsána, a dokonce i v tomto případě stále existuje šance, že je lze obnovit.
Velmi základní technika používaná při řezání souborů zahrnuje procházení bloků informací na disku hledajícím podpisy souborů. Jedná se o strukturovaná data, která označují začátek souboru určitého typu. Jedním příkladem je začátek souboru obrázku, který může obsahovat šířku a výšku obrázku a některá data z barevné palety. Pokud je nalezen blok dat, který čistě odpovídá záhlaví typu souboru, je proveden pokus o interpretaci dat po záhlaví, aby se zjistilo, zda skutečně jde o data souboru. Pokud bude úspěšný, mohlo by to vést k rekonstrukci původního souboru.
Komplikace, ke které dochází při řezání souborů, souvisí s fragmentovanými soubory, což znamená, že soubor je uložen na dvou nebo více různých fyzických místech na disku. Některé techniky se nepokoušejí rekonstruovat tyto typy souborů. Jiné metody využívají stávající znalosti souborových systémů, aby se pokusily přiblížit, kde by mohly být umístěny ostatní části souboru, ačkoli tento proces je velmi obtížný.