Was ist Dateischnitzer?
Dateischnitzerei ist eine Technik, die in der Computer -Forensik verwendet wird, um eine formatierte Datei oder Daten aus einem Festplattenlaufwerk oder eines anderen Speichergeräts zu extrahieren, ohne dass das Dateisystem, das ursprünglich die Datei erstellt hat, unterstützt. Es gibt eine Reihe verschiedener Methoden und Algorithmen, die verwendet werden können. Der Prozess umfasst jedoch im Wesentlichen das Scannen der Daten, die auf einem Speichergerät verfügbar sind. Auf die eine oder andere Weise prüfen Sie, ob diese Informationen eine Datei sind oder einige vordefinierte Informationen enthält. Ein Dateisystem ist während des Dateischnitzvorgangs nicht vorhanden, sodass alle Informationen auf einer Festplatte für seinen Kontext ausgewertet werden müssen, was bedeutet, dass der Prozess lange dauern kann und je nach Status des Speichergeräts eine geringe Erfolgsquote haben kann. Es ist unglaublich schwierig, aber möglich, Dateien aus Laufwerken zu schnitzen, die eine hohe Menge an Dateifragmentierung aufweisen. Das Endergebnis erfolgreicher Dateischnitzen ist die Rekonstruktion einer Datei soNTs sind vollständig vorhanden, obwohl ein akzeptables Ergebnis in einigen Situationen eine teilweise rekonstruierte Datei sein kann, wenn genügend relevante Informationen wiederhergestellt werden.
In einigen Fällen können das Dateisystem eines Speichergeräts und alle Informationen dazu gelöscht werden. Abhängig davon, wie die Informationen entfernt wurden, kann die Festplatte selbst immer noch alle Informationen enthalten, die zuvor vorhanden waren, jedoch in einem ungeordneten, unorganisierten Strom von Bytes. Ein Mechanismus, der die Dateischnitzerei ermöglicht, ist, dass viele Dateisysteme eine Datei aus einem Laufwerk löschen, die Daten nicht entfernen, sondern den Bereich der Festplatte als für neue Dateien verfügbar sind. Die alten Daten bleiben, bis sie überschrieben sind, und selbst in diesem Fall besteht immer noch die Möglichkeit, dass sie wiederhergestellt werden können.
Eine sehr grundlegende Technik, die in der Dateischnitzung verwendet wirdUGH -Informationsblöcke auf einer Festplatte suchen nach Dateisignaturen. Dies sind strukturierte Datenstücke, die den Beginn einer Datei eines bestimmten Typs anzeigen. Ein Beispiel ist der Beginn einer Bilddatei, die möglicherweise die Breite und Höhe des Bildes und einige Farbpalettendaten enthalten. Sollte ein Datenblock, der die Überschrift eines Dateityps sauber entspricht, wird ein Versuch, die Daten nach dem Header zu interpretieren, erstellt, um festzustellen, ob es sich tatsächlich um die Dateidaten handelt. Wenn dies erfolgreich ist, kann dies zur Rekonstruktion der Originaldatei führen.
Eine Komplikation, die in der Dateischnitzung auftritt, hat mit fragmentierten Dateien zu tun, was bedeutet, dass die Datei an zwei oder mehr unterschiedlichen physischen Stellen auf einer Festplatte gespeichert ist. Einige Techniken versuchen nicht, diese Art von Dateien zu rekonstruieren. Andere Methoden verwenden vorhandene Kenntnisse über Dateisysteme, um zu versuchen, zu approximieren, wo sich die anderen Teile einer Datei befinden könnten, obwohl dieser Prozess sehr schwierig ist.