Qu'est-ce que la sculpture de fichiers?
La sculpture de fichiers est une technique utilisée dans la criminalistique informatique pour extraire un fichier formaté ou des données à partir d'un lecteur de disque ou d'un autre périphérique de stockage sans l'aide du système de fichiers qui a initialement créé le fichier. Il existe un certain nombre de méthodes et d'algorithmes différents qui peuvent être utilisés, mais le processus implique essentiellement de scanner les données disponibles sur un périphérique de stockage, puis, d'une manière ou d'une autre, de vérifier si ces informations sont un fichier ou contiennent des informations prédéfinies importantes. Un système de fichiers n'est pas présent pendant le processus de sculpture de fichiers, de sorte que toutes les informations sur un disque doivent être évaluées pour son contexte, ce qui signifie que le processus peut prendre beaucoup de temps et, selon l'état du dispositif de stockage, peut avoir un faible taux de réussite. Il est incroyablement difficile, mais possible, de sculpter des fichiers à partir de disques qui ont une grande quantité de fragmentation de fichiers. Le résultat final d'une sculpture de fichiers réussie est la reconstruction d'un fichier de telle manière que son conteLes NT sont entièrement présents, bien qu'un résultat acceptable dans certaines situations puisse être un fichier partiellement reconstruit si suffisamment d'informations pertinentes sont récupérées.
Dans certains cas, que ce soit par une défaillance matérielle, une erreur humaine ou une attaque malveillante, le système de fichiers d'un périphérique de stockage et toutes les informations à ce sujet peuvent être effacés. Selon la façon dont les informations ont été supprimées, le disque lui-même pourrait encore contenir toutes les informations qui étaient auparavant présentes, mais dans un flux d'octets désorganisé non ordonné. Un mécanisme qui rend la sculpture de fichiers possible est que, lorsque de nombreux systèmes de fichiers effacent un fichier à partir d'un lecteur, ils ne suppriment pas les données mais marquent à la place cette zone du disque comme étant disponible pour de nouveaux fichiers. Les anciennes données restent jusqu'à ce qu'elles soient écrasées et, même dans ce cas, il est toujours possible qu'il puisse être récupéré.
Une technique très basique utilisée dans la sculpture de fichiers implique un pas à traversBlocs d'informations UGH sur un disque à la recherche de signatures de fichiers. Ce sont des données structurées qui indiquent le début d'un fichier d'un type particulier. Un exemple est le début d'un fichier image qui pourrait contenir la largeur et la hauteur de l'image et certaines données de palette de couleurs. Si un bloc de données qui correspond proprement à l'en-tête d'un type de fichier est trouvé, une tentative d'interpréter les données suivant l'en-tête est faite pour voir si c'est réellement les données de fichier. En cas de succès, cela pourrait conduire à la reconstruction du fichier d'origine.
Une complication qui se produit dans la sculpture de fichiers a à voir avec les fichiers fragmentés, ce qui signifie que le fichier est stocké à deux ou plusieurs emplacements physiques différents sur un disque. Certaines techniques n'essaient pas de reconstruire ces types de fichiers. D'autres méthodes utilisent les connaissances existantes des systèmes de fichiers pour tenter de se rapprocher de la localisation des autres parties d'un fichier, bien que ce processus soit très difficile.