ファイルカービングとは
ファイルカービングは、ファイルを最初に作成したファイルシステムの支援なしで、ディスクドライブまたはその他のストレージデバイスからフォーマットされたファイルまたはデータを抽出するためにコンピューターフォレンジックで使用される技術です。 使用できるさまざまな方法とアルゴリズムがありますが、プロセスには基本的に、ストレージデバイスで使用可能なデータをスキャンしてから、何らかの方法でその情報がファイルであるかどうかを確認することが含まれます重要な事前定義情報。 ファイルカービングのプロセス中にファイルシステムが存在しないため、ディスク上のすべての情報をそのコンテキストで評価する必要があります。つまり、プロセスには時間がかかり、ストレージデバイスの状態によっては、低い成功率。 大量のファイルの断片化があるドライブからファイルを作成することは非常に困難ですが、可能です。 ファイルカービングの最終結果は、コンテンツが完全に存在するようにファイルを再構築しますが、適切な情報が十分に復元された場合、一部の状況では許容可能な結果が部分的に再構築されます。
場合によっては、ハードウェア障害、人為的エラー、または悪意のある攻撃によって、ストレージデバイスのファイルシステムとそのすべての情報が消去される場合があります。 情報の削除方法によっては、ディスク自体に以前に存在していたすべての情報が含まれている場合がありますが、順序付けられていない、整理されていないバイトストリームです。 ファイルカービングを可能にするメカニズムの1つは、多くのファイルシステムがドライブからファイルを消去するとき、データを削除せず、ディスクのその領域を新しいファイルに使用可能としてマークすることです。 古いデータは上書きされるまで残ります。その場合でも、回復できる可能性があります。
ファイルカービングで使用される非常に基本的な手法には、ディスク上の情報のブロックをステップスルーして、ファイルの署名を探すことが含まれます。 これらは、特定の種類のファイルの開始を示す構造化されたデータです。 1つの例は、画像の幅と高さ、およびいくつかのカラーパレットデータを含む画像ファイルの開始です。 ファイルタイプの見出しと完全に一致するデータブロックが見つかった場合、ヘッダーに続くデータを解釈して、実際にファイルデータかどうかを確認しようとします。 成功した場合、これは元のファイルの再構築につながる可能性があります。
ファイルカービングで発生する問題は、断片化されたファイルに関係しています。つまり、ファイルはディスク上の2つ以上の異なる物理的な場所に保存されます。 これらのタイプのファイルを再構築しようとしないテクニックもあります。 他の方法では、ファイルシステムの既存の知識を使用して、ファイルの他の部分がどこにあるかを近似しようとしますが、このプロセスは非常に困難です。