ファイルカービングとは何ですか?
ファイルカービングは、ファイルを作成したファイルシステムの支援なしに、ディスクドライブまたはその他のストレージデバイスからフォーマットされたファイルまたはデータを抽出するためにコンピューターフォレンジックで使用される手法です。使用できるさまざまな方法とアルゴリズムがありますが、このプロセスには基本的に、ストレージデバイスで利用可能なデータをスキャンし、何らかの形で、その情報がファイルであるか、重要な事前定義された情報が含まれているかどうかを確認します。ファイル彫刻のプロセス中にファイルシステムは存在しないため、ディスク上のすべての情報をそのコンテキストについて評価する必要があります。つまり、プロセスには長い時間がかかり、ストレージデバイスの状態に応じて成功率が低くなります。非常に困難ですが、可能なことは、ファイルの断片化が多いドライブからファイルを彫ることができます。ファイルカービングが成功した最終結果は、そのコンテがNTSは完全に存在しますが、十分な関連情報が回復した場合、一部の状況で許容可能な結果は部分的に再構築されたファイルになる可能性があります。
場合によっては、ハードウェアの障害、ヒューマンエラー、悪意のある攻撃など、ストレージデバイスのファイルシステム、およびそのすべての情報を消去できます。情報の削除方法に応じて、ディスク自体には以前に存在していたすべての情報が含まれていますが、バイトの順序付けられていない混乱したストリームが含まれている可能性があります。ファイルカービングを可能にするメカニズムの1つは、多くのファイルシステムがドライブからファイルを消去する場合、データを削除せず、代わりにディスクの領域を新しいファイルで使用できるとマークすることです。古いデータは上書きされるまで残り、その場合でも、回復できる可能性があります。
ファイル彫刻で使用される非常に基本的な手法には、速声が含まれますファイル署名を探しているディスク上の情報ブロック。これらは、特定のタイプのファイルの開始を示す構造化されたデータです。 1つの例は、画像の幅と高さといくつかのカラーパレットデータを含む可能性のある画像ファイルの開始です。ファイルタイプの見出しときれいに一致するデータのブロックが見つかった場合、ヘッダーに続くデータを解釈しようとすると、実際にファイルデータであるかどうかを確認します。成功した場合、これは元のファイルの再構築につながる可能性があります。
ファイルカービングで発生する合併症は、断片化されたファイルに関係しています。つまり、ファイルはディスク上の2つ以上の異なる物理的な場所に保存されます。一部の手法では、これらのタイプのファイルの再構築を試みません。他の方法では、ファイルシステムの既存の知識を使用して、このプロセスは非常に困難ですが、ファイルの他の部分がどこにあるかを概算しようとします。