파일 조각이란 무엇입니까?
파일 조각은 원래 파일을 만든 파일 시스템의 도움없이 디스크 드라이브 나 다른 저장 장치에서 포맷 된 파일이나 데이터를 추출하기 위해 컴퓨터 법의학에서 사용되는 기술입니다. 사용할 수있는 여러 가지 방법과 알고리즘이 있지만이 프로세스에는 기본적으로 저장 장치에서 사용할 수있는 데이터를 검색 한 다음 어떤 방식 으로든 해당 정보가 파일인지 또는 포함되어 있는지 확인하는 과정이 포함됩니다 사전 정의 된 중요 정보. 파일 조각 프로세스 중에 파일 시스템이 없으므로 디스크의 모든 정보는 해당 컨텍스트를 평가해야합니다. 즉, 프로세스 시간이 오래 걸릴 수 있으며 저장 장치의 상태에 따라 낮은 성공률. 파일 조각화가 많은 드라이브에서 파일을 조각하는 것은 매우 어렵지만 가능합니다. 성공적인 파일 조각의 최종 결과는 파일이 내용이 완전히 존재하는 방식으로 파일을 재구성하는 것입니다. 그러나 일부 상황에서 수용 가능한 결과는 충분한 관련 정보가 복구되는 경우 부분적으로 재구성 된 파일 일 수 있습니다.
경우에 따라 하드웨어 오류, 인적 오류 또는 악의적 인 공격을 통해 저장 장치의 파일 시스템 및 그에 대한 모든 정보가 지워질 수 있습니다. 정보가 제거 된 방법에 따라 디스크 자체에는 여전히 이전에 있던 모든 정보가 포함되지만 순서가 지정되지 않은 비정형 바이트 스트림이 포함될 수 있습니다. 파일 조각을 가능하게하는 한 가지 메커니즘은 많은 파일 시스템이 드라이브에서 파일을 지울 때 데이터를 제거하지 않고 대신 디스크의 해당 영역을 새 파일에 사용할 수있는 것으로 표시하는 것입니다. 이전 데이터는 덮어 쓸 때까지 유지되며이 경우에도 복구 할 수있는 가능성이 있습니다.
파일 조각에 사용되는 매우 기본적인 기술은 파일 서명을 찾는 디스크의 정보 블록을 단계별로 수행하는 것입니다. 이들은 특정 유형의 파일 시작을 나타내는 구조화 된 데이터 조각입니다. 하나의 예는 이미지의 너비와 높이 및 일부 색상 표 데이터를 포함 할 수있는 이미지 파일의 시작입니다. 파일 형식의 제목과 완전히 일치하는 데이터 블록을 찾으면 헤더 다음의 데이터를 해석하여 실제로 파일 데이터인지 확인합니다. 성공하면 원본 파일이 재구성 될 수 있습니다.
파일 조각에서 발생하는 복잡한 문제는 조각난 파일과 관련이 있습니다. 즉, 파일이 디스크의 둘 이상의 서로 다른 물리적 위치에 저장됩니다. 일부 기술은 이러한 유형의 파일을 재구성하지 않습니다. 다른 방법은 파일 시스템에 대한 기존 지식을 사용하여 파일의 다른 부분이있는 위치를 추정하려고 시도하지만이 프로세스는 매우 어렵습니다.