Wat is file carving?
Bestanden snijden is een techniek die in computer forensics wordt gebruikt om een geformatteerd bestand of gegevens uit een schijfstation of ander opslagapparaat te extraheren zonder de hulp van het bestandssysteem dat het bestand oorspronkelijk heeft gemaakt. Er zijn een aantal verschillende methoden en algoritmen die kunnen worden gebruikt, maar het proces omvat in wezen het scannen van de gegevens die beschikbaar zijn op een opslagapparaat en vervolgens op een of andere manier controleren of die informatie een bestand is of bevat enige vooraf gedefinieerde belangrijke informatie. Een bestandssysteem is niet aanwezig tijdens het carven van bestanden, dus alle informatie op een schijf moet worden geëvalueerd voor zijn context, wat betekent dat het proces lang kan duren en, afhankelijk van de status van het opslagapparaat, een laag succespercentage. Het is ongelooflijk moeilijk, maar mogelijk om bestanden te carven van schijven met een hoge mate van bestandsfragmentatie. Het eindresultaat van succesvol carven van bestanden is de reconstructie van een bestand zodanig dat de inhoud ervan volledig aanwezig is, hoewel een acceptabel resultaat in sommige situaties een gedeeltelijk gereconstrueerd bestand kan zijn als voldoende relevante informatie wordt hersteld.
In sommige gevallen kan het bestandssysteem van een opslagapparaat en alle informatie erop worden gewist, hetzij door hardwarefouten, menselijke fouten of kwaadaardige aanvallen. Afhankelijk van hoe de informatie is verwijderd, kan de schijf zelf nog steeds alle informatie bevatten die eerder aanwezig was, maar in een ongeordende, ongeorganiseerde stroom bytes. Een mechanisme dat het carven van bestanden mogelijk maakt, is dat wanneer veel bestandssystemen een bestand van een schijf wissen, ze de gegevens niet verwijderen, maar dat gedeelte van de schijf markeren als beschikbaar voor nieuwe bestanden. De oude gegevens blijven bewaard totdat ze worden overschreven en zelfs in dat geval is er nog een kans dat deze kan worden hersteld.
Een zeer basistechniek die wordt gebruikt bij het carven van bestanden omvat het doorlopen van blokken informatie op een schijf op zoek naar handtekeningen van bestanden. Dit zijn gestructureerde gegevens die het begin van een bestand van een bepaald type aangeven. Een voorbeeld is het begin van een afbeeldingsbestand dat mogelijk de breedte en hoogte van de afbeelding en enkele kleurenpaletgegevens bevat. Als een gegevensblok wordt gevonden dat netjes overeenkomt met de kop van een bestandstype, wordt een poging gedaan om de gegevens na de kop te interpreteren om te zien of het daadwerkelijk de bestandsgegevens zijn. Als dit lukt, kan dit leiden tot de reconstructie van het oorspronkelijke bestand.
Een complicatie die optreedt bij het carven van bestanden heeft te maken met bestanden die gefragmenteerd zijn, wat betekent dat het bestand op twee of meer verschillende fysieke locaties op een schijf is opgeslagen. Sommige technieken proberen dit soort bestanden niet te reconstrueren. Andere methoden maken gebruik van bestaande kennis van bestandssystemen om te proberen te bepalen waar de andere delen van een bestand zich kunnen bevinden, hoewel dit proces erg moeilijk is.