Wat is het snijden van bestanden?
Bestandsnijwerk is een techniek die wordt gebruikt in computerforensisch onderzoek om een opgemaakt bestand of gegevens uit een schijfaandrijving of ander opslagapparaat te extraheren zonder de hulp van het bestandssysteem dat oorspronkelijk het bestand heeft gemaakt. Er zijn een aantal verschillende methoden en algoritmen die kunnen worden gebruikt, maar het proces omvat in wezen scannen door de gegevens die beschikbaar zijn op een opslagapparaat en vervolgens op de een of andere manier te controleren of die informatie een bestand is of een aantal vooraf gedefinieerde informatie bevat. Een bestandssysteem is niet aanwezig tijdens het proces van bestandsnijwerk, dus alle informatie op een schijf moet worden geëvalueerd voor zijn context, wat betekent dat het proces lang kan duren en, afhankelijk van de status van het opslagapparaat, een laag slagingspercentage kan hebben. Het is ongelooflijk moeilijk, maar mogelijk om bestanden te snijden van schijven met een grote hoeveelheid bestandsfragmentatie. Het eindresultaat van succesvolle bestandsnijwerk is de reconstructie van een bestand zodanig dat zijn conteNT's zijn volledig aanwezig, hoewel een acceptabel resultaat in sommige situaties een gedeeltelijk gereconstrueerd bestand kan zijn als er voldoende relevante informatie wordt hersteld.
In sommige gevallen, of het nu door hardwarefout, menselijke fouten of kwaadwillende aanval, het bestandssysteem van een opslagapparaat en alle informatie erop kan worden gewist. Afhankelijk van hoe de informatie werd verwijderd, kan de schijf zelf nog steeds alle informatie bevatten die eerder aanwezig was, maar in een ongeordende, ongeorganiseerde stroom bytes. Een mechanisme dat bestandsnijwerk mogelijk maakt, is dat, wanneer veel bestandssystemen een bestand uit een schijf wissen, ze de gegevens niet verwijderen, maar in plaats daarvan dat gebied van de schijf markeren als beschikbaar voor nieuwe bestanden. De oude gegevens blijven totdat ze worden overschreven en zelfs in dat geval is er nog steeds een kans dat deze kan worden hersteld.
Een zeer basistechniek die wordt gebruikt bij het snijdenUGH -blokken van informatie op een schijf op zoek naar bestandssignaturen. Dit zijn gestructureerde stukjes gegevens die het begin van een bestand van een bepaald type aangeven. Een voorbeeld is het begin van een afbeeldingsbestand dat de breedte en hoogte van de afbeelding en enkele kleurenpaletgegevens kan bevatten. Als een gegevensblok dat de koers van een bestandstype net zo goed overeenkomt, wordt een poging om de gegevens te interpreteren die de koptekst volgen, wordt gedaan om te zien of dit daadwerkelijk de bestandsgegevens is. Indien succesvol, kan dit leiden tot de reconstructie van het oorspronkelijke bestand.
Een complicatie die voorkomt in bestandsnijwerk heeft te maken met bestanden die gefragmenteerd zijn, wat betekent dat het bestand wordt opgeslagen op twee of meer verschillende fysieke locaties op een schijf. Sommige technieken proberen dit soort bestanden niet te reconstrueren. Andere methoden gebruiken bestaande kennis van bestandssystemen om te proberen te benaderen waar de andere delen van een bestand kunnen worden gevonden, hoewel dit proces erg moeilijk is.