Co to jest rzeźbienie plików?
Rzeźbienie plików to technika stosowana w kryminalistyce komputerowej w celu wyodrębnienia sformatowanego pliku lub danych z napędu dyskowego lub innego urządzenia pamięci masowej bez pomocy systemu plików, który pierwotnie utworzył ten plik. Istnieje wiele różnych metod i algorytmów, które można zastosować, ale proces ten zasadniczo obejmuje skanowanie danych dostępnych na urządzeniu pamięci masowej, a następnie, w taki czy inny sposób, sprawdzenie, czy ta informacja jest plikiem lub zawiera niektóre predefiniowane ważne informacje. System plików nie jest obecny podczas procesu tworzenia plików, więc wszystkie informacje na dysku muszą zostać ocenione pod kątem kontekstu, co oznacza, że proces może zająć dużo czasu i, w zależności od stanu urządzenia pamięci, może mieć niski wskaźnik sukcesu. Rzeźbienie plików z dysków o dużej fragmentacji jest niezwykle trudne, ale możliwe. Końcowym rezultatem udanego rzeźbienia pliku jest rekonstrukcja pliku w taki sposób, aby jego zawartość była w pełni obecna, chociaż akceptowalnym rezultatem w niektórych sytuacjach może być częściowo zrekonstruowany plik, jeśli odzyskana zostanie wystarczająca ilość istotnych informacji.
W niektórych przypadkach, czy to przez awarię sprzętu, błąd ludzki czy złośliwy atak, system plików urządzenia pamięci masowej i wszystkie informacje na nim mogą zostać usunięte. W zależności od sposobu usunięcia informacji sam dysk może nadal zawierać wszystkie informacje, które wcześniej były obecne, ale w nieuporządkowanym, niezorganizowanym strumieniu bajtów. Jednym z mechanizmów umożliwiających rzeźbienie plików jest to, że gdy wiele systemów plików usuwa plik z napędu, nie usuwają one danych, lecz zamiast tego zaznaczają ten obszar dysku jako dostępny dla nowych plików. Stare dane pozostają do czasu ich zastąpienia, a nawet w takim przypadku istnieje szansa na ich odzyskanie.
Bardzo podstawowa technika stosowana w rzeźbieniu plików polega na przechodzeniu przez bloki informacji na dysku w poszukiwaniu sygnatur plików. Są to ustrukturyzowane fragmenty danych, które wskazują początek pliku określonego typu. Jednym z przykładów jest początek pliku obrazu, który może zawierać szerokość i wysokość obrazu oraz niektóre dane z palety kolorów. W przypadku znalezienia bloku danych, który idealnie pasuje do nagłówka typu pliku, należy podjąć próbę interpretacji danych następujących po nagłówku, aby sprawdzić, czy faktycznie są to dane pliku. Jeśli się powiedzie, może to prowadzić do rekonstrukcji oryginalnego pliku.
Komplikacja występująca podczas rzeźbienia plików wiąże się z fragmentami plików, co oznacza, że plik jest przechowywany w dwóch lub więcej różnych fizycznych lokalizacjach na dysku. Niektóre techniki nie podejmują prób odtworzenia tego typu plików. Inne metody wykorzystują istniejącą wiedzę na temat systemów plików w celu przybliżenia, gdzie mogą znajdować się inne części pliku, chociaż proces ten jest bardzo trudny.