O que é escultura de arquivo?
A gravação de arquivos é uma técnica usada na análise forense do computador para extrair um arquivo ou dados formatados de uma unidade de disco ou outro dispositivo de armazenamento sem a assistência do sistema de arquivos que originalmente criou o arquivo. Existem vários métodos e algoritmos diferentes que podem ser usados, mas o processo envolve essencialmente a varredura dos dados disponíveis em um dispositivo de armazenamento e, de uma maneira ou de outra, a verificação para ver se essas informações são um arquivo ou contêm algumas informações predefinidas de importância. Um sistema de arquivos não está presente durante o processo de gravação de arquivos, portanto, todas as informações em um disco precisam ser avaliadas quanto ao seu contexto, o que significa que o processo pode demorar muito tempo e, dependendo do estado do dispositivo de armazenamento, pode ter um baixa taxa de sucesso. É incrivelmente difícil, mas possível, gravar arquivos de unidades que possuem uma grande quantidade de fragmentação de arquivos. O resultado final da gravação bem-sucedida de arquivos é a reconstrução de um arquivo de forma que seu conteúdo esteja totalmente presente, embora um resultado aceitável em algumas situações possa ser um arquivo parcialmente reconstruído, se informações suficientes forem recuperadas.
Em alguns casos, seja por falha de hardware, erro humano ou ataque malicioso, o sistema de arquivos de um dispositivo de armazenamento e todas as informações nele contidas podem ser apagadas. Dependendo de como as informações foram removidas, o próprio disco ainda pode conter todas as informações presentes anteriormente, mas em um fluxo de bytes desordenado e desordenado. Um mecanismo que torna possível a gravação de arquivos é que, quando muitos sistemas de arquivos apagam um arquivo de uma unidade, eles não removem os dados, mas marcam essa área do disco como disponível para novos arquivos. Os dados antigos permanecem até serem substituídos e, mesmo nesse caso, ainda há uma chance de que possam ser recuperados.
Uma técnica muito básica usada na gravação de arquivos envolve percorrer blocos de informações em um disco à procura de assinaturas de arquivos. Estes são dados estruturados que indicam o início de um arquivo de um tipo específico. Um exemplo é o início de um arquivo de imagem que pode conter a largura e a altura da imagem e alguns dados da paleta de cores. Se um bloco de dados que corresponda perfeitamente ao cabeçalho de um tipo de arquivo for encontrado, é feita uma tentativa de interpretar os dados após o cabeçalho para verificar se realmente são os dados do arquivo. Se for bem-sucedido, isso poderá levar à reconstrução do arquivo original.
Uma complicação que ocorre na gravação de arquivos tem a ver com arquivos fragmentados, o que significa que o arquivo é armazenado em dois ou mais locais físicos diferentes em um disco. Algumas técnicas não tentam reconstruir esses tipos de arquivos. Outros métodos usam o conhecimento existente dos sistemas de arquivos para tentar aproximar onde as outras partes de um arquivo podem estar localizadas, embora esse processo seja muito difícil.