O que é escultura de arquivos?
A escultura de arquivos é uma técnica usada no computador forense para extrair um arquivo ou dados formatados de uma unidade de disco ou outro dispositivo de armazenamento sem a assistência do sistema de arquivos que criou originalmente o arquivo. Existem vários métodos e algoritmos diferentes que podem ser usados, mas o processo envolve essencialmente a digitalização através dos dados disponíveis em um dispositivo de armazenamento e, de uma maneira ou de outra, verificando se essas informações são um arquivo ou contém algumas informações predefinidas. Um sistema de arquivos não está presente durante o processo de escultura de arquivos; portanto, todas as informações em um disco precisam ser avaliadas quanto ao seu contexto, o que significa que o processo pode levar muito tempo e, dependendo do estado do dispositivo de armazenamento, pode ter uma baixa taxa de sucesso. É incrivelmente difícil, mas possível, esculpir arquivos de unidades que possuem uma grande quantidade de fragmentação de arquivos. O resultado final da escultura bem -sucedida de arquivos é a reconstrução de um arquivo de tal maneira que é ConteOs NTs estão totalmente presentes, embora um resultado aceitável em algumas situações possa ser um arquivo parcialmente reconstruído se informações pertinentes suficientes forem recuperadas.
Em alguns casos, seja por falha de hardware, erro humano ou ataque malicioso, o sistema de arquivos de um dispositivo de armazenamento e todas as informações sobre ele podem ser apagadas. Dependendo de como as informações foram removidas, o próprio disco ainda pode conter todas as informações que estavam presentes anteriormente, mas em um fluxo desorganizado e não ordenado de bytes. Um mecanismo que torna possível a escultura de arquivos é que, quando muitos sistemas de arquivos apagam um arquivo de uma unidade, eles não removem os dados, mas marcam essa área do disco como estando disponível para novos arquivos. Os dados antigos permanecem até que sejam substituídos e, mesmo nesse caso, ainda há uma chance de que possam ser recuperados.
Uma técnica muito básica usada na escultura de arquivos envolve pisar emUgh blocos de informações em um disco procurando assinaturas de arquivo. Estes são dados estruturados que indicam o início de um arquivo de um tipo específico. Um exemplo é o início de um arquivo de imagem que pode conter a largura e a altura da imagem e alguns dados da paleta de cores. Se é encontrado um bloco de dados que corresponda de maneira limpa, o título de um tipo de arquivo será encontrado, uma tentativa de interpretar os dados após o cabeçalho é feita para ver se ele realmente é os dados do arquivo. Se bem -sucedido, isso pode levar à reconstrução do arquivo original.
Uma complicação que ocorre na escultura de arquivos tem a ver com arquivos que são fragmentados, o que significa que o arquivo é armazenado em dois ou mais locais físicos diferentes em um disco. Algumas técnicas não tentam reconstruir esses tipos de arquivos. Outros métodos usam o conhecimento existente dos sistemas de arquivos para tentar aproximar onde as outras partes de um arquivo podem estar localizadas, embora esse processo seja muito difícil.