Talla de archivo

Ir a: navegación, búsqueda de

Talla de archivo es el proceso de ensamblar archivos informáticos de los fragmentos en la ausencia de sistema de ficheros metadatos.

Contenido

  • 1 Introducción y principios básicos
  • 2 Motivación
  • 3 Esquemas de talla
    • 3.1 Talla de la brecha de Bifragment
    • 3.2 SmartCarving
  • 4 Talla de memoria vuelca
  • 5 Véase también
  • 6 Referencias

Introducción y principios básicos

Todos los sistemas de ficheros contienen algunas metadatos describe el sistema de archivos actual. Como mínimo se almacenan los siguientes: la jerarquía de carpetas y archivos, con los nombres de cada uno. Para cada archivo es también almacena la dirección física del disco duro donde está almacenado el archivo. Como se explica más abajo, un archivo puede ser dispersado en fragmentos en diferentes direcciones físicas.

Talla de archivo es el proceso de intentar recuperar archivos sin estos metadatos. Esto se hace mediante el análisis de los datos crudos e identificar lo que es (texto, ejecutables, png, mp3, etc.). Esto puede hacerse de diferentes maneras, pero la más sencilla es buscar cabeceras. Por ejemplo, todos los archivos de clase de Java tiene como sus primeros cuatro bytes el valor hexadecimal CA FE BA ser. Algunos archivos contienen pies de página, por lo que es igual de sencilla identificar el final del archivo.

Más sistemas de archivos, tales como grasas y rápido sistema de archivos UNIX, trabajarcon con el concepto de los racimos de tamaño igual y fijo. Por ejemplo, un sistema de archivos FAT32 puede dividirse en grupos de 4KB cada. Se adapta a cualquier archivo no más de 4KB en un único clúster, y nunca hay más de un archivo en cada racimo. Archivos que ocupan más de 4KB se asignan a través de muchos grupos. A veces estos grupos son todos contiguos, mientras que otras veces ellos están dispersos a través de dos o potencialmente muchos más llamados fragmentos, con cada fragmento conteniendo un número de Estados contiguos racimos de almacenar una parte de los datos del archivo. Archivos de gran tamaño obviamente son más propensos a ser fragmentado.

Simson Garfinkel[1] divulga estadísticas fragmentación recogidas de más de 350 discos que contienen GRASA, NTFS y UFS sistemas de archivos. Mostró que mientras que la fragmentación de un disco típico es baja, la tasa de fragmentación de tareas importantes archivos tales como correo electrónico, JPEG y Palabra documentos es relativamente alto. La tasa de fragmentación de archivos JPEG se encontró que 16%, documentos de Word tenían 17% fragmentación, AVI tenía un 22% tasa de fragmentación y (archivos PSTMicrosoft Outlook) tuvo una tasa de fragmentación de 58% (fracción de archivos se fragmentó en dos o más fragmentos). PAL, Shanmugasundaram y Memon[2] presenta un algoritmo eficiente basado en un heurístico codicioso y poda Alfa-beta para volver a montar imágenes fragmentadas. PAL, Sencar y Memon[3] presentó pruebas como un mecanismo eficaz para la detección de puntos de fragmentación de hipótesis secuencial. Richard y Roussev[4] presentó el bisturí, una herramienta de código abierto talla en archivo.

Talla de archivo es una tarea muy compleja, con un potencial enorme número de permutaciones para intentar. Para realizar esta tarea manejable, talla software normalmente hace uso extensivo de modelos y heurística. Esto es necesario no sólo desde un punto de vista de tiempo de ejecución, sino también por la exactitud de los resultados. Estado del arte archivo talla algoritmos utilizan técnicas estadísticas como comprobación de hipótesis secuencial para la determinación de puntos de fragmentación.

Motivación

Talla de archivo puede utilizarse para recuperar datos de un disco duro donde los metadatos falta o están dañado.

Cuando se elimina un archivo, sólo la entrada en los metadatos del sistema de archivo se retira, mientras los datos reales todavía están en el disco. Después de un formato y ni siquiera un volver a crear particiones lo sería más de datos raw está intacto y puede ser recuperada usando talla archivo.

Esquemas de talla

Talla de la brecha de Bifragment

Garfinkel introdujo el uso de validación de objetos rápido para volver a montar los archivos que se han dividido en dos pedazos. Esta técnica se conoce como Bifragment Gap talla (BGC). Se identifican un conjunto de a partir de fragmentos y un conjunto de fragmentos de acabado. Los fragmentos son reensamblados si juntos forman un objeto válido.

SmartCarving

PAL desarrolló un esquema de talla que no se limita a bifragmented archivos. La técnica, conocida como SmartCarving, hace uso de la heurística con respecto al comportamiento de la fragmentación de los sistemas de ficheros conocidos. El algoritmo tiene tres fases: preprocesamiento, colación y rearmado. En la fase de preprocesamiento, bloques se descomprime o descifrar si es necesario. En la fase de colación, bloques se clasifican según su tipo de archivo. En la fase de montaje, los bloques se colocan en secuencia para reproducir los archivos eliminados. El algoritmo de SmartCarving es la base para el Hábil fotografía forense y hábil Photo Recovery aplicaciones de montaje Digital.

Talla de memoria vuelca

Instantáneas de memoria volátil de computadoras pueden ser talladas. Talla de volcado de memoria se utiliza rutinariamente en el análisis forense digital, permitiendo a los investigadores efímeras pruebas de acceso a. Efímero evidencia incluye imágenes recientemente accedidos y páginas Web, documentos, charlas y comunicaciones cometidas mediante las redes sociales. Si un volumen cifrado (TrueCrypt, BitLocker, Disco PGP) fue utilizado, claves de binarios a contenedores cifrados pueden extraerse y solía montar inmediatamente tales volúmenes. El contenido de la memoria volátil es fragmentado. Un algoritmo propietario de talla fue desarrollado por Belkasoft para habilitar talla fragmentado memoria conjuntos (BelkaCarving).

Véase también

  • Primero (software), un tallador de archivo de código abierto.
  • PhotoRec, un tallador de archivo populares de código abierto.
  • Recuperar mis archivos, propiedad evaluationware, ms-windows

Referencias

  1. ^ Simson Garfinkel, "Talla archivos contiguos y fragmentados con validación de objetos rápido", en actas del 2007 forense digital investigación taller, DFRWS, Pittsburgh, PA, agosto de 2007
  2. ^ Pal A. y N. Memon, "Reensamblaje de automatizado de imágenes de archivo fragmentado usando algoritmos codiciosos" en IEEE Transactions on proceso de imagen, febrero de 2006, pp 385393
  3. ^ A. por lo tanto, encontrar que el encabezado de un archivo significa que se encuentra el primer fragmento del archivo, pero los otros fragmentos podrían ser dispersado en ninguna otra parte en la partición, expediente talla mucho más difícil. Mediante el estudio de cómo los sistemas de archivos en realidad fragmentación y aplicar las estadísticas, es posible que cualificados conjeturas en cuanto a que podrían encajar fragmentos. Estos fragmentos luego se ponen juntos en varias permutaciones posibles y está probado si los fragmentos encajan. Para algunos archivos es fácil para el software comprobar si caben, mientras que para otros, el software puede accidentalmente encajan las piezas incorrectamente. PAL, T. Sencar y N. Memon, "Detección de archivo punto de fragmentación mediante comprobación de hipótesis secuencial", Las investigaciones digitales, otoño 2008
  4. ^ Richard, Golden, Roussev, V., "Bisturí: carver archivo frugal, de alto rendimiento", en actas del taller de investigación forense Digital 2005, DFRWS, agosto de 2005

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=File_carving&oldid=631190115"