Failu griešana un datu atkopšana

Tiek saukts nepieejamu, formatētu vai bojātu vai bojātu datu izgūšanas process no datu nesēja, ja tas nav pieejams ar parastām metodēm Datu atkopšana. Informācija parasti tiek atgūta no datu nesējiem; piemēram, iekšējie un ārējie cietie diski (HDD); cietvielu diski (SSD); zibatmiņas; magnētiskā atmiņa, piemēram, kompaktdiski un DVD; RAID apakšsistēmas; un citus elektroniskos sīkrīkus. Atgūšana var būt nepieciešama fiziska kaitējuma dēļ atmiņas ierīcēm vai likumīga kaitējuma failu sistēmai dēļ, kas neļauj sistēmai piestiprināt resursdatora darba operētājsistēmu (OS). Galīgais mērķis ir kopēt visus būtiskos ierakstus no nodarītajiem plašsaziņas līdzekļiem līdz jaunam diskdzinim. Informāciju var ātri dublēt, izmantojot Live CD vai DVD, likumīgi sāknējot no ROM, nevis izmantojot bojātu disku vai ierīci, lai iegūtu informāciju no sistēmas.

Live CD vai DVD piedāvā iespēju palaist sistēmas disku, kā arī noņemamo vai fiksēto datu nesēju, ļaujot faila ielādei izmantot failu pārvaldnieku vai programmatūru. Diska serveris var sabojāt šos gadījumus un saglabāt vērtīgus vai patentētus datu failus atsevišķos nodalījumos OS failos.

Failu griešana ir procedūra, ko izmanto PC nozieguma vietas izmeklēšanā, lai iegūtu informāciju no cietā diska vai citām atmiņas ierīcēm, neizmantojot failu sistēmas tabulu, kas sākotnēji izveidoja sākotnējo failu. File Carving ir stratēģija, kas uzņemas kontroli pār dokumentiem nepiešķirtā telpā bez datiem un tiek izmantota informācijas atgūšanai, lai spēlētu datorizētu klīnisko pārbaudi. Sākotnēji šo procesu sauca par “noformējumu”, kas ir vispārējs termins organizētas informācijas noņemšanai no neapstrādātas informācijas, ņemot vērā uzglabātās informācijas organizēšanas modeļa īpašos atribūtus.

Kriminālistikas metode, kas atgūst dokumentus, ir atkarīga no failu struktūras un satura bez atbilstošiem failu sistēmas metadatiem. Failu griešana ļauj atgūt failus no nepiešķirtās vietas jebkurā diskā. Diska apgabalu, ko norāda failu sistēmas struktūra (failu tabula), kurā nav informācijas par failu sistēmu, sauc par nepiešķirto vietu.

Trūkstošas ​​vai bojātas failu sistēmas struktūras var ietekmēt visu disku. Vienkārši sakot, daudzas failu sistēmas neizdzēš datus, kad tie tiek izdzēsti. Tā vietā tas vienkārši novērš zināšanas par to, no kurienes tas ir. Neapstrādātu baitu skenēšana un sakārtošana ir File Carving pamatprocess. Šo procesu veic pārbaudot faila galveni (pirmos baitus) un kājenes (pēdējos baitus).

Failu griešana ir lielisks veids, kā atgūt failus un failu fragmentus, ja teksts ir bojāts vai trūkst. Speciālisti to bieži izmanto problēmu novēršanā, lai atkārtoti pārbaudītu pierādījumus. Aizlieguma un iespēju evakuēt plašsaziņas līdzekļus piemērs radās, kad ASV plombu flotes uzbrukuma laikā informācija tika izņemta no Osamas bin Ladena nometnēm. Kriminālistikas izmeklētāji izmantoja failu atkopšanas metodes, lai atgūtu datus no diskdziņiem un nometnēs izmantotajām sistēmām.

Failu sistēmu pārskats

A failu sistēma is datu bāzes veids, ko izmanto failu vai vairāku failu glabāšanai, atjaunināšanai un izgūšanai. Tas ir veids, kā faili tiek loģiski arhivēti un nosaukti arhivēšanai un atkopšanai. Tālāk ir minēti dažādi failu sistēmu veidi:

Windows failu sistēma: Microsoft Windows izmanto tikai divu veidu FAT un NTFS.

• TAUKI, kas nozīmē “failu piešķiršanas tabula”, ir vienkāršākais failu sistēmas veids, kurā ietilpst sāknēšanas sektors, failu piešķiršanas tabula un vienkārša atmiņas vieta failu un mapju glabāšanai. Nesen FAT parādījās FAT16, FAT12 un FAT32. FAT32 ir saderīgs ar Windows bāzes krātuvēm. Windows nevar izveidot FAT32 failu sistēmu ar failu, kas lielāks par 32 GB.
• NTFS, saīsinājums “New Technology File System” tagad ir noklusējuma failu sistēma failiem, kuru lielums pārsniedz 32 GB. Šifrēšana un piekļuves kontrole ir daži galvenie šīs failu sistēmas īpašumi.

Linux failu sistēma: Linux ir plaši izmantota atvērtā koda operētājsistēma, un tā tika izstrādāta testēšanai un izstrādei. Šīs operētājsistēmas mērķis bija izmantot dažādus failu sistēmas jēdzienus. Linux operētājsistēmā ir vairāki failu sistēmu veidi.

• Ext2, Ext3, Ext4 - Šī ir vietējā vai noklusējuma Linux failu sistēma. Saknes failu sistēma parasti tiek kartēta uz visu Linux izplatīšanu. Failu sistēma Ext3 ir lielisks iepriekš izmantotās Ext2 failu sistēmas atjauninājums; tā izmanto darījumu datņu rakstīšanas operāciju.  Ext4 ir paplašinājuma fails, kas atbalsta Ext3 informāciju un faila attiecinājumu.
• ReiserFS - Failu sistēmas problēma tiek atrisināta, vienlaikus saglabājot daudz mazu failu. Failu pārvaldnieks ir smieklīgs, un saderīga faila atļauja, faila koda glabāšana, fails satur metadatus režīmā, kad tā lieluma dēļ neizmanto lielu failu sistēmu.
•  XFS - XFS failu sistēma darbojas labi un tiek plaši izmantota failu arhivēšanai. Šis failu sistēmas tips ir populārs IRIX serveros.
• JFS - IBM izstrādāja šo failu sistēmu, un tā ir kļuvusi par failu sistēmu, kas tiek izmantota gandrīz visos Linux izplatījumos

macOS failu sistēma: Apple Macintosh operētājsistēma izmanto tikai HFS + failu sistēma bez HFS failu sistēmas paplašinājuma. MacOS, iPhone, iPad un visi citi Apple produkti izmanto HFS + failu sistēma. Dažos Apple Server produktos tiek izmantota Hscan failu sistēma. Šī slavenā failu sistēma seko informācijai, kas saistīta ar direktoriju skatu, logu atrašanās vietu utt.

Failu griešanas paņēmieni

Digitālās izmeklēšanas laikā ir nepieciešams analizēt dažādus datu nesēju veidus. Piemērojamo informāciju var atrast vairākās atmiņas ierīcēs un datora atmiņā. Var tikt iedalīti dažādi informācijas veidi, piemēram, e-pasts, elektroniskie ziņojumi, ietvara žurnāli un multivides ieraksti. Failu griešana ir atkopšanas paņēmiens, kurā tiek ņemts vērā tikai faila saturs un struktūra, nevis faila metadati, kas izmantoti datu organizēšanā datu nesējā.

Tālāk ir minētas dažas failu griešanas terminoloģijas, kas jāatceras:

• Bloķēt - Mazākais datu vienību lielums, ko var ierakstīt krātuvē
• Galvene - Faila sākuma punkts.
• Kājene - Pēdējie faila baiti.
• Fragments - Viens vai vairāki bloki pieder vienam failam.
• Bāzes fragments - Pirmais faila konteinera fragments, faila galvene.
• Sadrumstalotības punkts - Pēdējais bloks tieši pirms sadrumstalotības. Vairāki fragmenti jebkurā failā rada vairākus fragmentācijas punktus.

Augstākās korporatīvās universālās failu griešanas metodes ir šādas:

• Galvenes kājenes tehnika (vai galvenes “maksimālais faila lielums”) - Pamata stratēģija šeit ir izgriezt failus, pamatojoties uz nosaukumu un rokrakstu vai kopējiem failiem.

1. JPG vai JPEG paplašinājuma faili - “\ XFF \ xD8” un “\ xFF \ xD9.”
2. GIF - kājene ar nosaukumu “\ x47 \ x49 \ x46 \ x38 \ x37 \ x61” un “\ x00 \ x3B” kājene.
3. PST: “! BDN ”virsraksts bez kājenēm.
4. Ja failu sistēmai nav bāzes, maksimālais failu skaits, kas izmantots grebšanas programmā.

• Griešana uz failu struktūras pamata

1. Kā pamata paņēmienu tiek izmantots faila iekšējais izkārtojums.
2. Galvenes, kājenes, ID virknes un lieluma informācija ir pamatelementi.

• Uz saturu balstīta griešana

Satura struktūra ir brīva (MBOX, HTML, XML)

• Materiāla raksturojums

1. Skaitīt rakstzīmes
2. Teksta / valodas atpazīšana
3. Melnbalts datu saraksts
4. Informācijas entropija
5. Statistikas raksturlielumi (Chi²)

Faila griešana (neizmantojot kādu rīku)

Tālāk mēs redzēsim, kā izgriezt a .jpeg fails, neizmantojot rīku. Pirmkārt, mums jāzina .jpeg fails (galvene un kājene utt.). Lai to izdarītu, mēs atvērsim a .jpeg attēls Hex redaktoru, lai pārbaudītu, kāda ir galvenes un kājenes .jpeg fails izskatās.

Šeit mēs atradām faila galveni ( FFD8FFE0). Tagad, lai atrastu kājeni, mēs pārbaudīsim pēdējos faila baitus.

Šeit mums ir faila kājene vai piekabe (FFD9).

Ja jums ir dokuments ar attēlu, varat to izgriezt, zinot tā galveni un kājeni.

Tagad mums ir vārdu fails ar attēlu. Izmantojot šo tehniku, mēs izgriezīsim attēlu.

Pirmais, kas mums jādara, ir atvērt šo vārdu dokumentu ar Hex redaktoru, noklikšķinot Fails >> Atvērt.

Šeit mēs varam redzēt attēlu, kas parāda vārda faila datus heksadecimālā formā. Kā mēs jau zinām, .JPEG faila galvenes vērtība ir FFD8FFE0, tāpēc mēs meklēsim faila galveni, nospiežot Ctrl + F vai Meklēt >> Fails un ievadot zināmo galvenes vērtību (šajā solī ir ļoti svarīgi izvēlēties sešstūra vērtības datu veidu).

Mēs atradīsim paraksta vērtību vietnē Offset 14FD.

Tālāk mums jāmeklē kājene vai piekabe. Mēs zinām, ka .JPEG faila kājenes vērtība ir FFD9, tāpēc mēs meklēsim faila kājeni, nospiežot Ctrl + F vai Meklēt >> Fails un ievadot zināmo kājenes vērtību (ir ļoti svarīgi izvēlēties sešstūra vērtības datu veidu.

Kājenes vērtību mēs atradīsim Offset 2ADB.

Pašlaik mums ir JPEG dokumenta galvene un kājene, un, kā mēs nesen norādījām, starp galveni un kājeni ir informācija par JPEG ierakstu. Šeit mēs kopējam visu informācijas laukumu ar galveni un kājeni un saglabājam to kā citu failu.

Iet uz Rediģēt >> Atlasiet Bloķēt un ievadiet abus šādus vārdus:

Faila galvenes nobīde: 14FD

Faila kājenes nobīde:  2ADB

Pēc šo vērtību ievadīšanas viss .JPEG fails tiks atzīmēts ar zilu krāsu. Lai saglabātu to kā dfailu, nokopējiet to, noklikšķinot ar peles labo pogu un atlasot Kopēt, vai nospiežot Ctrl + C. Tālāk mēs ielīmēsim informāciju jaunā failā. Parādīsies dialoglodziņš, un mēs noklikšķināsim labi. Tagad mēs esam gatavi failu saglabāt, noklikšķinot Fails >> Saglabāt kā vai nospiežot Ctrl + S. Atverot šo nokopēto failu, tiks parādīts tāds pats attēls kā sākotnējā dokumentā. Šī ir pamata tehnika multivides failu griešanai.

Datu griešanas rīki

Datu atkopšanas rīkiem ir liela nozīme lielākajā daļā tiesu izmeklēšanas, jo gudri uzbrucēji vienmēr cenšas izdzēst pierādījumus par saviem noziegumiem. Turpmāk uzskaitīti daži svarīgi datu atkopšanas rīki Linux un Windows.

• Galvenais (failu griešanas rīks)

Lai atgūtu failus, kas ir zaudēti to iekšējo datu struktūru, galvenes un kājenes dēļ, galvenais, Var izmantot. Galvenais parasti ievada dažādos attēlu formātos, piemēram, AFF vai raw formātos, kurus var ģenerēt, izmantojot dažādus rīkus, piemēram, FTK Imager, DD, encase utt.  Varat doties uz galvenās palīdzības lapu, lai uzzinātu un izpētītu tās spēcīgās komandas, izmantojot šādu komandu:

[aizsargāts pa e-pastu]: ~ $ foremost -h Atkopiet failus no diska attēla, pamatojoties uz failu tipiem, kurus norādījis
lietotājs, izmantojot slēdzi -t.
jpg JFIF un Exif formātu atbalsts, ieskaitot ieviešanu
izmanto mūsdienu digitālajās kamerās.
gif
png
bmp atbalsts Windows bmp formātam.
avi
exe Windows PE bināro failu atbalsts nodrošinās DLL un EXE failus
kopā ar to apkopošanas laikiem.
mpg atbalsts lielākajai daļai MPEG failu (jāsākas ar 0x000001BA)
wav
riff Tas izvērsīs AVI un RIFF, jo tie izmanto to pašu failu
paklājs (RIFF). piezīmi ātrāk nekā palaist katru atsevišķi.
wmv piezīme var arī izvilkt wma failus, jo tiem ir līdzīgs formāts.
ole Tas satvers jebkuru failu, izmantojot OLE failu struktūru. Šis
ietver PowerPoint, Word, Excel, Access un StarWriter
doc Ņemiet vērā, ka efektīvāk ir palaist OLE, jo jūs saņemat vairāk sprādziena
tavs buks. Ja vēlaties ignorēt visus citus ole failus, izmantojiet
šo.
zip Piezīme, ka tas tiks izvilkts .burku failus, jo tie izmanto līdzīgu
formātā. Open Office dokumenti ir tikai zip'd XML faili, tāpēc tie ir
tiek iegūti arī. Tie ietver SXW, SXC, SXI un SX? priekš
nenoteikti OpenOffice faili. Arī Office 2007 faili ir XML
bāzes (PPTX, DOCX, XLSX)
rar
htm
cpp C pirmkodu noteikšana, ņemiet vērā, ka tas ir primitīvi un var ģenerēt
dokumenti, kas nav C kods.
mp4 MP4 failu atbalsts.
all Palaist visas iepriekš noteiktās ekstrakcijas metodes. [Noklusējums, ja nav -t
norādīts]

• BinWalk

BinWalk tiek izmantots bināro bibliotēku pārvaldībai un svarīgu datu iegūšanai no programmaparatūras attēliem. Šis rīks ir lieliski piemērots tiem, kas zina, kā to izmantot. BinWalk tiek uzskatīts par vienu no labākajiem pieejamajiem rīkiem reversai inženierijai un programmaparatūras attēlu iegūšanai. BinWalk ir viegli lietojams, un tam ir milzīgas iespējas. Varat doties uz binwalk palīdzības lapu, lai uzzinātu vairāk, izmantojot šo komandu:

[aizsargāts ar e-pastu]: ~ $ binwalk --help Parakstu skenēšanas opcijas:
-B, - paraksts Skenējiet mērķa failu (-us) parasto failu parakstiem
-R, --raw = Skenēt mērķa failu (-us) norādītajai baitu secībai
-A, --opcodes Skenējiet mērķa failu (-us) parastajiem izpildāmajiem opcode parakstiem
-m, --magic = Norādiet lietošanai pielāgotu burvju failu
-b, --dumb Atspējojiet viedo parakstu atslēgvārdus
-Rādīt rezultātus, kas atzīmēti kā nederīgi
-x, --exclude = Izslēgt atbilstošus rezultātus
-y, --include = Rādīt tikai atbilstošos rezultātus
Ekstrakcijas opcijas:
-e, --extract Automātiski izgūst zināmos failu tipus
-D, --dd = Izvelciet parakstus, piešķiriet failiem paplašinājumu un izpildiet
-M, --matryoshka Rekursīvi skenē iegūtos failus
-d, --depth = Ierobežot matrjoškas rekursijas dziļumu (noklusējums: 8 līmeņu dziļums)
-C, --directory = Izvelciet failus / mapes uz pielāgotu direktoriju (noklusējums: pašreizējais darba direktorijs)
-j, --size = Ierobežot katra izvilktā faila lielumu
-n, --count = Ierobežot izvilkto failu skaitu
-r, --rm Dzēst cirsts failus pēc ekstrakcijas
-z, --arot Izgriezt datus no failiem, bet neveiciet ieguves utilītus
Entropijas analīzes iespējas:
-E, --entropy Aprēķināt faila entropiju
-F, --fast Izmantojiet ātrāku, bet mazāk detalizētu entropijas analīzi
-J, - saglabājiet sižetu kā PNG
-Q, - nelegāls Izlaist leģendu no entropijas diagrammas diagrammas
-N, --nplot Neveidojiet entropijas diagrammas diagrammu
-H, --high = Iestatiet augšējās malas entropijas sprūda slieksni (noklusējums: 0.95)
-L, --low = iestatiet krītošās malas entropijas sprūda slieksni (noklusējums: 0.85)
Bināro diferenciācijas iespējas:
-W, --hexdump Veiciet faila vai failu hexdump / diff
-G, --green Rāda tikai līnijas, kurās ir vienādi baiti starp visiem failiem
-i, --red Rāda tikai rindas, kurās ir baiti, kas visos failos ir atšķirīgi
-U, --blue Rāda tikai rindas, kurās ir baiti, kas dažos failos atšķiras
-w, --terse Diff visus failus, bet parāda tikai pirmā faila hex izmetienu
Neapstrādātas saspiešanas iespējas:
-X, --deflate Neapstrādātu deflācijas saspiešanas plūsmu meklēšana
-Z, --lzma Neapstrādātu LZMA kompresijas plūsmu meklēšana
-P, --partial Veikt virspusēju, bet ātrāku skenēšanu
-S, - stop Stop pēc pirmā rezultāta
Vispārīgās iespējas:
-l, --length = skenējamo baitu skaits
-o, --offset = Sākt skenēšanu ar šo faila nobīdi
-O, --base = Pievienojiet bāzes adresi visām izdrukātajām nobīdēm
-K, --block = Iestatīt faila bloka lielumu
-g, --swap = Apskatiet katru n baitu pirms skenēšanas
-f, --log = Reģistrēt rezultātus failā
-c, --csv Žurnāla rezultāti failā CSV formātā
-t, --term Formatēt izvadi, lai ietilptu termināla logā
-q, - quiet Nomāc izvadi uz stdout
-v, --verbose Iespējot daudzfunkcionālu izvadi
-h, --help Rādīt palīdzības izvadi
-a, --finclude = Skenējiet tikai tos failus, kuru nosaukumi atbilst šim regulārajam izteicienam
-p, --fexclude = Neskenējiet failus, kuru nosaukumi atbilst šim regulārajam izteicienam
-s, --status = Iespējot statusa serveri norādītajā portā

Datu atkopšana no formatētiem diskiem

Datu atkopšanas rīki ir rūpīgi jāizvēlas, lai atgūtu informāciju no formatētiem diskiem, USB zibatmiņas diskiem un atmiņas kartēm. Rīki, kas paredzēti dažādu darbību veikšanai, var radīt negaidītus rezultātus. Zemāk mēs aplūkosim dažas atšķirības starp dažādiem datu atkopšanas rīkiem datu korekcijai formatētos diskdziņos.

Neformatēts

Pirmā liktenīgā kļūda, ko pieļauj daudzi datoru lietotāji, nejauši formatējot diskus, ir “neformatētu” rīku atrašana, instalēšana un izmantošana. Tirgū ir daudz šo rīku; daži ir komerciāli, bet citi ir bezmaksas preces. Šo rīku mērķis ir atjaunot vai atjaunot iepriekš formatēto disku, atjaunojot failu sistēmu.

Lai gan tas var šķist dzīvotspējīga pieeja nepieredzējušajiem, tā var būt lielāka kļūda nekā failu zaudēšana. Diska formatēšana izskalo sākotnējo failu sistēmu, vismaz daļēji to aizstājot, parasti sākumā. Mēģinot atjaunot veco failu sistēmu, labākais, ko varat iegūt, ir disks, kuru var nolasīt kopā ar dažiem failiem. Visu nevar atgūt tieši tā, kā tas bija šādā veidā, un var tikt apdraudēti visdārgākie faili, diskā saglabājot tikai nejaušus oriģinālo failu paraugus. Kad domājat par sistēmas diska “formatēšanu”, aizmirstiet to; vismaz daži sistēmas faili vairs nebūs. Pat ja jūs varat palaist operētājsistēmu, jūs nekad neiegūsit stabilu sistēmu.

Atcelt dzēšanu

Otra kļūda, ko pieļaus daudzi datoru lietotāji, ir atkopšanas rīku izmantošana. Neskatoties uz to, ka šie rīki pastāv un mēdz savu darbu darīt godprātīgi, tie nav paredzēti disku apstrādei ar izslēgtu failu sistēmu. Pat izmantojot dažus no labākajiem atkopšanas rīkiem, piemēram, RS File Recovery, varat izdzēst vairākus failus, bet tas arī viss.

Sadalījuma atkopšana

Lai atgūtu failus, jums vajadzētu meklēt nodalījuma atkopšanas rīku, piemēram, RS Partition Recovery. Šis rīks ir paredzēts, lai apstrādātu izplatītus, formatētus un bojātus diskus, un tas var skenēt visu diska vai nodalījuma virsmu, lai atgūtu visu, ko var atrast. Pat ja failu sistēma ir tukša vai izdzēsta, ar paraksta funkciju šis rīks var atgūt daudzu veidu failus, piemēram, dokumentus, attēlus un video. Lai gan segmentētie atkopšanas rīki ir visaugstākā līmeņa datu atkopšana, tie parasti ir diezgan dārgi. Ja vēlaties atgūt tikai formatētu disku, tā vietā var būt noderīgi meklēt un saglabāt.

FAT un NTFS atkopšana

Varat ietaupīt līdz 40% no Partition RS atkopšanas izmaksām, izvēloties rīku, kas atkopj tikai FAT vai NTFS formatētus diskus. Atcerieties, ka jums būs jāiegādājas rīks, kas piemērots oriģinālajai failu sistēmai, nevis iepriekš rakstītajam. Ja sākotnējais disks ir NTFS, iegūstiet NTFS atkopšanas RS. Ja tas ir FAT vai FAT32, iegūstiet FAT Recovery RS. Tādā veidā jūs saņemsiet tādas pašas kvalitātes rīkus, bet jūs ierobežosiet tikai ar FAT vai NTFS formatēšanu. Šī ir ideāla izvēle unikālam darbam.

Failu griešana (izmantojot rīku)

PhotoRec ir lieliska programmatūra, ko izmanto, lai izgrieztu failus un jo īpaši JPEG vai attēlu failus (tāpēc tas tiek nosaukts par fotoattēlu atkopšanu). PhotoRec nepievērš uzmanību dokumenta ietvaram un izmanto pamatinformāciju, tāpēc tas darbosies neatkarīgi no tā, vai jūsu multivides ierakstu sistēma ir nopietni kaitēta vai pārformatēta. Photorec ir viegli pieejama Windows operētājsistēmās.

Piemēram, izmantojot šo rīku, mēs atkopsim attēlu failus no 8 GB zibatmiņas diska.

Vispirms palaidiet PhotoRec.exe failu un palaidiet lietojumprogrammu. Mēs redzēsim šādu ekrānu:

Šeit ir redzamas visas starpsienas. Mēs atlasīsim / K kā mūsu vēlamo mērķi, no kura atgūt datus.

Mēs varam redzēt, kuru failu sistēmu šis nodalījums izmanto, un apakšā ir četras iespējas.

Meklēt - Tas meklēs nodalījumu, kurā faili atrodas atkopšanai.
Iespējas - Izmanto nelielām opciju izmaiņām.
Faila izvēle - Izmanto, lai modificētu atkopamo failu tipus.
Iziet - Iziet no procesa.

Mēs atlasīsim Faila izvēle (Faila opcijas):

Tas mums dos iespējas atlasīt failus, kurus vēlamies atgūt no vēlamā nodalījuma. Spiešana S noņems atzīmes no visām opcijām. Mēs atlasīsim JPG attēli, jo mēs vēlamies tikai atkopt attēlu failus no diska. Tālāk mēs nospiedīsim B.

Lai atlasītu Failu sistēma, atgriezieties pie galvenajām opcijām un atlasiet Cits. Attiecībā uz atkopšanas iespējām mums ir divas iespējas:

• atgūties no viss nodalījums
• atgūšanās no tikai nepiešķirtā telpa (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3 utt.). Izmantojot šo opciju, tiks atkopti tikai tie faili, kas ir izdzēsti.

Tagad viss, kas mums jādara, ir iestatīt izdzēsto failu atkopšanas vietu. Pēc tam atkopšanas process sāksies un beigsies pēc kāda laika.  Tad mēs meklēsim atkoptos failus iestatītajā vietā. Atgūtie attēlu faili būs tur.

Secinājums

Failu griešana ir plaši pazīstams tiesu medicīnas termins, lai aprakstītu failu tipu identificēšanu un noņemšanu no pakārtotām kopām, izmantojot failu parakstus. Faila paraksts, kas pazīstams arī kā burvju skaitlis, ir skaitliska vai pastāvīga teksta vērtība, ko izmanto faila formāta identificēšanai. Ekstrakcija datņu vai datu termins tiek izmantots kriminālistikas informātikas jomā. Datorizēta kriminālistikas izmeklēšana ir pierādījumu iegūšana, pārbaude, analīze un dokumentēšana, kas atrodas datorsistēmā, datoru tīklā vai citos digitālo datu nesēju veidos. Tiek saukts jēgpilnu datu iegūšana no neapstrādātiem datiem grebums.

File Sculpting ir failu identifikācija un atkopšana, pamatojoties uz formāta analīzi. Kriminālistikā skaitļošana ir noderīgs veids, kā atrast slēptus vai dzēstus failus digitālajos nesējos. Failus var paslēpt tādās jomās kā pazaudētas kopas, nepiešķirtas kopas un disku vai digitālo datu nesēju atskaņošana. Lai izmantotu šo ekstrakcijas metodi, failam jābūt standarta parakstam, ko sauc par a faila galvene, faila sākumā. Lai iegūtu faila galveni, atkopšanas rīks turpinās vaicāt, līdz tas faila beigās sasniegs faila kājeni. Dati starp galveni un kājeni tiek iegūti un analizēti, lai nodrošinātu integritāti. Atkarībā no faila veida tā algoritmos tiek izmantotas vairākas skulptūru veidošanas metodes.

Mūsdienu operētājsistēmas pilnībā neizdzēš izdzēstos failus bez lietotāja atļaujas. Izdzēstos failus var atgūt, izmantojot dažādus tiesu medicīnas rīkus un taktiku, ja izdzēstie faili netiek pievienoti citam failam. Bojātos failus var atgūt, ja dati nav bojāti līdz nepazīšanai.

Ir daudz atšķirību starp failu atkopšanu un failu griešanu. Failu atkopšanā tiek izmantota informācija no failu sistēmas; izmantojot šo informāciju, var atgūt vairākus failus. Ja informācija ir nepareiza, tā nedarbosies. Līdz ar failu griešanas parādīšanos likumsargi, tehnoloģiju profesionāļi un kriminālistikas speciālisti ir atraduši citu rīku, kuru var izmantot, lai atgūtu izdzēstos datus. Lai gan tas ne vienmēr ir ideāls un izsmalcināts, rīkiem patīk Galvenais, skalpelis, un Photorec ir padarījuši failu atpūtu vieglāku nekā jebkad agrāk.