Scouping de fichiers et récupération des données

Ethan Guillot
Scouping de fichiers et récupération des données
Le processus de récupération des données inaccessibles, formatées ou endommagées ou corrompues à partir d'un support de stockage lorsqu'elle n'est pas accessible par des méthodes normales est appelée Récupération de données. Les informations sont généralement récupérées à partir des supports de stockage; Par exemple, les disques durs internes et externes (disques durs); Drives à l'état solide (SSD); Drives flash; stockage magnétique, comme les CD et les DVD; Sous-systèmes RAID; et autres gadgets électroniques. La récupération pourrait être nécessaire en raison de dommages physiques aux périphériques de stockage ou à des dommages légitimes au système de fichiers, empêchant le système de monter par le système d'exploitation de travail hôte (OS). Un objectif définitif est de dupliquer tous les enregistrements fondamentaux des médias dommages à un nouveau lecteur. Il est possible de sauvegarder les informations en utilisant rapidement un CD ou un DVD en direct, en démarrant légitimement la ROM, plutôt que d'utiliser le lecteur ou l'appareil corrompu pour glaner les informations du système.

Les CD ou les DVD en direct offrent un moyen de démarrer le lecteur système, ainsi que le lecteur multimédia amovible ou fixe, vous permettant d'utiliser le gestionnaire de fichiers ou le logiciel pour charger le fichier. Un serveur de disque peut corrompre ces cas et stocker des fichiers de données précieux ou propriétaires dans des compartiments séparés dans les fichiers du système d'exploitation.

Sculpture de fichiers est une procédure utilisée dans l'enquête sur la scène du crime PC pour extraire les informations d'un disque dur ou d'autres périphériques de stockage sans l'aide du tableau du système de fichiers qui a créé le fichier d'origine en premier lieu. La sculpture de fichiers est une stratégie qui suppose le contrôle des documents dans un espace non alloué sans données et est utilisé pour récupérer des informations pour jouer un examen clinique informatisé. Ce processus a été initialement appelé «Design», qui est un terme général pour éliminer les informations organisées des informations brutes, à la lumière des attributs particuliers du modèle d'organisation des informations stockées.

Une méthode médico-légale qui récupére les documents dépend de la structure et du contenu des fichiers sans les métadonnées du système de fichiers appropriées. La sculpture de fichiers vous permet de récupérer les fichiers à partir d'un espace non alloué dans n'importe quel lecteur. La zone du lecteur indiqué par la structure du système de fichiers (table de fichiers) qui ne contient aucune information du système de fichiers est appelée espace non alloué.

Les structures du système de fichiers manquées ou endommagées peuvent affecter l'intégralité du lecteur. Autrement dit, de nombreux systèmes de fichiers ne suppriment pas les données lorsqu'ils sont supprimés. Au lieu de cela, cela élimine simplement la connaissance de leur lieu. Analyser les octets bruts et les mettre en ordre est le processus de base de la sculpture de fichiers. Ce processus est effectué par Examiner l'en-tête (premier octets) et le pied de page (derniers octets) d'un fichier.

La sculpture de fichiers est un excellent moyen de récupérer les fichiers et les fragments de fichiers lorsque le texte est endommagé ou manquant. Il est souvent utilisé par les professionnels du dépannage pour réexaminer les preuves. Un exemple de l'interdiction et la capacité d'évacuer les médias se sont produits lorsque les informations ont été retirées des camps d'Oussama ben Laden pendant l'attaque par la marine américaine. Les enquêteurs médico-légaux ont utilisé des méthodes de récupération de fichiers pour récupérer les données des disques et des systèmes utilisés dans les camps.

Présentation des systèmes de fichiers

UN Système de fichiers Is un type de base de données utilisée pour stocker, mettre à jour et récupérer des fichiers ou plusieurs nombres de fichiers. C'est une façon dont les fichiers sont archivés logiquement et nommés pour l'archivage et la récupération. Il existe différents types de systèmes de fichiers mentionnés ci-dessous:

Système de fichiers Windows: Microsoft Windows n'utilise que deux types de matières grasses et NTF.

  • GRAISSE, Ce qui signifie `` Table d'allocation de fichiers '', est le type le plus simple de système de fichiers contenant un secteur de démarrage, une table d'allocation de fichiers et un simple espace de stockage pour stocker des fichiers et des dossiers. Récemment, la graisse est venue en FAT16, FAT12 et FAT32. FAT32 est compatible avec les périphériques de stockage Windows. Windows ne peut pas créer un système de fichiers FAT32 avec un fichier supérieur à 32 Go.
  • NTFS, L'abréviation du «nouveau système de fichiers technologiques» est désormais un système de fichiers par défaut pour les fichiers supérieurs à 32 Go. Le chiffrement et le contrôle d'accès sont certaines propriétés principales de ce système de fichiers.

Système de fichiers Linux: Linux est un système d'exploitation open source largement utilisé et a été développé pour les tests et le développement. Ce système d'exploitation était destiné à utiliser différents concepts de système de fichiers. Dans Linux, il existe plusieurs types de systèmes de fichiers.

  • Ext2, ext3, ext4 - Ceci est le système de fichiers Linux local ou par défaut. Le système de fichiers racine est généralement mordant à l'ensemble de la distribution Linux. Le système de fichiers EXT3 est une excellente mise à jour du système de fichiers EXT2 précédemment utilisé; Il utilise l'opération de rédaction de fichiers transactionnels. EXT4 est un fichier d'extension qui prend en charge les informations EXT3 et l'attribution des fichiers.
  • Reiserfs - Le problème du système de fichiers est résolu en enregistrant beaucoup de petits fichiers à la fois. Il y a un bon rire par le gestionnaire de fichiers et l'autorisation du fichier compatible, le stockage du code de fichier, le fichier contient des métadonnées dans le mode de ne pas utiliser le système de fichiers grand en raison de sa taille.
  • XFS - Le système de fichiers XFS fonctionne bien et est largement utilisé pour l'archivage des fichiers. Ce type de système de fichiers est populaire sur les serveurs IRIX.
  • JFS - IBM a développé ce système de fichiers, et il est devenu un système de fichiers utilisé sur presque toutes les distributions Linux

Système de fichiers MacOS: Le système d'exploitation Apple Macintosh utilise uniquement le HFS + Système de fichiers sans l'extension du système de fichiers HFS. MacOS, iPhones, iPads et tous les autres produits Apple utilisent le HFS + système de fichiers. Certains produits du serveur Apple utilisent le système de fichiers HSCAN. Ce système de fichiers renommé garde une trace des informations liées à la vue des répertoires, à l'emplacement de Windows, etc.

Techniques de sculpture de fichiers

Au cours de l'enquête numérique, il est nécessaire d'analyser les différents types de médias. Des informations applicables peuvent être trouvées sur plusieurs périphériques de stockage et dans la mémoire PC. Divers types d'informations peuvent être décomposés, par exemple, les e-mails, les rapports électroniques, les journaux de framework et les enregistrements médiatiques. La sculpture de fichiers est une technique de récupération où seuls le contenu et la structure du fichier sont considérés plutôt que les métadonnées de fichier utilisées dans l'organisation des données sur le support de stockage.

Vous trouverez ci-dessous quelques terminologies de sculpture de fichiers à retenir:

  • Bloc - La plus petite taille des unités de données qui peuvent être écrites au stockage
  • Entête - Le point de départ du fichier.
  • Bas de page - Les derniers octets du fichier.
  • Fragment - Un ou plusieurs blocs appartiennent à un seul fichier.
  • Fragment de base - Premier fragment de conteneur de fichiers, l'en-tête du fichier.
  • Point de fragmentation - Le dernier bloc juste avant la fragmentation. Plusieurs fragments dans n'importe quel fichier entraînent plusieurs points de fragmentation.

Les techniques de sculpture de fichiers universelles d'entreprise suprême sont les suivantes:

  • Technique d'en-tête (ou en-tête - «Taille maximale du fichier») - La stratégie de base ici consiste à sculpter des fichiers en fonction du titre et de l'écriture manuscrite ou des fichiers totaux.
  1. Fichiers d'extension JPG ou JPEG - «\ Xff \ xd8» et «\ xff \ xd9."
  2. Gif - intitulé «\ x47 \ x49 \ x46 \ x38 \ x37 \ x61» et «\ x00 \ x3b».
  3. TVP: «! Bdn ».
  4. Si le système de fichiers n'a pas de base, le nombre maximum de fichiers utilisés dans le programme de sculpture.
  • Sculpture basée sur la structure de fichiers
  1. La disposition interne du fichier est utilisée comme technique de base.
  2. En-tête, pied de page, chaînes d'identification et informations sur la taille sont des éléments de base.
  • Sculpture basée sur le contenu

La structure du contenu est gratuite (Mbox, HTML, XML)

  • Caractéristiques du matériau
  1. Compter les caractères
  2. Reconnaissance de texte / langue
  3. Liste de données en noir et blanc
  4. Information Entropie
  5. Caractéristiques statistiques (Chi2)

Sculpter un fichier (sans utiliser d'outil)

Ensuite, nous verrons comment se tailler un .Fichier JPEG sans utiliser un outil. Tout d'abord, nous devons connaître la structure du .Fichier JPEG (en-tête et pied de page, etc.). Pour ce faire, nous ouvrirons un .image jpeg dans le Hexagonal éditeur pour examiner ce que l'en-tête et le pied de page du .Le fichier jpeg ressemble à.

Ici, nous avons trouvé l'en-tête de fichier ( Ffd8ffe0). Maintenant, pour trouver le pied de page, nous examinerons les derniers octets du fichier.

Ici, nous avons le pied de page ou la remorque de fichier (Ffd9).

Si vous avez un document avec une image, vous pouvez tailler l'image en connaissant son en-tête et son pied de page.

Maintenant, nous avons un fichier Word avec une image dedans. Nous allons tailler l'image en utilisant cette technique.

La première chose que nous devons faire est d'ouvrir ce document Word avec le Hexagonal Éditeur en cliquant Fichier >> Ouvrir.

Ici, nous pouvons voir un chiffre montrant les données du fichier Word sous forme hexadécimale. Comme nous le savons déjà, le .Le fichier jpeg a une valeur d'en-tête de Ffd8ffe0, Nous allons donc rechercher l'en-tête de fichier en appuyant sur Ctrl + f ou Rechercher >> Fichier et saisir la valeur de l'en-tête connue (sélectionner le type de données de valeur hexagonale est très important dans cette étape).

Nous trouverons une valeur de signature au décalage 14FD.

Ensuite, nous devons rechercher un pied de page ou une remorque. Nous savons que le .Le fichier jpeg a une valeur de pied de page de Ffd9, Nous allons donc rechercher le pied de page en appuyant sur Ctrl + f ou Rechercher >> Fichier et saisir la valeur du pied de page connu (sélectionner le type de données de valeur hexagonale est très important.

Nous trouverons une valeur de pied de page à décalage 2adb.

Actuellement, nous avons l'en-tête et le pied de page d'un document JPEG et, comme nous l'avons récemment dit, entre l'en-tête et le pied de page est l'information d'un enregistrement JPEG. Ici, nous reproduisons le carré entier d'informations avec l'en-tête et le pied de page et les stockons comme un autre fichier.

Aller à Modifier >> Sélectionner le bloc et entrez les deux termes suivants:

Décalage d'en-tête de fichier: 14FD

Décalage de pied de page de fichier: 2adb

Après avoir entré ces valeurs, l'ensemble .Le fichier jpeg sera marqué en bleu. Pour l'enregistrer en tant que DFIle, copiez-le en cliquant avec le bouton droit et en sélectionnant Copie, ou en appuyant Ctrl + c. Ensuite, nous collerons les informations dans un nouveau fichier. Une boîte de dialogue apparaîtra, et nous cliquerons D'ACCORD. Maintenant, nous sommes prêts à enregistrer le fichier en cliquant Fichier >> Enregistrer sous ou pressant Ctrl + s. Si vous ouvrez ce fichier copié, vous verrez la même image que dans le document d'origine. Ceci est la technique de base pour la sculpture des fichiers multimédias.

Outils de sculpture de données

Les outils de récupération des données jouent un rôle important dans la plupart des enquêtes médico-légales, car les attaquants intelligents essaient toujours d'effacer les preuves de leurs crimes. Voici quelques outils importants de récupération de données dans Linux et les fenêtres.

  • Avant tout (outil de sculpture de fichiers)

Pour récupérer les fichiers perdus en raison de leurs structures de données internes, de leurs en-têtes et de leurs pieds de page, avant toute chose, peut être utilisé. Le plus important prend généralement la contribution dans divers formats d'image, tels que les formats AFF ou RAW, qui peuvent être générés à l'aide d'une variété d'outils, tels que FTK Imageer, DD, Encase, etc. Vous pouvez accéder à la page d'aide de l'avant pour apprendre et explorer ses commandes puissantes en utilisant la commande suivante:

Ubuntu @ Ubuntu: ~ $ avant tout -h
Récupérer les fichiers à partir d'une image disque en fonction des types de fichiers spécifiés par le
Utilisateur utilisant le commutateur -T.
Prise en charge JPG pour les formats JFIF et EXIF, y compris les implémentations
Utilisé dans les caméras numériques modernes.
gif
PNG
Prise en charge du BMP pour le format BMP Windows.
avi
La prise en charge EXE pour les binaires Windows PE extraire les fichiers DLL et EXE
avec leurs temps de compilation.
Prise en charge MPG pour la plupart des fichiers MPEG (doit commencer par 0x000001ba)
wav
riff cela extrait Avi et Riff car ils utilisent le même fichier pour-
Mat (riff). Remarquez plus rapidement que l'exécution de chacun séparément.
La note WMV peut également extraire les fichiers WMA car ils ont un format similaire.
ole cela saisira n'importe quel fichier en utilisant la structure de fichiers ole. Ce
Comprend PowerPoint, Word, Excel, Access et Starwriter
Doc Remarque Il est plus efficace de s'exécuter à mesure que vous obtenez plus
Votre argent. Si vous souhaitez ignorer tous les autres fichiers OLE, utilisez
ce.
Zip note qu'il extrait .Les fichiers JAR également car ils utilisent un similaire
format. Les documents de bureau ouverts ne sont que des fichiers XML zipés, donc ils
sont également extraits. Il s'agit notamment de SXW, SXC, SXI et SX? pour
Fichiers OpenOffice indéterminés. Les fichiers Office 2007 sont également XML
Basé (PPTX, DOCX, XLSX)
rare
htm
Détection du code source CPP C, notez que c'est primitif et peut générer
Documents autres que le code C.
Prise en charge MP4 pour les fichiers MP4.
tous exécutent toutes les méthodes d'extraction prédéfinies. [Par défaut si non -t est
spécifié]
  • Binwalk

Binwalk est utilisé pour gérer les bibliothèques binaires et extraire des données importantes des images du micrologiciel. Cet outil est idéal pour ceux qui savent l'utiliser. Binwalk est considéré comme l'un des meilleurs outils disponibles pour l'ingénierie inverse et l'extraction d'images du micrologiciel. Binwalk est facile à utiliser et est livré avec d'énormes capacités. Vous pouvez accéder à la page d'aide de Binwalk pour en savoir plus en utilisant la commande suivante:

Ubuntu @ Ubuntu: ~ $ Binwalk - Help Signature Scan Options:
-B, - Signature Analyse des fichiers cibles pour les signatures de fichiers communes
-R, --RAW = Scan Fichier cible (s) pour la séquence spécifiée des octets
-A, - Opcodes Analyser les fichiers cibles pour les signatures d'opcode exécutables communs
-m, - magic = spécifiez un fichier magique personnalisé à utiliser
-B, - Dumb Désactiver les mots clés de signature intelligente
-I, - invalid montre des résultats marqués comme invalides
-x, --exclude = exclure les résultats qui correspondent
-y, --include = affiche uniquement des résultats qui correspondent
Options d'extraction:
-E, - Extrait extraire automatiquement les types de fichiers connus
-D, --dd = extraire les signatures, donner aux fichiers une extension et exécuter
-M, --Matryoshka scanner récursivement les fichiers extraits
-D, --pth = Limit Matryoshka Recursion Profondeur (par défaut: 8 niveaux de profondeur)
-C, --directory = extraire les fichiers / dossiers dans un répertoire personnalisé (par défaut: répertoire de travail actuel)
-j, --ze = limiter la taille de chaque fichier extrait
-n, --count = limiter le nombre de fichiers extraits
-r, --rm Supprimer les fichiers sculptés après l'extraction
-Z, - - CARVE CARVE DES DONNÉES DE FICHIERS, mais n'exécutez pas les utilitaires d'extraction
Options d'analyse d'entropie:
-E, --Entropy Calculer l'entropie du fichier
-F, - Utiliser une analyse d'entropie plus rapide, mais moins détaillée
-J, - SAVE SAVE PLOT AS A PNG
-Q, --nlegend omettre la légende du graphique du tracé de l'entropie
-N, --nplot ne générez pas de graphique de tracé d'entropie
-H, --high = définir le seuil de déclenchement d'entropie de bord montant (par défaut: 0.95)
-L, --Low = Définissez le seuil de déclenchement d'entropie de bord de la chute (par défaut: 0.85)
Options de difficulté binaire:
-W, - hexdump effectuer un hexdump / diff d'un fichier ou de fichiers
-G, - Green affiche uniquement des lignes contenant des octets qui sont les mêmes parmi tous les fichiers
-I, - Red Afficher uniquement les lignes contenant des octets différents entre tous les fichiers
-U, --blue affiche uniquement des lignes contenant des octets différents entre certains fichiers
-w, --terse diff tous les fichiers, mais affiche uniquement un vidage hexagonal du premier fichier
Options de compression brutes:
-X, - Déflaçant la balayage pour les flux de compression dégonflés bruts
-Z, --LZMA SCAN pour les flux de compression LZMA bruts
-P, - Partial Effectuez un scan superficiel, mais plus rapide,
-S, - stop s'arrêter après le premier résultat
Options générales:
-l, --longueur = nombre d'octets à scanner
-o, --Offset = Démarrer la numérisation à ce décalage de fichier
-O, --base = ajouter une adresse de base à tous les décalages imprimés
-K, --block = set la taille du bloc de fichiers
-g, --wap = inverser chaque n octets avant de scanner
-F, --log = Résultats du journal au fichier
-C, - CSV Log Résultats à fichier au format CSV
-T, - sortie de format terme pour s'adapter à la fenêtre du terminal
-Q, - Crésiter la sortie de STDOUT
-V, --verbose Activer la sortie verbale
-h, - help afficher la sortie d'aide
-a, ---Finclude = uniquement des fichiers de numérisation dont les noms correspondent à ce regex
-p, --fexclude = ne pas numériser des fichiers dont les noms correspondent à ce regex
-s, --status = activer le serveur d'état sur le port spécifié

Récupérer les données des disques formatés

Les outils de récupération de données doivent être sélectionnés avec soin pour récupérer les informations à partir de disques formatés, de disques flash USB et de cartes mémoire. Des outils conçus pour effectuer diverses activités peuvent produire des résultats inattendus. Ci-dessous, nous examinerons certaines des différences entre divers outils de récupération de données pour la correction des données dans les disques formatés.

Malgré

La première erreur fatale que de nombreux utilisateurs d'ordinateurs font lors de la mise en forme accidentelle de leurs lecteurs consiste à trouver, installer et utiliser des outils «non formatés». Il existe de nombreux outils sur le marché; Certains sont commerciaux et d'autres sont des produits gratuits. Le but de ces outils est de reconstruire ou de recréer le disque préformaté en restaurant le système de fichiers.

Bien que cela puisse sembler une approche viable de l'inexpérimentation, cela pourrait finir par être une plus grande erreur que de perdre les fichiers en premier lieu. Le formatage du disque rinçait le système de fichiers d'origine, le remplaçant au moins en partie, généralement au début. Lorsque vous essayez de restaurer votre ancien système de fichiers, le mieux que vous puissiez obtenir est un disque lisible avec certains de vos fichiers. Tout ne peut pas être récupéré exactement tel qu'il était de cette façon, et les fichiers les plus précieux peuvent être compromis, avec seulement des échantillons aléatoires des fichiers d'origine sur le disque. Lorsque vous pensez à «formater» un lecteur système, oubliez-le; Au moins certains fichiers système seront partis. Même si vous pouvez démarrer le système d'exploitation, vous n'obtiendrez jamais de système stable.

Ne supporter

La deuxième erreur que de nombreux utilisateurs d'ordinateurs feront est d'utiliser des outils de récupération. Bien que ces outils existent et ont tendance à faire leur travail de bonne foi, ils ne sont pas conçus pour gérer les disques avec un système de fichiers exclu. Même avec certains des meilleurs outils de récupération, tels que la récupération du fichier RS, vous pouvez supprimer plusieurs fichiers, mais c'est à peu près tout.

Récupération de partition

Pour récupérer des fichiers, vous devez rechercher un outil de récupération de partition comme la récupération de la partition RS. Conçu pour gérer les disques distribués, formatés et endommagés, cet outil peut scanner toute la surface d'un disque ou d'une partition pour récupérer tout ce qu'il peut trouver. Même si le système de fichiers est vide ou supprimé, cet outil peut récupérer de nombreux types de fichiers, tels que des documents, des images et des vidéos, via sa fonction de signature. Cependant, bien que les outils de récupération segmentés soient de premier ordre pour la récupération des données, ils sont généralement assez chers. Si vous souhaitez seulement récupérer un disque formaté, il peut être utile de rechercher et d'enregistrer à la place.

Récupération des graisses et des NTF

Vous pouvez économiser jusqu'à 40% sur le coût de la récupération RS de partition en choisissant un outil qui ne récupère que les disques de Fat ou NTFS. N'oubliez pas que vous devrez acheter un outil qui convient au système de fichiers d'origine et non à celui écrit ci-dessus. Si le lecteur d'origine est NTFS, obtenez le NTFS Recovery RS. S'il est gras ou gras32, obtenez la récupération des graisses RS. De cette façon, vous obtiendrez les mêmes outils de qualité, mais vous serez limité à la mise en forme des graisses ou des NTF. C'est le choix parfait pour un travail unique.

Fichiers de sculpture (à l'aide d'un outil)

Photoore est un logiciel génial utilisé pour sculpter des fichiers et en particulier les fichiers JPEG ou l'image (c'est pourquoi il s'appelle Photo Recovery). Photorec surplombe le cadre du document et poursuit les informations de base, donc cela fonctionnera, que le cadre d'enregistrement de votre média ait été gravement blessé ou reformaté. Photoore est facilement accessible sur les systèmes d'exploitation Windows.

Par exemple, nous récupérerons les fichiers d'image à partir d'un lecteur flash de 8 Go à l'aide de cet outil.

Tout d'abord, exécutez le Photoore.exe fichier et lancer l'application. Nous verrons un écran comme ceci:

Ici, nous avons toutes les partitions qui montrent. Nous sélectionnerons / K comme notre cible souhaitée à partir de laquelle récupérer les données.

Nous pouvons voir quel système de fichiers cette partition utilise ici, et il y a quatre options en bas.

Recherche - Cela recherchera la partition qui contient des fichiers pour la récupération.
Options - Utilisé pour les modifications mineures des options.
Fichier Opt - Utilisé pour modifier les types de fichiers à récupérer.
Arrêter - Quitte le processus.

Nous sélectionnerons Fichier Opt (Options de fichiers):

Cela nous donnera des options pour sélectionner les fichiers que nous voulons récupérer à partir de la partition souhaitée. Pressage S dénoncera toutes les options. Nous sélectionnerons Images jpg, Comme nous voulons seulement récupérer les fichiers d'image à partir du lecteur. Ensuite, nous appuyerons sur B.

Pour sélectionner le Système de fichiers, Revenez aux options principales et sélectionnez Autre. Quant aux options de récupération, nous avons deux choix:

  • récupérer du Partion entière
  • récupérer de espace non alloué uniquement (FAT12, FAT16, FAT32, ext1, ext2, ext3, etc.). En utilisant cette option, seuls les fichiers qui ont été supprimés seront récupérés.

Maintenant, tout ce que nous devons faire est de définir l'emplacement où les fichiers supprimés seront récupérés. Après cela, le processus de récupération commencera et se terminera après avoir pris un certain temps. Ensuite, nous rechercherons les fichiers récupérés à l'emplacement du jeu. Les fichiers d'image récupérés seront là.

Conclusion

Sculpture de fichiers est un terme d'ordinateur médico-légal bien connu pour décrire l'identification des types de fichiers et les supprimer des clusters non subordonnés à l'aide de signatures de fichiers. Une signature de fichier, également connue sous le nom de nombre magique, est une valeur de texte numérique ou permanente utilisée pour identifier le format de fichier. Extraction de fichiers ou de données est un terme utilisé dans le domaine de l'informatique médico-légale. Un informatisé enquête médico-légale est une acquisition, une vérification, une analyse et une documentation des preuves contenues dans un système informatique, un réseau d'ordinateurs ou d'autres formes de supports numériques. Extraire des données significatives à partir de données brutes est appelée sculpture.

Sculpting de fichiers est l'identification et la récupération des fichiers basés sur l'analyse du format. Dans l'informatique médico-légale, la sculpture est un moyen utile de trouver des fichiers cachés ou supprimés sur les médias numériques. Ffiles peut être caché dans des zones telles que des clusters perdus, des clusters non alloués et des disques en lecture ou des médias numériques. Pour utiliser cette méthode d'extraction, un fichier doit avoir une signature standard, appelée un en-tête de fichier, au début du fichier. Pour obtenir l'en-tête de fichier, l'outil de récupération continuera de demander jusqu'à ce qu'il atteigne le pied de page du fichier à la fin du fichier. Les données entre l'en-tête et le pied de page sont extraites et analysées pour assurer l'intégrité. Plusieurs méthodes de sculpture sont utilisées dans ses algorithmes, selon le type de fichier.

Les systèmes d'exploitation modernes ne suppriment pas entièrement les fichiers supprimés sans autorisation de l'utilisateur. Les fichiers supprimés peuvent être récupérés via divers outils et tactiques médico-légaux si les fichiers supprimés ne sont pas ajoutés à un autre fichier. Les fichiers endommagés peuvent être récupérés si les données ne sont pas endommagées au-delà de la reconnaissance.

Il y a beaucoup de différence entre la récupération des fichiers et la sculpture de fichiers. La récupération de fichiers utilise des informations du système de fichiers; En utilisant ces informations, plusieurs fichiers peuvent être récupérés. Si les informations sont incorrectes, cela ne fonctionnera pas. Avec l'avènement de la sculpture de fichiers, des forces de l'ordre, des professionnels de la technologie et des professionnels de la criminalistique ont trouvé un autre outil qui peut être utilisé pour récupérer les données supprimées. Bien qu'il ne soit pas toujours parfait et raffiné, des outils comme Avant tout, scalpel, et Photoore ont rendu les loisirs de fichiers plus faciles que jamais.

Commandes Linux
Commandes iPerf3
Tutoriel pratique sur les commandes de base pour IPERF3, comment l'installer dans Linux et comment e...
Julien Dumas
Java
Exemples de méthode Java
Tutoriel sur les méthodes Java, comment utiliser les modificateurs d'accès pour définir la portée de...
Mohamed Benoit
Salesforce
Salesforce Apex - Format de date
Tutoriel pratique sur la façon de créer la date à partir de la chaîne dans Salesforce et de converti...
Pauline Giraud
Python
Groupe Pandas par quantile
Julien Dumas
Python
Étiquettes de l'axe marin
Julien Dumas
Python
Python Chmod
Lola Bonnet
Docker
Qu'est-ce que les montures Docker Bind?
Zoe Martinez
Javascrip
Comment utiliser GetElementsByTagName Méthode dans JavaScript
Ethan Guillot
Docker
Comment puis-je répertorier toutes les commandes Docker?
Julien Dumas
AWS
Qu'est-ce qu'une instance et comment l'utiliser dans EC2?
Julien Dumas
AWS
Quelles sont les fonctions de pas AWS et comment les utiliser?
Ethan Guillot
C programmation C
Comment trouver la valeur ASCII d'un caractère en programmation C?
Gabriel Bernard
C ++
Comprendre lors de la boucle en C ++
Lena Martinez