Rzeźbienie plików i odzyskiwanie danych
CDS na żywo lub DVD oferują sposób uruchamiania dysku systemowego, a także wymiennego lub ustalonego dysku, co umożliwia korzystanie z menedżera plików lub oprogramowania do ładowania pliku. Serwer dysków może uszkodzić te przypadki i przechowywać cenne lub zastrzeżone pliki danych w osobnych przedziałach w plikach systemu operacyjnego.
Rzeźbienie plików jest procedurą stosowaną w dochodzeniu na miejscu zbrodni na komputery w celu wyodrębnienia informacji z dysku twardego lub innych urządzeń pamięci masowej bez pomocy tabeli systemów plików, która utworzyła oryginalny plik. Rzeźbienie plików to strategia, która zakłada kontrolę nad dokumentami w nie do zorganizowanej przestrzeni bez danych i jest wykorzystywana do odzyskiwania informacji w celu odtworzenia skomputeryzowanego badania klinicznego. Proces ten został początkowo nazywany „projektem”, który jest ogólnym terminem do usuwania zorganizowanych informacji z surowych informacji, w świetle konkretnych atrybutów wzorca organizacji przechowywanych informacji.
Metoda kryminalistyczna, która odbiera dokumenty zależy od struktury i zawartości plików bez odpowiednich metadanych systemu plików. Rzeźbienie plików pozwala odzyskać pliki z niewykonanego miejsca na dowolnym dysku. Obszar napędu wskazany przez strukturę systemu plików (tabela plików), która nie przechowuje żadnych informacji o systemie plików, nazywa się przestrzenią niewykonaną.
Brakujące lub uszkodzone struktury systemu plików mogą wpływać na cały dysk. Mówiąc najprościej, wiele systemów plików nie usuwa danych po ich usunięciu. Zamiast tego po prostu eliminuje wiedzę o tym, skąd pochodzi. Skanowanie surowych bajtów i uporządkowanie ich jest podstawowym procesem rzeźbienia plików. Ten proces jest wykonywany przez Badanie nagłówka (pierwsze bajty) i stopka (ostatnie bajty) pliku.
Rzeźbienie plików to doskonały sposób na odzyskanie plików i fragmentów plików, gdy tekst jest uszkodzony lub brakuje. Jest często używany przez profesjonaliści w rozwiązywaniu problemów w celu ponownego zbadania dowodów. Przykład zakazu i zdolności do ewakuacji mediów wystąpił, gdy informacje zostały usunięte z obozów Osamy Bin Ladena podczas ataku amerykańskiej marynarki wojennej. Badacze kryminalistyki wykorzystali metody odzyskiwania plików do odzyskiwania danych z napędów i systemów używanych w obozach.
Przegląd systemów plików
A System plików is rodzaj bazy danych używanej do przechowywania, aktualizacji i pobierania plików lub kilku liczb plików. Jest to sposób, w jaki pliki są zarchiwizowane logicznie i nazwane do archiwizacji i odzyskiwania. Istnieją różne typy systemów plików wymienionych poniżej:
System plików Windows: Microsoft Windows używa tylko dwóch rodzajów tłuszczu i NTF.
- TŁUSZCZ, Co oznacza „tabela alokacji plików”, jest najprostszym typem systemu plików zawierającego sektor rozruchowy, tabelę alokacji plików i proste miejsce do przechowywania plików i folderów. Niedawno Fat w Fat16, Fat12 i Fat32. FAT32 jest kompatybilny z urządzeniami pamięciami opartymi na systemie Windows. Windows nie może utworzyć systemu plików FAT32 z plikiem większym niż 32 GB.
- NTFS, Skrót „Nowego systemu plików technologii” jest teraz domyślnym systemem plików dla plików większych niż 32 GB. Szyfrowanie i kontrola dostępu to niektóre główne właściwości tego systemu plików.
System plików Linux: Linux jest szeroko stosowanym systemem operacyjnym open source i został opracowany do testowania i rozwoju. Ten system operacyjny miał użyć różnych koncepcji systemu plików. W Linux istnieje kilka rodzajów systemów plików.
- Ext2, ext3, ext4 - To jest lokalny lub domyślny system plików Linux. Główny system plików jest na ogół MCEPPRED do całego rozkładu Linuksa. System plików ext3 jest doskonałą aktualizacją wcześniej używanego systemu plików Ext2; używa transakcyjnej operacji pisania plików. Ext4 to plik rozszerzenia, który obsługuje informacje o ext3 i przypisanie plików.
- Reiserfs - Problem systemu plików jest rozwiązany przez zapisywanie wielu małych plików jednocześnie. Menedżer plików jest dobry śmiech i zgoda kompatybilnego pliku, przechowywanie kodu pliku, plik zawiera metadane w trybie braku korzystania z dużego systemu plików ze względu na jego rozmiar.
- XFS - System plików XFS działa dobrze i jest powszechnie używany do archiwizacji plików. Ten typ systemu plików jest popularny na serwerach Irix.
- JFS - IBM opracował ten system plików i stał się systemem plików używanym w prawie wszystkich rozkładach Linux
System plików macOS: System operacyjny Apple Macintosh używa tylko HFS + System plików bez rozszerzenia systemu plików HFS. MacOS, iPhone'y, iPady i wszystkie inne produkty Apple używają HFS + system plików. Niektóre produkty Apple Server używają systemu plików HSCAN. Ten słynny system plików śledzi informacje związane z widokiem katalogów, lokalizacji systemu Windows itp.
Techniki rzeźbienia plików
Podczas badania cyfrowego konieczne jest analiza różnych rodzajów mediów. Odpowiednie informacje można znaleźć na kilku urządzeniach pamięci i pamięci komputerowej. Różne rodzaje informacji mogą zostać rozbite, na przykład e -mail, raporty elektroniczne, dzienniki framework i rekordy mediów. Rzeźbienie plików to technika odzyskiwania, w której rozważana jest tylko zawartość i struktura pliku, a nie metadane plików używane w organizacji danych na medium pamięci masowej.
Poniżej znajdują się kilka terminologii rzeźbienia plików, które należy pamiętać:
- Blok - Najmniejszy rozmiar jednostek danych, które można zapisać w celu przechowywania
- nagłówek - Punkt początkowy pliku.
- Stopka - Ostatnie bajty pliku.
- Fragment - Jeden lub kilka bloków należy do jednego pliku.
- Fragmentacja bazowa - Pierwszy fragment kontenera plików, nagłówek pliku.
- Punkt fragmentacji - Ostatni blok tuż przed fragmentacją ma miejsce. Wiele fragmentów w dowolnym pliku powoduje kilka punktów fragmentacji.
Najwyższe korporacyjne uniwersalne techniki rzeźbienia plików są następujące:
- Technika nagłówka (lub nagłówek-„maksymalny rozmiar pliku”) - Podstawową strategią tutaj jest wycięcie plików na podstawie tytułu i pisma ręcznego lub plików całkowitych.
- Pliki rozszerzenia JPG lub JPEG - „\ Xff \ xd8” i „\ xff \ xd9."
- Gif - zatytułowany „\ x47 \ x49 \ x46 \ x38 \ x37 \ x61” i stopka „\ x00 \ x3b”.
- Pst: „! Bdn ”na czele bez stopek.
- Jeśli system plików nie ma bazy, maksymalna liczba plików używanych w programie rzeźby.
- Rzeźbienie oparte na strukturze plików
- Wewnętrzny układ pliku jest używany jako podstawowa technika.
- Nagłówek, stopa, sznurki identyfikacyjne i informacje o rozmiarze są podstawowymi elementami.
- Rzeźba oparta na treści
Struktura treści jest bezpłatna (MBOX, HTML, XML)
- Charakterystyka materiału
- Policz postacie
- Rozpoznawanie tekstu / języka
- Czarna i biała lista danych
- Entropia informacji
- Charakterystyka statystyczna (chi2)
Rzeźbienie pliku (bez użycia żadnego narzędzia)
Następnie zobaczymy, jak wyrzeźbić .plik JPEG bez korzystania z narzędzia. Najpierw musimy znać strukturę .plik JPEG (nagłówek i stopa itp.). Aby to zrobić, otworzymy .Obraz JPEG w Klątwa redaktor, aby zbadać, co nagłówek i stopa .Plik JPEG wygląda jak.
Tutaj znaleźliśmy nagłówek plików ( Ffd8ffe0). Teraz, aby znaleźć stopkę, zbadamy ostatnie bajty w pliku.
Tutaj mamy stopę lub przyczepę plików (FFD9).
Jeśli masz dokument z obrazem, możesz wyrzeźbić obraz, znając jego nagłówek i stopkę.
Teraz mamy plik słów z obrazem. Wykonamy obraz za pomocą tej techniki.
Pierwszą rzeczą, którą musimy zrobić, to otworzyć ten dokument słów za pomocą Klątwa Edytor, klikając Plik >> Otwórz.
Tutaj możemy zobaczyć figurę pokazującą dane pliku słowa w formie szesnastkowej. Jak już wiemy, .plik JPEG ma wartość nagłówka Ffd8ffe0, Więc przeszukamy nagłówek pliku, naciskając Ctrl + f Lub Wyszukaj >> plik i wprowadzenie znanej wartości nagłówka (wybór typu danych wartości sześciokątnej jest bardzo ważne na tym etapie).
Znajdziemy wartość podpisu na przesunięciu 14fd.
Następnie musimy szukać stopki lub przyczepy. Wiemy, że .plik JPEG ma wartość stopki FFD9, Więc przeszukamy stopkę pliku, naciskając Ctrl + f Lub Wyszukaj >> plik i wprowadzenie znanej wartości stopki (wybór typu danych wartości sześciokątnej jest bardzo ważne.
Znajdziemy wartość stopki na przesunięciu 2ADB.
Obecnie mamy nagłówek i stopkę dokumentu JPEG, a, jak niedawno stwierdziliśmy, między nagłówkiem a stopą jest informacja o rekordzie JPEG. Tutaj zduplikujemy cały kwadrat informacji z nagłówkiem i stopą i przechowujemy je jako kolejny plik.
Iść do Edytuj >> Wybierz blok i wprowadź oba następujące warunki:
Przesunięcie nagłówka pliku: 14fd
Przesunięcie stopki pliku: 2ADB
Po wprowadzeniu tych wartości cała .plik JPEG będzie oznaczony niebieskimi. Aby zapisać go jako DFILE, skopiuj go, klikając prawym przyciskiem myszy i wybierając Kopiuj, lub naciskając Ctrl + c. Następnie wklejemy informacje w nowym pliku. Pojawi się okno dialogowe, a my klikniemy OK. Teraz jesteśmy gotowi zapisać plik, klikając Plik >> Zapisz jako lub naciskanie Ctrl + s. Jeśli otworzysz ten skopiowany plik, zobaczysz ten sam obraz, co w oryginalnym dokumencie. To jest podstawowa technika rzeźbienia plików multimedialnych.
Narzędzia do rzeźbienia danych
Narzędzia do odzyskiwania danych odgrywają ważną rolę w większości badań kryminalistycznych, ponieważ inteligentni atakujący zawsze starają się wymazać dowody swoich przestępstw. Poniżej wymieniono kilka ważnych narzędzi do odzyskiwania danych w Linux I Okna.
- Przede wszystkim (narzędzie do rzeźbienia plików)
Aby odzyskać pliki utracone ze względu na ich wewnętrzne struktury danych, nagłówki i stopki, główny, może być użyte. Przede wszystkim zwykle przyjmuje dane wejściowe w różnych formatach obrazów, takich jak formaty aff lub surowe, które można wygenerować za pomocą różnych narzędzi, takich jak FTK Imager, DD, Encase itp. Możesz przejść do strony pomocy ForeMost, aby uczyć się i odkrywać jej potężne polecenia za pomocą następującego polecenia:
Ubuntu@ubuntu: ~ $ najważniejsze -hOdzyskaj pliki z obrazu dysku na podstawie typów plików określonych przez
Użytkownik używa przełącznika -T.
Obsługa JPG dla formatów JFIF i EXIF, w tym implementacje
używane w nowoczesnych aparatach cyfrowych.
Gif
png
Obsługa BMP dla formatu BMP Windows.
Avi
Obsługa EXE dla plików binarnych Windows PE wyodrębni pliki DLL i EXE
wraz z czasem kompilacji.
Obsługa MPG dla większości plików MPEG (musi zacząć od 0x000001ba)
WAV
riff to wyodrębni AVI i riff, ponieważ używają tego samego pliku dla
Mat (riff). Zanotuj szybciej niż uruchomienie każdego osobno.
Uwaga WMV może również wyodrębniać pliki WMA, ponieważ mają podobny format.
OLE To pobije dowolny plik za pomocą struktury pliku OLE. Ten
Zawiera PowerPoint, Word, Excel, Access i Starwriter
Dokument zauważ, że jest bardziej wydajne, aby uruchomić ole, ponieważ otrzymujesz więcej huku
Twoja złotówka. Jeśli chcesz zignorować wszystkie inne pliki OLE, użyj
Ten.
Uwaga .Pliki JAR również, ponieważ używają podobnego
format. Otwarte dokumenty biurowe to tylko pliki XML zip'd, więc one
są również wyodrębnione. Należą do nich SXW, SXC, SXI i SX? Do
Nieokreślone pliki OpenOffice. Pliki Office 2007 to także XML
oparte (PPTX, DOCX, XLSX)
RAR
HTM
Wykrywanie kodu źródłowego CPP C, zauważ, że jest to prymitywne i może się generować
dokumenty inne niż kod C.
Obsługa MP4 dla plików MP4.
Wszystkie uruchamiają wszystkie predefiniowane metody ekstrakcji. [Domyślnie, jeśli no -t jest
określony]
- Binwalk
Binwalk Służy do zarządzania bibliotekami binarnymi i wyodrębnienia ważnych danych z obrazów oprogramowania układowego. To narzędzie jest świetne dla tych, którzy wiedzą, jak z niego korzystać. Binwalk jest uważany za jedno z najlepszych dostępnych narzędzi do inżynierii odwrotnej i wyodrębniania obrazów oprogramowania układowego. Binwalk jest łatwy w użyciu i ma ogromne możliwości. Możesz przejść do strony pomocy Binwalk, aby dowiedzieć się więcej za pomocą następującego polecenia:
Ubuntu@ubuntu: ~ $ binwalk -Help podpis opcje skanowania:-B, -Plik docelowy skanowania skanowania Signature dla wspólnych podpisów plików
-R, - -RAW = Skanowanie docelowe (y) do określonej sekwencji bajtów
-A, --pcodes skanowanie plików docelowych dla wspólnych podpisów opcji wykonywalnych
-m, - -Magic = określ niestandardowy plik magiczny do użycia
-B, -DUMB Wyłącz słowa kluczowe Smart Signature
-I, --invalid pokazuj wyniki oznaczone jako nieprawidłowe
-x, -exclude = wyklucz wyniki, które pasują
-y, -Include = pokazuj tylko wyniki, które pasują
Opcje ekstrakcji:
-e, -Ekstrację automatycznie wyodrębnia znane typy plików
-D, - -dd = wyodrębnij podpisy, podaj pliki rozszerzenie i wykonanie
-M, -Matryoshka rekurencyjnie skanuje pliki wyodrębnione
-D, -Depth = Ogranicz głębokość rekurencji Matryoshka (domyślnie: 8 poziomów głębokich)
-C, - -Directory = wyodrębnij pliki/foldery do niestandardowego katalogu (domyślnie: bieżący katalog roboczy)
-j, - -size = ogranicz rozmiar każdego wyodrębnionego pliku
-n, - -Count = ogranicz liczbę wyodrębnionych plików
-R, - -RM Usuń rzeźbione pliki po ekstrakcji
-Z, -Carve rzeźbowy z plików, ale nie wykonywaj narzędzi do ekstrakcji
Opcje analizy entropii:
-E, -Entropia Oblicz entropię pliku
-F, -Faster Użyj szybciej, ale mniej szczegółowej analizy entropii
-J, - -Save Save Fout jako PNG
-Q, -NLEGEND pomiń legendę z wykresu fabuły entropii
-N, -nplot nie generuje entropii wykresu wykresu
-H, - -high = ustaw próg spustu entropii rosnącej krawędzi (domyślnie: 0.95)
-L, - -Low = ustaw próg spustowej entropii entropii upadającej (domyślnie: 0.85)
Opcje różnicowe binarne:
-W, - -hexdump wykonaj sześciokątną / różnicę pliku lub plików
-G, -zielone tylko pokazują linie zawierające bajty, które są takie same wśród wszystkich plików
-I, -RED Pokaż tylko wiersze zawierające bajty, które są różne między wszystkimi plikami
-U, --blue pokaż tylko wiersze zawierające bajty, które różnią się między niektórymi plikami
-W, --tere Diff All Files, ale wyświetl tylko zrzut sześciokątny pierwszego pliku
Opcje surowego kompresji:
-X, -deflate skanowanie surowego sprężania strumieni kompresji
-Z, -LZMA SKAN dla surowych strumieni kompresji LZMA
-P, -Partial wykonuj powierzchowne, ale szybsze, skanuj
-S, -Stop Stop po pierwszym wyniku
Opcje ogólne:
-L, -długość = liczba bajtów do skanowania
-o, --ffset = rozpoczęcie skanowania w tym przesunięciu pliku
-O, - -base = dodaj adres podstawowy do wszystkich drukowanych przesunięć
-K, --block = ustaw rozmiar bloku pliku
-g, - -swap = odwróć wszystkie n bajty przed skanowaniem
-f, - -log = log wyniki do pliku
-C, -CSV Wyniki dziennika do pliku w formacie CSV
-t, –Meat Format Wyjście, aby pasowało do okna terminala
-q, -Quiet Suppress Dutplay to Stdout
-v, --verbose Włącz moc wyjściową
-H, -Pokaż pomocy wyjściowej
-a, - -finclude = tylko skanowanie plików, których nazwy pasują do tej regex
-p, - -fexclude = nie skanuj plików, których nazwy pasują do tej regex
-S, --status = Włącz serwer stanu w określonym porcie
Odzyskiwanie danych z sformatowanych dysków
Narzędzia do odzyskiwania danych powinny być starannie wybierane w celu odzyskania informacji z sformatowanych dysków, dysków flash USB i kart pamięci. Narzędzia zaprojektowane do ukończenia różnych czynności mogą przynieść nieoczekiwane wyniki. Poniżej przyjrzymy się niektórym różnicom między różnymi narzędziami do odzyskiwania danych w celu korekcji danych w sformatowanych dyskach.
Nieformalne
Pierwszym śmiertelnym błędem, który wielu użytkowników komputerowych popełniło podczas przypadkowego formatowania dysków, jest znalezienie, zainstalowanie i użycie narzędzi „niezoformowanych”. Istnieje wiele z tych narzędzi na rynku; Niektóre są komercyjne, a inne są bezpłatnymi towarami. Celem tych narzędzi jest przebudowa lub odtwarzanie dysk preformatowanego poprzez przywrócenie systemu plików.
Chociaż może to wydawać się realnym podejściem do niedoświadczonych, może to być większy błąd niż utrata plików. Formatowanie dysku spłukuje oryginalny system plików, zastępując go przynajmniej częściowo, zwykle na początku. Kiedy próbujesz przywrócić stary system plików, najlepsze, co możesz uzyskać. Wszystko nie można odzyskać dokładnie tak, jak było w ten sposób, a najcenniejsze pliki mogą zostać naruszone, z losowymi próbkami oryginalnych plików na dysku. Kiedy myślisz o „sformatowaniu” napędu systemowego, zapomnij o tym; Przynajmniej niektóre pliki systemowe znikną. Nawet jeśli możesz uruchomić system operacyjny, nigdy nie otrzymasz stabilnego systemu.
Undlete
Drugim błędem, który popełni wielu użytkowników komputerów, jest użycie narzędzi odzyskiwania. Chociaż te narzędzia istnieją i mają tendencję do wykonywania swojej pracy w dobrej wierze, nie są one zaprojektowane do obsługi dysków za pomocą wyłączonego systemu plików. Nawet w przypadku jednych z najlepszych narzędzi odzyskiwania, takich jak RS Reseverse.
Partycja odzyskiwania
Aby odzyskać pliki, powinieneś szukać narzędzia do odzyskiwania partycji, takiego jak RS Partition Recovery. Zaprojektowane do obsługi rozproszonych, sformatowanych i uszkodzonych dysków, to narzędzie może skanować całą powierzchnię dysku lub partycji, aby odzyskać wszystko, co może znaleźć. Nawet jeśli system plików jest pusty lub usunięty, to narzędzie może odzyskać wiele rodzajów plików, takich jak dokumenty, obrazy i filmy, poprzez funkcję podpisu. Jednak chociaż segmentowane narzędzia odzyskiwania są na najwyższym poziomie dla odzyskiwania danych, są one zwykle dość drogie. Jeśli chcesz tylko odzyskać sformatowany dysk, może być przydatne w wyszukiwaniu i zapisywaniu.
Odzyskiwanie tłuszczu i NTFS
Możesz zaoszczędzić do 40% na kosztach odzyskiwania partycji RS, wybierając narzędzie, które odzyskuje jedynie dyski formatowane. Pamiętaj, że będziesz musiał kupić narzędzie odpowiednie dla oryginalnego systemu plików, a nie do tego napisanego powyżej. Jeśli oryginalny dysk to NTFS, uzyskaj Recovery NTFS RS. Jeśli jest to gruba lub fat32, zdobądź odzysk tłuszczu RS. W ten sposób otrzymasz te same narzędzia jakości, ale będziesz ograniczony do formatowania FAT lub NTFS. To idealny wybór do wyjątkowej pracy.
Rzeźbianie plików (za pomocą narzędzia)
Photorec to niesamowite oprogramowanie używane do rzeźbienia plików, a zwłaszcza plików JPEG lub obrazów (dlatego nazywa się odzyskiwanie zdjęć). PhotoRec wychodzi na ramy dokumentów i realizuje podstawowe informacje, więc zadziała niezależnie od tego, czy rekordy mediów zostały poważnie poszkodowane, czy sformatowane. Photorec jest łatwo dostępny w systemach operacyjnych Windows.
Jako przykład, odzyskamy pliki obrazu z napędu flash 8-GB za pomocą tego narzędzia.
Najpierw uruchom Photorec.exe Plik i uruchom aplikację. Zobaczymy taki ekran:
Tutaj pokazano wszystkie partycje. Wybierzemy /K Jako nasz pożądany cel do odzyskania danych.
Możemy zobaczyć, który system plików używa tutaj tej partycji, a na dole są cztery opcje.
Szukaj - To przeszuka partycję, która pomieści pliki do odzyskiwania.
Opcje - Używane do drobnych zmian w opcjach.
Plik opt - Używane do modyfikacji rodzajów plików do odzyskania.
Zrezygnować - Wychodzą z procesu.
Wybierzemy Plik opt (Opcje plików):
To da nam opcje wyboru plików, które chcemy odzyskać z pożądanej partycji. Pilny S nie znaczy wszystkich opcji. Wybierzemy Zdjęcia JPG, Ponieważ chcemy tylko odzyskać pliki obrazu z dysku. Następnie naciśniemy B.
Aby wybrać System plików, Wróć do głównych opcji i wybierz Inny. Jeśli chodzi o opcje odzyskiwania, mamy dwie możliwości:
- wyzdrowieć po Cała partycja
- odzyskiwanie z Tylko nie do zorganizowanej przestrzeni (FAT12, FAT16, FAT32, ext1, ext2, ext3 itp.). Korzystając z tej opcji, zostaną odzyskane tylko pliki, które zostały usunięte.
Teraz wszystko, co musimy zrobić, to ustawić lokalizację, w której usunięte pliki zostaną odzyskane. Następnie proces odzyskiwania rozpocznie się i zakończy po poświęceniu. Następnie będziemy szukać odzyskanych plików w zestawieniu. Odzyskane pliki obrazów będą tam.
Wniosek
Rzeźbienie plików jest dobrze znanym terminem komputerowym, który opisuje identyfikację typów plików i usuwanie ich z klastrów nie podrzędnych za pomocą podpisów plików. Podpis pliku, znany również jako magiczny numer, to liczba lub stała wartość tekstowa używana do identyfikacji formatu pliku. Ekstrakcja plików lub danych to termin używany w dziedzinie informatyki kryminalistycznej. Skomputeryzowany Dochodzenie kryminalistyczne to akwizycja, weryfikacja, analiza i dokumentacja dowodów zawartych w systemie komputerowym, sieć komputerów lub innych form mediów cyfrowych. Wyodrębnienie znaczących danych z surowych danych nazywane jest rzeźba.
Rzeźbianie plików to identyfikacja i odzyskiwanie plików opartych na analizie formatu. W obliczeniach kryminalistycznych rzeźbienie jest użytecznym sposobem na znalezienie ukrytych lub usuniętych plików w mediach cyfrowych. FFILES można ukryć w obszarach takich jak zagubione klastry, nie do zorganizowane klastry i odtwarzanie dysków lub mediów cyfrowych. Aby użyć tej metody ekstrakcji, plik musi mieć standardowy podpis, zwany a nagłówek pliku, Na początku pliku. Aby uzyskać nagłówek pliku, narzędzie do odzyskiwania będzie kontynuowane, dopóki nie dotrze do stopki pliku na końcu pliku. Dane między nagłówkiem a stopą są wyodrębnione i analizowane w celu zapewnienia integralności. W jego algorytmach stosuje się kilka metod rzeźbienia, w zależności od typu pliku.
Nowoczesne systemy operacyjne nie w pełni usuwają usunięte pliki bez zgody użytkownika. Usunięte pliki można odzyskać za pomocą różnych narzędzi kryminalistycznych i taktyk, jeśli usunięte pliki nie zostaną dodane do innego pliku. Uszkodzone pliki można odzyskać, jeśli dane nie zostaną uszkodzone poza rozpoznawaniem.
Istnieje duża różnica między odzyskiwaniem plików a rzeźbieniem plików. Odzyskiwanie plików wykorzystuje informacje z systemu plików; Korzystając z tych informacji, można odzyskać kilka plików. Jeśli informacje są nieprawidłowe, nie zadziała. Wraz z nadejściem rzeźby plików, organy ścigania, specjalistów ds. Technologii i specjaliści kryminalistyki znaleźli inne narzędzie, które można wykorzystać do odzyskania usuniętych danych. Chociaż nie zawsze jest doskonały i wyrafinowany, narzędzia takie jak Przede wszystkim skalpel, I Photorec uczyniłem rekreację plików łatwiej niż kiedykolwiek.