파일 조각

File carving

파일 분할은 파일 시스템 메타데이터가 없는 경우 조각에서 컴퓨터 파일을 재구성하는 프로세스입니다.

도입 및 기본 원칙

모든 파일 시스템에는 실제 파일 시스템을 설명하는 메타데이터가 포함되어 있습니다.여기에는 적어도 폴더와 파일의 계층과 각각의 이름이 포함됩니다.파일 시스템은 각 파일이 저장되는 스토리지 디바이스의 물리적 위치도 기록합니다.다음에 설명하듯이, 파일이 다른 물리 주소에 단편화되어 있는 경우가 있습니다.

파일 분할은 이 메타데이터 없이 파일을 복구하는 프로세스입니다.이것은 원시 데이터를 분석하고 그것이 무엇인지 식별함으로써 이루어집니다(텍스트, 실행 파일, png, mp3 등).이것은 다양한 방법으로 실행할 수 있지만, 가장 간단한 방법은 특정 파일 [1]유형의 시작 및/또는 끝을 나타내는 파일 서명 또는 "매직 번호"를 찾는 것입니다.예를 들어, 모든 Java 클래스 파일에는 처음 4바이트의 16진수 값이 있습니다.CA FE BA BE. 일부 파일에는 바닥글도 포함되어 있으므로 파일의 끝을 쉽게 식별할 수 있습니다.

FAT 패밀리UNIX의 Fast File System과 같은 대부분의 파일 시스템은 동일한 크기의 클러스터 개념으로 작동합니다.예를 들어 FAT32 파일 시스템은 각각 4KiB의 클러스터로 분할될 수 있습니다.4KiB보다 작은 파일은 하나의 클러스터에 넣을 수 있으며 각 클러스터에 여러 개의 파일이 있는 경우는 없습니다.4KiB를 초과하는 파일은 많은 클러스터에 할당됩니다.이러한 클러스터가 모두 인접해 있는 경우가 있는가 하면, 2개 또는 복수의 fragment라고 불리는 fragment에 분산되어 있는 경우도 있습니다.각 fragment에는 다수의 인접 클러스터가 포함되어 있어 파일 데이터의 일부가 저장됩니다.큰 파일은 확실히 fragment화 될 가능성이 높아집니다.

Simson Garfinkel[2] FAT, NTFSUFS 파일 시스템을 포함하는 350개 이상의 디스크에서 수집된 단편화 통계를 보고했습니다.그는 일반 디스크의 단편화는 낮지만 전자 메일, JPEG Word 문서와 같은 법의학적으로 중요한 파일의 단편화율은 상대적으로 높다는 것을 보여주었다.JPEG 파일의 단편화율은 16%, Word 문서의 단편화율은 17%, AVI의 단편화율은 22%, PST 파일(Microsoft Outlook)의 단편화율은 58%였습니다.Pal, Shanmugasundaram 및 Memon은[3] 단편화된 이미지를 재구성하기 위한 탐욕적 휴리스틱과 알파 베타 프루닝을 기반으로 한 효율적인 알고리즘을 제시했습니다.Pal, Sencar, Memon은[4] 파편점 검출에 효과적인 메커니즘으로 순차 가설 테스트를 도입했다.Richard와[5] Rousev는 오픈 소스 파일 조각 도구인 Scalpel을 제공했습니다.

파일 분할은 매우 복잡한 작업이며, 시도해야 할 순열 수가 매우 많을 수 있습니다.이 작업을 다루기 쉽게 하기 위해 소프트웨어를 조각하면 일반적으로 모델과 휴리스틱을 광범위하게 활용할 수 있습니다.이는 실행 시간뿐만 아니라 결과의 정확성을 위해서도 필요합니다.최첨단 파일 조각 알고리즘은 순차 가설 테스트와 같은 통계 기법을 사용하여 조각화 지점을 결정합니다.

동기

대부분의 경우 파일이 삭제되면 파일 시스템 메타데이터의 항목은 제거되지만 실제 데이터는 여전히 디스크에 남아 있습니다.파일 분할을 사용하면 메타데이터가 제거되거나 손상된 하드 디스크에서 데이터를 복구할 수 있습니다.이 프로세스는 드라이브를 포맷하거나 파티션을 다시 분할한 후에도 성공할 수 있습니다.

파일 분할은 무료 또는 상용 소프트웨어를 사용하여 수행할 수 있으며, 컴퓨터 포렌식 검사와 함께 또는 데이터 복구 회사[6]기타 복구 작업(하드웨어 복구 등)과 함께 수행하는 경우가 많습니다.데이터 복구의 주요 목표는 파일 내용을 복구하는 것이지만, 컴퓨터 포렌식 검사자는 파일을 소유한 사용자, 저장 위치, 마지막으로 수정한 [7]날짜 등의 메타데이터에 관심을 갖는 경우가 많습니다.따라서, 법의학 검사관은 파일이 하드 드라이브에 저장되었다는 것을 증명하기 위해 파일 조각 기능을 사용할 수 있지만, 누가 파일을 하드 드라이브에 저장했는지 증명할 다른 증거를 찾아야 할 수도 있습니다.

조각 스킴

분절 간격 조각

Garfinkel은[2] 두 조각으로 분할된 파일을 재구성하기 위해 빠른 개체 검증을 사용하는 방법을 도입했습니다.이 기술은 Bigragment Gap Carving(BGC)이라고 불립니다.1조의 시동 단편과 1조의 마감 단편은 식별된다.fragment가 함께 유효한 객체를 형성할 경우 재구성됩니다.

스마트 카빙

Pal은[3] 분할된 파일에 국한되지 않는 조각 체계를 개발했습니다.SmartCarving으로 알려진 이 기술은 알려진 파일 시스템의 단편화 동작에 관한 휴리스틱스를 사용합니다.알고리즘에는 전처리, 대조 및 재조립의 3가지 단계가 있습니다.전처리 단계에서는 필요에 따라 블록이 압축 해제 및/또는 복호화된다.대조 단계에서는 블록이 파일 유형에 따라 정렬됩니다.재구성 단계에서는 삭제된 파일을 재생하기 위해 블록이 순서대로 배치됩니다.SmartCarving 알고리즘은 디지털 어셈블리의 Adroit 포토 포렌식 및 Adroit 포토 리커버리 애플리케이션의 기초가 됩니다.

메모리 덤프 조각

컴퓨터의 휘발성 메모리(RAM)의 스냅샷을 조각할 수 있습니다.메모리 덤프 조각은 디지털 포렌식 분야에서 일상적으로 사용되므로 수사관들은 단발성 증거에 접근할 수 있습니다.일시적 증거에는 최근 액세스한 이미지와 웹 페이지, 문서, 채팅 및 소셜 네트워크를 통해 커밋된 통신이 포함됩니다.암호화된 볼륨(TrueCrypt, BitLocker, PGP Disk)을 사용한 경우 암호화된 컨테이너에 대한 이진 키를 추출하여 이러한 볼륨을 즉시 마운트할 수 있습니다.휘발성 메모리의 내용이 fragment화 됩니다.Belkasoft는 조각 메모리 세트(Belka Carving)를 조각화할 수 있도록 자체 조각 알고리즘을 개발했습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "File Signatures".
  2. ^ a b Simson Garfinkel, "Fast Object Validation을 통한 연속단편화 파일 조각화", 2007년 디지털 포렌식 조사 워크숍 진행, 2007년 8월, 펜실베이니아주 피츠버그, DFRWS
  3. ^ a b A. Pal과 N.Memon, IEEE Transactions on Image Processing, 2006년 2월 페이지 385–393의 "Gready 알고리즘을 사용한 파일 단편화 이미지의 자동 재구성 - URL이 비활성화되었습니다"
  4. ^ A. 따라서 파일의 헤더를 찾는다는 것은 파일의 첫 번째 fragment가 발견된다는 것을 의미하지만, 다른 fragment가 파티션의 다른 곳에 흩어져 파일 조각이 훨씬 더 어려워질 수 있습니다.파일 시스템이 실제로 fragment화를 수행하는 방법을 연구하고 통계를 적용함으로써 어떤 fragment가 서로 맞는지 정확하게 추측할 수 있습니다.그런 다음 이 조각들을 여러 가지 가능한 배열로 조합하여 조각들이 서로 맞는지 테스트합니다.일부 파일에서는 소프트웨어가 해당 파일을 쉽게 테스트할 수 있지만 다른 파일에서는 소프트웨어가 실수로 부품을 잘못 끼워 맞출 수 있습니다.Pal, T. Sencar와 N.Memon, "시퀀셜 가설 테스트를 사용한 파일 단편화 지점 검출 - URL이 비활성화되었습니다", 디지털 조사, 2008년 가을
  5. ^ Richard, Golden, Rousev, V., DFRWS, 2005년 8월 2005년 디지털 포렌식 연구 워크숍의 Proceedings of the 2005 Digital Forensions Research Workshop, "Scalpel: 검소한 고성능 파일 조각가"
  6. ^ "Professional Data Recovery Services SERT Data Recovery Company".
  7. ^ "삭제된 파일에 대하여"