雕刻字檔案怎麼處理
內容
2 作業系統分析
2.5 資料恢復和檔案內容雕刻
總之,這些產生了一個基本的恢復演算法:1)順序掃描捕獲,直到找到已知的頭;例如,JPEG影象總是以(十六進位制)FF D8 FF報頭開始;2)順序掃描,直到找到對應的頁尾;FF D9用於JPEG;3)複製中間的資料作為恢復的工件。圖2說明了在檔案雕刻過程中遇到的一些最常見的情況:
1。 無碎片是最典型的情況,因為現代檔案系統需要額外的努力來確保順序佈局以獲得最佳效能。
2。 巢狀內容通常是刪除的結果;在本例中,在檔案的初始順序背靠背佈局之後,檔案B前面和後面的內容被刪除並替換為A。在某些情況下,檔案格式允許巢狀;例如,JPEG通常具有影象的縮圖版本,該版本也是JPEG格式。這種情況可以透過多次傳遞來解決——一旦B被切掉(並且其塊從進一步考慮中移除),A的內容就變得連續,因此後續傳遞將很容易地提取它。
3。 雙碎片檔案被分割成兩個相鄰的部分,其中另一個內容位於兩者之間,這也決定了重建的難度;如果中間的內容很容易與檔案的內容(例如,壓縮影象中間的文字片段)區分開來,那麼問題就相對容易。否則,這是模稜兩可的,很難識別匹配的部分。
4。 交錯內容是巢狀的一個更復雜的版本,當使用較大的檔案來填補由於刪除較小的檔案而產生的空白時,會發生這種情況。
這種簡單的雕刻方法通常會產生大量可用的藝術品;然而,真實資料可能包含許多非典型模式,這可能導致大量重複和/或假陽性結果。一個主要原因是檔案格式的設計沒有考慮到雕刻,很少有健壯的內部元資料將組成部分連線在一起。有些甚至沒有指定的頁首和/或頁尾,這可能會導致大量誤報,可能會產生比源資料大得多的結果。
鬆弛空間恢復。RAM和持久儲存幾乎總是以所選最小分配單元的倍數進行分配。因此,在分配空間的末尾,存在應用程式未使用但也不可用於其他用途的儲存容量(空閒空間)。例如,如果最小分配是4KiB,並且一個檔案需要14KiB,那麼檔案系統將分配四個4KiB塊。應用程式將完全使用前三個塊,但僅使用最後一個塊的2KiB。這就有可能儲存透過標準檔案系統介面無法訪問的資料,並且可以提供一種隱藏資料的簡單方法。
一旦意識到在空閒空間中儲存隱藏資料的潛力,就可以相對容易地識別和檢查它,這是大多數調查中的標準步驟。
即將到來的挑戰隨著固態驅動器的容量不斷增長,硬碟在操作資料儲存中的比例越來越高,檔案刻錄的效用將隨著時間的推移而降低。原因在於SSD塊需要寫入兩次才能重用(第一次寫入重置塊的狀態,從而啟用其重用)。為了提高效能,將TRIM和UNMAP命令分別新增到ATA和SCSI命令集中;它們為檔案系統提供了一種機制,以向儲存裝置指示哪些塊需要被垃圾收集並準備好重用。
King&Vidas[31]透過實驗證明,檔案雕刻只能在現代固態硬碟(SSD)上的一組狹小環境下工作。具體來說,他們表明,對於一個支援TRIM的作業系統,如Windows 7和更高版本,其測試中的資料恢復率幾乎普遍為零。相反,使用預TRIM作業系統(Windows XP)可以在相同的實驗條件下實現近乎完美的恢復率。