データからファイルのすべての散らばった断片を切り出す

あなたの質問はいくぶんばらばらなので、少しずつ見てみましょう。

ファイルがハードドライブにバラバラに散らばっている場合、どのようにしてそのすべての部分を見つけることができますか？

断片化されたファイルには、ファイルの各部分またはエクステントへのポインターまたはリンクが含まれます。これらのリンクの構造はファイルシステムによって異なりますが、すべてのファイルシステムで使用されます。

実行中のOSにアクセスできないファイルカービングの状況では、法的に

まず第一に、それは "running OS"の問題ではありません。使用しているソフトウェアツールはすべて分析OSで実行されます。これは、分析対象のディスクドライブに存在または存在する可能性のあるOSとは無関係です。たとえば、Linuxを実行していて、Windowsマシンから取得したディスクドライブを調べているとします。

"Carving"はOSとは関係ありません。 "deleted"ファイルを復元しようとすると、カービングが始まります。

"File System"がそのままの場合（NTFSやFatなど）次に、削除されたファイルのリカバリは大きく異なる可能性がありますファイルシステムごと。リンクポインターがまだ存在している場合は、割り当てが解除されますが、断片化されたファイルセグメントは依然としてポインターから配置されている可能性があります。

リンクポインターがなくなったか、ファイルシステムが使用できない場合は、「carving」が機能します。ほとんどのカーバーには作業用のファイルシステムが必要ですが、既知のファイルシステムなしで生データをカービングできるのはごく一部です。

ファイルカーバーは、既知のヘッダーを探してファイルの先頭を示します。一般に、一致するフッターまたは割り当てられたブロックに到達するまで、シーケンシャルデータブロックを取得します。

ほとんどの彫刻家は断片化されたファイルを生データから回復しません。一致するヘッダー/フッターの連続するフラグメントを見つけるのにかなり良い仕事をするいくつかがあります。 JPGのような適切に構造化されたコンテンツの失われた中間フラグメントを見つけようとするものはまだまだ少ないですが、これらはほとんど実験的で信頼性がありません。

もちろん、これはファイルシステムに依存します。

フォレンジックで通常行うことは、ディスク全体のコピーを作成し（ddを使用）、そのコピーのみを操作します。次に、ファイルの削除を取り消そうとします。

常に何らかのオペレーティングシステムが実行されていると、ファイルにアクセスできません。 OSを実行するコンピューターにドライブコピーを接続しますが、そのドライブから起動しません。

FATおよびNTFSの場合、ウィキペディア（ https://en.wikipedia.org/wiki/Undeletion ）には優れた説明がありますが、ここでは説明しません。

Ext [234] fsの場合、extundeleteというユーティリティがあります。

すべての削除解除ツールの主なポイントは、元のコンテンツが引き続き利用可能であり、上書きされていないこと、およびディスク上のポインターを正しいセクター/クラスターに再構築できる必要があることです。そのためには、ツールを使用する（簡単な方法）か、調査するファイルシステムの構造に関する十分な知識と、OSがファイルを削除したときに何を行うかについての十分な知識が必要です。もちろんOSに依存します。