web-dev-qa-db-ja.com

フォレンジックソフトウェアが削除されたファイルを検出する方法

フォレンジックソフトウェアは削除されたファイルをどのように検出しますか?

ファイルが削除されると、NTFSシステムのMFTからのポインターが削除され、OSからファイルにアクセスできなくなります。ディスクが断片化されている場合、AutopsyやRecuvaなどのソフトウェアは、単一のファイルの各フラグメントがどこにあるかをどのように検出し、ソフトウェアはフラグメントを正しく順序付けて、削除前のファイルを「再現」することができますか?

CCleanerで何かを削除すると、最初に「ワイプMFTフリースペース」と表示されることに気付いたので、MFTはリンクリストのように機能し、ポインターを削除してもノードはメモリに残っていますが、はアクセスできなくなり、これがフォレンジックソフトウェアが削除されたファイルを検出する方法です。

forensicsdata-recovery
9
user46850

それを行う方法はいくつもあります。ほとんどの場合、最も簡単な方法は、各チャンクへのリンクポインターをたどることですが、それが唯一の方法ではありません。 (MFTも、多くのファイルシステムでこれらのリンクの唯一のソースではありません。)

下位レベルでは、すべてのチャンクを識別し、ファイルの内部構造にあるチャンクを別のチャンクと一致させることができる内部構造がある場合、それらをコンテンツで一致させることができます。ポインターが削除された場合、一部のファイルにはそれらのパターンがないため、これはすべてのファイルに対して機能しませんが、特にドライブが高度に断片化されていない限り、それは大きな懸念事項であるほど十分に機能します大きなファイルであっても、おそらく数ダースの大きな断片にすぎません。

基本的に、ドライブの物理構造(隣接するブロックが一般的に推奨されます)、ファイルシステム機能(ブロックの順方向リンクや逆方向リンクなど)、またはファイル構造の機能のいずれかに基づいて、さまざまな方法でつなぎ合わせることができます。 、ファイルごとに異なります。

完全に破壊するのではなく、ファイルを回復する方法はいくつもあります。場合によっては、ポインタを削除するだけで十分な場合もありますが、真に決定された分析では、特に何かを探している場合に、意味のあるフラグメントを探すことでジグソーパズルをまとめることができます。

11
AJ Henderson

NTFSでは、すべてのメタデータがMFTに格納されます。これには、名前、日付、親フォルダーなどが含まれます。占有されたクラスターも、データ実行と呼ばれる構造でそこに格納されます。ファイルデータを格納するクラスターはファイルデータのみを保持し、次または前のクラスターに関する情報を保持するリンクリストはありません。

ファイルが削除されると(ごみ箱のスキップを想定)、オフになるMFTレコードに単一ビットがあります。そのレコードの残りの部分は、それ以外の場合とまったく同じようにそのまま残ります。削除されたファイルのメタデータは、新しいファイルがそのメタデータでそのレコードスロットを占有する必要があるまで消去されません。

MFTは、1024バイトのサイズのレコードを持つクラスターの連続したブロックです。 NTFSは、新しいファイルを作成するときに(上から)最初の未割り当てレコードを使用します。

フォレンジックツールは、MFTの先頭から始めて、1024バイトの各ブロックをレコードとして扱う必要があります。削除済み/割り当て済みビットがオンの場合、それは割り当て済みファイルです。オフの場合、ファイルは削除されています。

MFTの未割り当てスペースをワイプするという別のコメントで言及されましたが、これはメタデータを非表示にしようとする1つの方法です。これには、削除済みとしてマークされているMFTのレコードを上書きすることが含まれます。

そのメタデータがなくなった場合、ファイルの復元はより困難になりますが、不可能ではありません。

5
WMIF

FTK imager などのフォレンジックツールは、本質的にバイナリデータリーダーおよびインタープリターです。単純化しすぎて、各値を読み取り、16進数(または10進数)の絶対値と解釈された値(テキストなど)の両方を表示します。 Google FTKイメージャーの動作の例と説明については、.

フォレンジックツールキットは単なるツールであることに注意してください。ほとんどは、表示しているものが見たいものであるかどうかを判断するのに役立つ、ある程度の処理を提供します。

ファイルシステムがどのように機能するかを理解することが役立つかもしれません。 ここ はよくまとめられた本です(古いことは知っていますが、それでも関連性があります)。 ここ もNTFSの概要です。

編集:練習問題の例

これが、すべてがどのように機能するかを確認するための非常に迅速で楽しい方法です。まず、前述の本を一読することをお勧めしますが、以下の手順を実行できます。

  1. 何らかの形式のメディアを入手して、ファイルを保存します(256 MBの小さなsdカードなどをお勧めします)。
  2. メディアを再フォーマットします(Windowsでは、「クイックフォーマットオプション」を選択解除し、NTFSでフォーマットされていることを確認します)。
  3. メディアを開き、短い名前の簡単なテキストファイルを作成して、メールアドレスを入力します。
  4. ファイルを保存し、すべてが正常に見えるかどうかを確認します。
  5. メディアを開き、ファイルを削除します。
  6. FTK Imagerを開き、「証拠アイテムの追加」を選択してメディアを選択します。
  7. 今、あなたのメールアドレスを探してください。
  8. 心ゆくまで実験して学びましょう!

この簡単な演習は、削除されたファイルを見つけることがいかに簡単かを示しています(MFTがなくても)。この練習を変えるだけでたくさんのことを学ぶことができ、それを教科書と組み合わせると、BAMができるので、生徒と一緒にこれを行うのが大好きです。

5
Matthew Peters

私は、ファイルシステムロジックを無視し、ディスクイメージを読み取って、一般的なファイルヘッダーまたは特定のファイルコンテンツに対応するバイトパターンを探すフォレンジックソフトウェアの経験があります。

つまり、すべてのJPEGを検索するか、「hello」という単語を含むファイルを検索します。

これは、「削除された」ファイルを回復する1つの方法です。

3
user2675345