Esculpimento de arquivos

Esculpimento de arquivos (do inglês file carving) é o processo de remontar arquivos de computador a partir de fragmentos na ausência de metadados do sistema de arquivos.

Introdução e princípios básicos

Todos os sistemas de arquivos contém alguns metadados que descrevem o sistema de arquivos atual. No mínimo a informação a seguir é armazenada: a hierarquia de pastas e arquivos, com nomes para cada um. Para cada arquivo é também armazenado o endereço físico no disco rígido onde o arquivo é armazenado. Como explicado abaixo, um arquivo pode ser dividido em fragmentos com endereços físicos diferentes.

O esculpimento de dados é o processo de tentar recuperar arquivos sem estes metadados. Isto é feito analizando-se os dados brutos e identificando o que eles são (texto, executável, png, mp3 etc.). Isto pode ser feito de diferentes formas, mas a maneira mais simples é por meio da procura de cabeçalhos. Por exemplo, cada arquivo de classe Java tem como seus primeiros quatro bytes o valor hexadecimal CA FE BA BE. Alguns arquivos também possuem rodapés simplificando bastante a identificação do final do arquivo.

A maioria dos sistemas de arquivo, como FAT e UNIX Fast File System, trabalham com o conceito de clusters de um tamanho igual e fixo. Por exemplo, um sistema de arquivos FAT32 pode ser quebrado em clusters de 4 KiB cada. Qualquer arquivo menor que 4 KiB se estabelece em um único cluster e nunca há mais que um arquivo em cada cluster. Os arquivos que ocupam mais que 4 KiB são alocados entre vários clusters. Algumas vezes estes clusters são todos contíguos, enquanto que outras vezes eles são dispersos entre dois ou potencialmente muito mais dos chamados fragmentos, com cada fragmento contendo um número de clusters contíguos armazenando uma parte dos dados de arquivo. Obviamente que arquivos grandes são mais propensos a serem fragmentados.

Simson Garfinkel[1] relatou estatísticas de fragmentação coletadas de cerca de 350 discos contendo sistemas de arquivo FAT, NTFS e UFS. Ele mostrou que enquanto a fragmentação em um disco típico é baixa, a taxa de fragmentação de arquivos de importância forense como e-mail, JPEG e documentos do Word é relativamente alta. A taxa de fragmentação de arquivos JPEG foi encontrada em torno de 16%, documentos do Word possuíram fragmentação de 17%, AVI apresentaram taxa de fragmentação de 22% e arquivos PST (Microsoft Outlook) apresentaram taxa de framentação de 58% (a fração de arquivos sendo fragmentados em dois ou mais fragmentos). Pal, Shanmugasundaram e Memon[2] apresentaram um algoritmo eficiente baseado em uma heurística e poda alfa-beta ambiciosa para remontar imagens fragmentadas. Pal, Sencar e Memon[3] introduziram testes de hipótese sequencial como um mecanismo efetivo para detecção de pontos de fragmentação. Richard e Roussev[4] apresentaram Scalpel, uma ferramenta de esculpimento de dados de código aberto.

O esculpimento de dados é uma tarefa altamente complexa, com um número potencialmente enorme de permutações a tentar. Para tornar esta tarefa tratável, os softwares de esculpimento normalmente fazem uso extensivo de modelos e heurísticas. Isto é necessário não apenas do ponto de vista de tempo de execução, mas também para a precisão dos resultados. O estado da arte dos algoritmos de esculpimento de dados usam técnicas estatísticas como teste de hipótese sequencial para determinar pontos de fragmentação.

Motivação

O esculpimento de dados pode ser usado para recuperar dados de um disco rígido onde os metadados estão perdidos ou danificados, especialmente por empresas profissionais de recuperação de dados.[5]

Quando um arquivo é removido, apenas a entrada no metadado do sistema de arquivos é removida, enquanto que os dados reais permanecem no disco. Após uma formatação, ou até mesmo de um particionamento, pode ser que a maioria dos dados brutos estejam intocáveis e possam ser recuperados usando esculpimento de dados.

Esquemas de esculpimento

Esculpimento de lacuna de dois fragmentos

Garfinkel introduziu o uso de validação rápida de objeto para remontar arquivos que foram divididos em dois pedaços. Esta técnica é descrita como Esculpimento de Lacuna de Dois Fragmentos, do inglês Bifragment Gap Carving (BGC). Um conjunto de fragmentos de início e um conjunto de fragmentos de fim são identificados. Os fragmentos são remontados se juntos eles formam um objeto válido.

Esculpimento inteligente (SmartCarving)

Pal desenvolveu um esquema de esculpimento que não é limitado a arquivos de dois fragmentos. A técnica, conhecida como SmartCarving, faz uso de heurísticas relativas ao comportamento de fragmentação de sistemas de arquivos conhecidos. O algoritmo possui três fases: pré-processamento, colagem e remontagem. Na fase de pré-processamento, blocos são descomprimidos e/ou descriptografados se necessário. Na fase de colação, os blocos são organizados de acordo com seu tipo de arquivo. Na fase de remontagem, os blocos são colocados em sequência para reproduzir arquivos removidos. O algoritmo de SmartCarving é a base para as aplicações Adroit Photo Forensics e Adroit Photo Recovery da Digital Assembly.

Esculpimento de descargas de memória

Trechos de memória volátil de computador podem ser esculpidos. O esculpimento de descargas de memória é rotineiramente usado em forense digital, permitindo aos investigadores acessarem evidência efêmera. Evidência efêmera inclui imagens e páginas Web recentemente acessadas, documentos, bate-papos e comunicações enviadas por meio de redes sociais. Se um volume criptografado (TrueCrypt, BitLocker, PGP Disk) foi usado, chaves binárias para recipientes (containers) criptografados podem ser extraídas e usadas para montar tais volumes instantaneamente. O conteúdo de memória volátil fica fragmentado. Um algoritmo de esculpimento proprietário foi desenvolvido pela Belkasoft para habilitar o esculpimento de conjuntos de memória fragmentados (BelkaCarving).

Ver também

Referências

  1. Simson Garfinkel, "Carving Contiguous and Fragmented Files with Fast Object Validation", in Proceedings of the 2007 digital forensics research workshop, DFRWS, Pittsburgh, PA, August 2007
  2. A. Pal and N. Memon, "Automated reassembly of file fragmented images using greedy algorithms" in IEEE Transactions on Image processing, February 2006, pp 385393
  3. A. Thus, finding the header of a file means that the first fragment of the file is found, but the other fragments might be scattered anywhere else on the partition, making file carving much more challenging. By studying how file systems actually do fragmentation and applying statistics, it is possible to make qualified guesses as to which fragments might fit together. These fragments are then put together in various possible permutations and it is tested if the fragments fit together. For some files it is easy for the software to test if they fit, while for others, the software might accidentally fit the pieces together incorrectly. Pal, T. Sencar and N. Memon, "Detecting File Fragmentation Point Using Sequential Hypothesis Testing", Digital Investigations, Fall 2008
  4. Richard, Golden, Roussev, V., "Scalpel: a frugal, high performance file carver", in Proceedings of the 2005 Digital Forensics Research Workshop, DFRWS, August 2005
  5. [1]

Read other articles:

The Salon (film)

2005 American filmThe SalonPromotional posterDirected byMark BrownWritten byMark BrownShelley GarrettProduced byDavid OdomBreht GardnerBrent OdomCarl CraigDavid OdomLita RichardsonMark BrownVivica A. FoxZatella BeattyStarring Vivica A. Fox Darrin Henson Dondre Whitfield Kym Whitley Monica Calhoun CinematographyBrandon TrostEdited byEarl WatsonDistributed byCodeBlack EntertainmentFreestyle ReleasingRelease dates January 2005 (2005-01) (Sundance Film Festival) May 11, 20...

 

Henry Sheldon

Artikel ini sebatang kara, artinya tidak ada artikel lain yang memiliki pranala balik ke halaman ini.Bantulah menambah pranala ke artikel ini dari artikel yang berhubungan atau coba peralatan pencari pranala.Tag ini diberikan pada Oktober 2022. Potret Henry D. Sheldon, Profesor pendidikan di Universitas Oregon Henry Davidson Sheldon (3 Oktober 1874 – 14 Mei 1948) merupakan seorang guru dan sejarawan berkebangsaan Amerika. Sheldon lahir ketika orangtuanya berada dalam perjalanan ke Oregon da...

 

Mawar Jingga (album)

Mawar JinggaAlbum studio karya Elvyn G. MasassyaDirilis20 Maret 2008Genrerock, rock progresifLabelJavaindo RecordsProduserEvert Djulianto Arie A. RyantoKronologi Elvyn G. Masassya Kolaborasi (2007)String Module Error: Match not foundString Module Error: Match not found Mawar Jingga (2008) Titik Balik Ramadhan (2008)String Module Error: Match not foundString Module Error: Match not found Mawar Jingga merupakan sebuah album musik ketiga karya penyanyi, komposer, sekaligus direktur BUMN Indo...

Sri Lanka Matha

Sri Lanka MathaSri Lanka ThaayeB. Indonesia: Bunda Sri Lankaශ්‍රී ලංකා ජාතික ගීයஸ்ரீ லங்கா தாயேLagu kebangsaan  Sri LankaPenulis lirikRabindranath Tagore[1][2]Ananda Samarakoon[3][4][5], 1940KomponisRabindranath Tagore[1][2]Ananda Samarakoon[3][4][5], 1938[1][2]October 1940[3][4][5]Penggunaan1951 Sri Lanka...

 

1942 Minnesota gubernatorial election

Election for the governorship of the U.S. state of Minnesota 1942 Minnesota gubernatorial election ← 1940 November 3, 1942 1944 →   Nominee Harold Stassen Hjalmar Petersen John D. Sullivan Party Republican Farmer–Labor Democratic Popular vote 409,800 299,917 75,151 Percentage 51.60% 37.76% 9.46% County resultsStassen:      40-50%      50-60%      60-70%      70...

 

Capi di Stato della Francia

Questa voce o sezione sull'argomento politica non cita le fonti necessarie o quelle presenti sono insufficienti. Puoi migliorare questa voce aggiungendo citazioni da fonti attendibili secondo le linee guida sull'uso delle fonti. Segui i suggerimenti del progetto di riferimento. Per capi di Stato della Francia, a seconda del periodo storico, si possono intendere re, imperatori, consoli, presidenti: durante la sua storia, infatti, la Francia è passata spesso dalla forma di governo monarc...

Perang Bosnia

Perang BosniaBagian dari Perang YugoslaviaSearah jarum jam dari kiri: 1. Gedung Dewan Eksekutif terbakar setelah terkena tembakan tank di Sarajevo. 2. Mei 1992; Ratko Mladić dengan perwira Angkatan Darat Republika Srpska. 3. Penjaga perdamaian PBB Norwegia di Sarajevo selama pengepungan tahun 1992.Tanggal6 April 1992–14 Desember 1995(3 Tahun, 8 Bulan, 1 Minggu, 6 Hari)LokasiBosnia dan HerzegovinaHasil Perjanjian DaytonPihak terlibat Hingga Oktober 1992: Bosnia dan Herzegovina Her...

 

Oceanic zone

Part of the ocean beyond the continental shelf Marine habitatsThe oceanic zone is the deep, open-ocean water that lies off the continental slopes Coastal habitats Littoral zone Intertidal zone Estuaries Mangrove forests Seagrass meadows Kelp forests Coral reefs Continental shelf Neritic zone Ocean surface Surface microlayer Epipelagic zone Open ocean Pelagic zone Oceanic zone Sea floor Seamounts Hydrothermal vents Cold seeps Demersal zone Benthic zone Marine sediment vte It is the open sea re...

 

Islande au Concours Eurovision de la chanson 2022

Islandeau Concours Eurovision 2022 Données clés Pays  Islande Chanson Með hækkandi sól Interprète Systur Compositeur Lovísa Elísabet Sigrúnardóttir Parolier Lovísa Elísabet Sigrúnardóttir Langue Islandais Sélection nationale Radiodiffuseur RÚV Type de sélection Söngvakeppnin Date 12 mars 2022 Concours Eurovision de la chanson 2022 Position en demi-finale 10e (103 points, qualifiée) Position en finale 23e (20 points) 2021 2023 modifier L'Islande est l'un des ...

List of inventions in the medieval Islamic world

Physicians employing a surgical method. From Şerafeddin Sabuncuoğlu's Imperial Surgery (1465). The following is a list of inventions made in the medieval Islamic world, especially during the Islamic Golden Age,[1][2][3][4] as well as in later states of the Age of the Islamic Gunpowders such as the Ottoman and Mughal empires. The Islamic Golden Age was a period of cultural, economic and scientific flourishing in the history of Islam, traditionally dated from ...

 

2020年夏季奧林匹克運動會波蘭代表團

2020年夏季奥林匹克运动会波兰代表團波兰国旗IOC編碼POLNOC波蘭奧林匹克委員會網站olimpijski.pl(英文)(波兰文)2020年夏季奥林匹克运动会(東京)2021年7月23日至8月8日(受2019冠状病毒病疫情影响推迟,但仍保留原定名称)運動員206參賽項目24个大项旗手开幕式:帕维尔·科热尼奥夫斯基(游泳)和马娅·沃什乔夫斯卡(自行车)[1]闭幕式:卡罗利娜·纳亚(皮划艇)&#...

 

Besikdira

Besikdira (also cited in various publications as Besigdira, Besikdira, Besikdera, Basik Dera) is a village in the Anseba region of Eritrea. Located in north-eastern region of the country, the village is 15 km East of Eritrea, closest to the town of Keren. Besikdira comprises two Bilen words, beska (a sisal plant used for rope) and dira (a baobab tree).[1] Massacre During the Eritrean War of Independence, many were killed in raids in Eritrea, including the village of Besikdir...

Queimados

This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Queimados – news · newspapers · books · scholar · JSTOR (March 2023) (Learn how and when to remove this message) Municipality in Southeast, BrazilQueimadosMunicipalityMunicípio de Queimados FlagSealLocation of Queimados in the state of Rio de JaneiroQueimadosL...

 

فنون القتال المختلطة

فنون القتال المختلطةمعلومات عامةالمنتسبون فنان قتال مختلط الخصائصالتصنيف رياضة قتالية التجهيزات المستعملة قفاز — حماء الفم — بنطال ركبي — خوذة تعديل - تعديل مصدري - تعديل ويكي بيانات فنون القتال المختلطة (بالإنجليزية: Mixed martial arts)‏ اختصار (MMA) هي رياضة قتالية مزيج بين كثير...

 

Avicenna

Avicenna Avicenna (in persiano اِبْن سِینَا‎, Ibn Sīnā, o Pūr-i Sīnā; Afshana, 22 agosto 980 – Hamadan, 21 giugno 1037) è stato un medico, filosofo, matematico, logico e fisico persiano. Le sue opere più famose sono Il libro della guarigione e Il canone della medicina (conosciuto anche come Qānūn). Il suo nome latinizzato è un'alterazione di Ibn Sīnā, il suo nasab (rapporto di filiazione). Fu una delle figure più note nel mondo islamico; in Europa Avicenna...

Glacier Park International Airport

Airport in Montana, United States Glacier Park International AirportIATA: FCAICAO: KGPIFAA LID: GPISummaryAirport typePublicOwnerFlathead Municipal Airport AuthorityServesKalispell, MontanaElevation AMSL2,976 ft / 907 mCoordinates48°18′38″N 114°15′22″W / 48.31056°N 114.25611°W / 48.31056; -114.25611Websitewww.IFlyGlacier.comMapsFAA airport diagramRunways Direction Length Surface ft m 2/20 9,007 2,745 Asphalt 12/30 3,510 1,070 Asphalt Statisti...

 

الجديدة (تونس)

  هذه المقالة عن الجديّدة، مدينة بولاية منوبة بالجمهورية التونسية. لالجديدة (توضيح)، طالع الجديدة (تونس) (توضيح). الجديدة   الإحداثيات 36°51′02″N 9°56′10″E / 36.850608°N 9.936082°E / 36.850608; 9.936082   تقسيم إداري  البلد تونس[1]  التقسيم الأعلى ولاية منوبة  معلو�...

 

Metropolitan Railway G Class

This article relies largely or entirely on a single source. Relevant discussion may be found on the talk page. Please help improve this article by introducing citations to additional sources.Find sources: Metropolitan Railway G Class – news · newspapers · books · scholar · JSTOR (December 2014) Metropolitan Railway G Class LNER Class M2Type and originPower typeSteamDesignerCharles JonesBuilderYorkshire Engine CompanyBuild date1915SpecificationsConfigu...

Grays Point, New South Wales

Suburb of Sydney, New South Wales, AustraliaGrays PointSydney, New South WalesMansion PointPopulation3,125 (2016 census)[1]Postcode(s)2232Elevation41 m (135 ft)Location29 km (18 mi) S of Sydney CBDLGA(s)Sutherland ShireState electorate(s)CronullaFederal division(s)Hughes Suburbs around Grays Point: Kirrawee Gymea Bay Gymea Bay Royal National Park Grays Point Yowie Bay Royal National Park Royal National Park Gundamaian Swallow Rock Reserve Grays Point is ...

 

Kundalini Yoga

Questa voce sull'argomento Yoga è solo un abbozzo. Contribuisci a migliorarla secondo le convenzioni di Wikipedia. Segui i suggerimenti del progetto di riferimento. Illustrazione tantrica indiana dei canali del corpo sottile che la kundalini attraversa Kundalini yoga (kuṇḍalinī-yoga) deriva da kundalini (serpente attorcigliato), definito nella cultura vedantica come energia che giace dormiente alla base della colonna vertebrale fino a quando non viene attivata (come con la pratica...