ما هي عملية File Carving التي يستخدمها خبراء القضايا الجنائية الرقمية لاسترجاع البيانات؟ وما هي افضل ادواتها؟

عندما نقوم بحذف الملفات من جهاز الكمبيوتر أو الجهاز الخاص بنا ، فإنها لا تضيع تمامًا حتى يتم حذف مواقع ذاكرتها أثناء مسح الجهاز. لا تزال العديد من شظاياها في ذاكرة غير مخصصة ويمكن إعادة بنائها نظريًا.وبشكل ابسط فان معظم انظمة الملفات لا تمسح البيانات بشكل كلي ,بل تقوم بازالة مكان وجودها .

ما هو File Carving؟
file carving عبارة عن العملية المستخدمة في العلوم الجنائية المتعلقة بالحاسوب لإستخراج البيانات من محرك الاقراص او اجهزة التخزين الاخرى دون الحاجة لمساعدة نظام الملفات الذي يقوم بالأصل بانشاء الملف كما ويعد طريقة لإستعادة الملفات بمساحة غير مخصصة دون اي معلومات للملف ويستخدم لإسترداد البيانات وتنفيذ التحقيقات الجنائية الرقمية. تدعى العملية “carving” وهو عبارة عن مصطلح عام لاستخراج البيانات المهيكلة من البيانات الأولية استناداً الى تنسيق الخصائص المحددة المعروضة في البيانات المهيكلة .

أدوات File Carving

تستخدم أدوات File Carving علامات متنوعة مثل headers وfooters  في محاولة تحديد أجزاء من الملف. يعتمد هذا البرنامج على أدوات الاستدلال ومعالجة الاحتمالات لجمع الملفات المطلوبة بنجاح. علاوة على ذلك ، تساعد الخوارزميات المتقدمة في تحسين نتائج استرداد الملفات.

على الرغم من أن File Carving يعتمد إلى حد كبير على التخمين ، إذا استخدمنا الأداة الصحيحة مع الميزات والقدرات المتقدمة ، فإن نتائج استرداد الملفات ستتحسن بشكل كبير وتساعد على إخراج  هذه الملفات او البيانات كما كانت .

أفضل أدوات  File Carving

إذا كنت تبحث بشكل أساسي عن سجلات Logs من Microsoft ، فإن EVTXtract مثالي لك. فهو واحدمن أفضل الأدوات المتاحة ، والتي تستعيد وتعيد تشكيل أجزاء ملفات السجل EVTX من البيانات الثنائية الخام ، وصورة الذاكرة ، والمساحة غير المخصصة.

إذا لم تكن على دراية ، فسوف تكون سجلات EVTX متوفرة بأحد التنسيقات الأكثر شيوعًا ، ولكن لا يزال استردادها بهذه السهولة. هذا لأنه يتم تشفير هذه الملفات باستخدام تمثيل XML ثنائي خاص بـ Microsoft ، ويعتمد على السجلات الموجودة في مكان قريب. ولكن عندما نتعامل مع مساحة تالفة أو غير مخصصة ، يجب أن تمر عملية الاسترداد بالعديد من المراحل.

EVTXtract هو في الواقع برنامج نصي Python ، يمكنك تشغيله بسهولة على أي منصات مثل أنظمة التشغيل Windows و Linux و MacOS.  

bulk_extractor هي أداة File Carving أخرى تقوم بمسح دليل للملفات وصورة القرص واستخراج معلومات مفيدة دون تحليل نظام الملفات أو بنيات نظام الملفات. يمكن أن يوفر دفق إخراج لأنواع كثيرة من الملفات بما في ذلك domain.txt ، ccn.txt ، ether.txt ، exif.txt ، find.txt ، إلخ.

هذه الأداة تتميز بالعديد من القدرات الأساسية والمتقدمة ، لأنه يتجاهل بنية نظام الملفات ، يوفر bulk_extractor سرعة ودقة لا مثيل لها عند مقارنتهما بالآخرين.

 يقوم البرنامج بتقسيم القرص إلى 16 ميغا بايت ويقوم بمعالجة صفحة واحدة على كل نواة متوفرة. هذا يعني في الأساس أن الأجهزة التي تحتوي على 24 قلبًا تعالج قرصًا بمعدل 24 مرة تقريبًا أسرع من الجهاز ذي النواة الواحدة. على الرغم من هذا ، يكتشف bulk_extractor تلقائيًا البيانات المضغوطة ويقوم بإلغاء ضغطها ويعيد معالجتها بشكل متكرر باستخدام مجموعة متنوعة من الخوارزميات المتقدمة. إنه متاح لأنظمة Windows و Linux.

 يعتبر Scalpel أيضًا تطبيقًا جيدًا File Carving وفهرستها لأنظمة Windows و Linux. تم إصداره في البداية في عام 2005 واستنادا إلى Foremost 0.69. بعد عدد من الإصدارات ، تحسنت مميزاته كثيرًا.

نتحدث عن الإصدار العام الجديد v2.0 ، فهو يأتي مع أحجام نحت أقل ، ودعم التعبيرات العادية headers/footers ، و multithreading  لتنفيذ أسرع على CPU متعددة النواة ، إلخ. قادر حتى على معالجة أنواع الملفات المنظمة التي تحتوي على ملفات مضمنة.

تعتمد أداة File Carving هذه على التعرف على الأنماط التي تصف أنواع معينة من أجزاء الملفات أو البيانات . يمكن أن تستند الأنماط إلى سلاسل ثنائية أو تعبيرات عادية. إذا كنت مهتمًا ، يمكنك العثور على عدد الأنماط الافتراضية في ملف التكوين المضمّن في scalpel.conf  .  

  


from موضوع جديد لك http://bit.ly/2WWHdaC