هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

طريقة اضافة custom file signature لاداة photorec

في تدوينة سابقة وضحت مفهوم File carving وماذا يقصد بالرقم السحري magic number والذي يتم الاعتماد عليه للتفريق بين انواع الملفات.  اداة photorec من اشهر الادوات لعمل file carving حيث ان الاداة تدعم بشكل افتراضي اكثر من 320 نوع من الملفات.

يمكن استخدام امر fidentify مع اي ملف لمعرفة اذا كان الملف معروف بالنسبة لاداة photorec . في حالة كان هناك ملف غير معروف لاداة photorec ونريد اضافته نقوم بالتالي

1- قم باستخراج magic number من الملف عن طريق فتح الملف باستخدام محرر هيكس ، في العاده تكون من ثلاثه الى 8 byte ، في حالة كنت غير متاكد ماهو طول القيمه يمكنك قراءة documentation الخاصة بنوع الملف في الموقع الرسمي او فتح اكثر من ملف ومعرفه بدايه القيمه المشتركه بينهم.

2- قم بانشاء ملف photorec.sig في مجلد المستخدم في نظام لينكس home/userName/

3- قم باضافه القيمه الى ملف photorec.sig كالتالي

extension offset magic_number

مثال:

سوف اقوم باضافه امتداد جديد الى اداة photorec وهو امتداد ملفات prefetch الموجوده في نظام وندوز. في البداية سوف اتاكد بان اداة photorec لا تتعرف على هذا النوع من الملفات ليتم اضافته.

الملف غير معروف بالنسبة للاداة، سوف اقوم بفتح الملف عن طريق محرر الهيكس واستخراج القيمه لخاصه بهذا النوع من الملفات

سوف اقوم باضافة القيمه الى ملف photorec.sig واضافه 0x للدلاله ان القيمه بالهيكس

الاداة تتعرف على الملف وتم التعرف عليه بانه ملف pf وهو امتداد الملف المعروف

تعليق واحد
  1. Pingback: مفهوم File Carving | علي الوشلي

اضف تعليق