مفهوم File Carving

انظمه التشغيل تستطيع تمييز الملفات الموجودة في اقراص التخزين والتعرف عليها ومعالجتها، مقدرة نظام التشغيل على تمييز انواع الملفات تتم عن طريق قراءة بعض القيم التي توجد في بداية ونهائية الملف (header and footer). هذه القيم تحدد نوع الملف بحيث يقوم نظام التشغيل او برنامج بقراءة هذه القيم فيتم التعرف على ان الملف على سبيل المثال ملف لصوره من نوع jpg. امتداد الملف الذي يتم كتابته في نهاية الاسم بعد النقطة مثل mp3. لا يحدد ابدا نوع الملف.

امر file في نظام التشغيل لينكس يستطيع التعرف على معظم انواع الملفات عن طريق قراءة هذه القيم, فعلى سبيل المثال اذا قمنا بفتح ملف صوتي من نوع mp3 باستخدام محرر hex سوف نجد القيمة  494433

هناك قاعدة بيانات تحتوي على تقريبا كل القيم موجوده في filesignatures.net

ماهو File Carving:


عملية استرجاع واستخراج الملفات اعتمادا على قيم يحتويها الملف في header و footer والتي تحدد نوع الملف وبذلك يمكن استخراجه.

في التحقيق الجنائي الرقمي يتم تنفيذ عمليه الـ file carving لاستخراج الملفات من اقراص التخزين بحسب بنية الملف والقيم التي تحدد نوع الملف والتي تسمى بالـ  File Signature او Magic Number.

اشهر الادوات لعمليه الـ File Carving

  • formost
  • photorec
  • Scalpel

اداة photorec تستطيع التعرف على اكثر من 320 ملف واسترجاعهم، ايضا يمكن اضافه magic number غير موجود بشكل افتراضي في الاداة بحيث يتم التعرف عليه واستخراجه.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.