هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

خوارزميات Gap Carving

ذكرت في تدوينة سابقة مفهوم File Carving واهميته في استخراج الملفات من الهارد ديسك. يوجد العديد من الادوات المجانية والتجارية التي تستخدم File Carving للبحث عن الملفات. الاداة التجارية EnCase احد اهم الامثلة للادوات التجارية التي حققت نجاح كبير وتقوم بعمل File Carving بدقة اكبر من الادوات المجانية مثل Foremost.

يكون اداء ادوات File Carving دقيق في حالة كانت الملفات مخزونة في sectors متتالية. تقوم الادة بمقارنة ال Header و Footer واستخراج الملف بكل سهولة. الصعوبة تكمن في مشكلة ال fragmentation التي يقوم بها نظام الملفات لتوزيع اجزاء الملف في sectors مختلفه ومتباعدة وقد يكون بينهم sectors تخص ملفات اخرى. في هذه الحالة يصعب استخراج الملف. لذلك اداء الادوات ليس دقيقة بما يكفي في حالة تم توزيع اجزاء الملف. سوف تكون الملفات المُستخرجة اما معطوبة او تحتاج لتدخل يدوي لاصلاحها.

استخراج الملفات باستخدام File Carving يكون خيار جيد في القضايا التي تخص الملكية الفكرية للملفات. بحيث المحقق الجنائي يملك الملف الذي نبحث عنه ويعرف نوعية الملف ويمكن استخدام اجزاء منه للبحث، التدخل اليدوي لتجميع اجزاء الملف قد يكون ضروريا.

تحسن ملحوظ في عملية الاستخراج اذا تم تخصيص البحث لنوع معين وكتابة خوارزمية بحث تخص نوع واحد. يتم الاعتماد على بنية الملف واستخدام بعض الاجزاء في البحث.

تم تطوير خوارزمية [1] متخصصة لعمل Carving فقط لملفات RAR لتحسين عملية البحث. الخوارزمية تقوم بحساب بعد اجزاء الملف عن بعضها في حالة تم عمليها لها fragmentation واستخراجها. خوارزمية اخرى [2] متخصصة للبحث عن ملفات pdf والتحقق من سلامتها ايضا.

خوارزمية Bifragment Gap Carving

خوارزميات Gap Carving هي التي تعمل على استخراج الملفات التي تم عمل لها Fragmentation وتم تقسيمها على اكثر من sector. خوارزمية[3] BGC من تطوير Garfinkel هي احد الامثلة لمثل هذه الخوارزميات. BGC محصورة في الملفات التي تم تقسيمها على اثنين Sectors فقط. تم اختبارها على 300 هارد ديسك ووصلت دقة الخوارزمية الى 97%.

المصادر

1- Y. Wei, N. Zheng, and M. Xu. An Automatic Carving Method for RAR File Based on Content and Structure
2- M. Chen, N. Zheng, X. Xu, Y.J. Lou, and X. Wang. Validation Algorithms Based on Content Characters and Internal Structure: The PDF File Carving Method
3- S. L. Garfinkel. Carving contiguous and fragmented files with fast object validation. Digital Investigatio

التعليقات مغلقة لهذا المقال.