File Carving in obnovitev podatkov

Postopek pridobivanja nedostopnih, formatiranih ali poškodovanih ali poškodovanih podatkov z nosilca podatkov, kadar do njih ni mogoče dostopati z običajnimi metodami, se imenuje Obnovitev podatkov. Informacije se običajno povrnejo s pomnilniških medijev; na primer notranji in zunanji trdi diski (HDD); polprevodniški pogoni (SSD); bliskovni pogoni; magnetni pomnilnik, kot so CD-ji in DVD-ji; Podsistemi RAID; in drugi elektronski pripomočki. Obnovitev bi lahko bila potrebna zaradi fizične škode za shranjevalne naprave ali legitimne škode datotečnemu sistemu, ki preprečuje, da bi sistem deloval gostiteljski operacijski sistem (OS). Dokončni cilj je podvojiti vse temeljne zapise s poškodovanega medija na nov pogon. Podatke je mogoče hitro varnostno kopirati z uporabo CD-ja ali DVD-ja v živo, z zakonitim zagonom iz ROM-a, namesto da bi poškodovan pogon ali napravo pobirali informacije iz sistema.

CD-ji ali DVD-ji v živo ponujajo način za zagon sistemskega pogona, pa tudi izmenljivega ali fiksnega medijskega pogona, kar vam omogoča, da za nalaganje datoteke uporabite upravitelj datotek ali programsko opremo. Diskovni strežnik lahko poškoduje te primere in shrani dragocene ali lastniške podatkovne datoteke v ločene oddelke v datotekah OS.

File Carving je postopek, ki se uporablja pri preiskavi kraja zločina v računalniku za pridobivanje informacij s trdega diska ali drugih pomnilniških naprav brez pomoči tabele datotečnega sistema, ki je prvotno ustvarila prvotno datoteko. File Carving je strategija, ki prevzame nadzor nad dokumenti v nedodeljenem prostoru brez podatkov in se uporablja za obnovitev informacij za izvajanje računalniškega kliničnega pregleda. Ta postopek se je sprva imenoval "oblikovanje", kar je splošen izraz za odstranjevanje organiziranih informacij iz surovih informacij, glede na posebne lastnosti vzorca organizacije shranjenih informacij.

Forenzična metoda za povrnitev dokumentov je odvisna od strukture in vsebine datotek brez ustreznih metapodatkov datotečnega sistema. Izrezljanje datotek vam omogoča obnovitev datotek iz nedodeljenega prostora na katerem koli pogonu. Območje pogona, označeno s strukturo datotečnega sistema (tabela datotek), ki ne vsebuje nobenih informacij o datotečnem sistemu, se imenuje nedodeljen prostor.

Manjkajoče ali poškodovane strukture datotečnega sistema lahko vplivajo na celoten pogon. Preprosto povedano, mnogi datotečni sistemi ne izbrišejo podatkov, ko jih izbrišejo. Namesto tega preprosto odpravi znanje, od kod je. Optično branje bajtov in njihovo urejanje je osnovni postopek rezbarjenja datotek. Ta postopek izvaja pregledovanje glave (prvi bajti) in noge (zadnji bajti) datoteke.

Rezbarjenje datotek je odličen način za obnovitev datotek in njihovih fragmentov, kadar je besedilo poškodovano ali manjka. Strokovnjaki ga pogosto uporabljajo pri odpravljanju težav za ponovno preučitev dokazov. Primer prepovedi in zmožnosti evakuacije medijev se je zgodil, ko so bile informacije odstranjene iz taborišč Osame Bin Ladena med napadom ameriške mornarice Seals. Forenzični preiskovalci so za obnovitev podatkov iz pogonov in sistemov, ki se uporabljajo v taboriščih, uporabili metode za obnovitev datotek.

Pregled datotečnih sistemov

A datotečni sistem is vrsta zbirke podatkov, ki se uporablja za shranjevanje, posodabljanje in pridobivanje datotek ali več številk datotek. To je način, na katerega se datoteke logično arhivirajo in poimenujejo za arhiviranje in obnovitev. Spodaj so omenjene različne vrste datotečnih sistemov:

Datotečni sistem Windows: Microsoft Windows uporablja samo dve vrsti FAT in NTFS.

• MAŠČOBA, kar pomeni "tabela za dodeljevanje datotek", je najpreprostejša vrsta datotečnega sistema, ki vsebuje zagonski sektor, tabelo za dodeljevanje datotek in preprost prostor za shranjevanje datotek in map. Pred kratkim so FAT prišli v FAT16, FAT12 in FAT32. FAT32 je združljiv s pomnilniškimi napravami s sistemom Windows. Windows ne more ustvariti datotečnega sistema FAT32 z datoteko, večjo od 32 GB.
• NTFS, okrajšava od »New Technology File System« je zdaj privzeti datotečni sistem za datoteke, večje od 32 GB. Šifriranje in nadzor dostopa so nekatere glavne lastnosti tega datotečnega sistema.

Datotečni sistem Linux: Linux je široko uporabljen odprtokodni operacijski sistem in je bil razvit za testiranje in razvoj. Ta OS je bil namenjen uporabi različnih konceptov datotečnega sistema. V Linuxu obstaja več vrst datotečnih sistemov.

• Zunanja2, Zunanja3, Zunanja4 - To je lokalni ali privzeti datotečni sistem Linux. Korenski datotečni sistem je praviloma preslikan na celotno distribucijo Linuxa. Datotečni sistem Ext3 je odlična posodobitev prej uporabljenega datotečnega sistema Ext2; uporablja operacijo pisanja transakcijske datoteke.  Ext4 je razširitvena datoteka, ki podpira informacije in dodeljevanje datotek Ext3.
• ReiserFS - Težavo z datotečnim sistemom rešimo tako, da hkrati shranimo veliko majhnih datotek. Upravitelj datotek se dobro nasmeje in dovoljenje združljive datoteke, shranjevanje kode datoteke, datoteka vsebuje metapodatke v načinu, da zaradi svoje velikosti ne uporablja velikega datotečnega sistema.
•  XFS - Datotečni sistem XFS deluje dobro in se pogosto uporablja za arhiviranje datotek. Ta vrsta datotečnega sistema je priljubljena na strežnikih IRIX.
• JFS - IBM je razvil ta datotečni sistem in postal je datotečni sistem, ki se uporablja v skoraj vseh distribucijah Linuxa

datotečni sistem macOS: Operacijski sistem Apple Macintosh uporablja samo HFS + datotečni sistem brez razširitve datotečnega sistema HFS. MacOS, iPhones, iPad in vsi drugi izdelki Apple uporabljajo HFS + datotečni sistem. Nekateri izdelki Apple Server uporabljajo datotečni sistem Hscan. Ta priznani datotečni sistem vodi podatke o pogledu imenikov, lokaciji Windows itd.

Tehnike rezbarjenja datotek

Med digitalno preiskavo je treba analizirati različne vrste medijev. Veljavne informacije lahko najdete v več pomnilniških napravah in v pomnilniku računalnika. Razčlenjene so lahko različne vrste informacij, na primer e-pošta, elektronska poročila, dnevniki okvirov in medijski zapisi. Izrezljanje datotek je tehnika obnovitve, pri kateri se upoštevata samo vsebina in struktura datoteke, ne pa metapodatki datotek, ki se uporabljajo pri organizaciji podatkov na pomnilniškem mediju.

Spodaj je nekaj terminologij za rezanje datotek, ki si jih je treba zapomniti:

• Blokiraj - Najmanjša velikost podatkovnih enot, ki jih je mogoče zapisati v pomnilnik
• Glava - Izhodišče datoteke.
• Noga - Zadnji bajti datoteke.
• Drobec - Eden ali več blokov pripada eni datoteki.
• Osnovni fragment - Prvi fragment vsebnika datoteke, glava datoteke.
• Točka drobljenja - Zadnji blok tik pred razdrobitvijo. Več fragmentov v kateri koli datoteki povzroči več točk fragmentacije.

Vrhunske korporativne univerzalne tehnike rezbarjenja so naslednje:

• Tehnika glave in noge (ali glave - “največja velikost datoteke”) - Osnovna strategija tukaj je izrezljanje datotek glede na naslov in rokopis ali celotne datoteke.

1. Datoteke z razširitvami JPG ali JPEG - "\ XFF \ xD8" in "\ xFF \ xD9."
2. GIF - z naslovom »\ x47 \ x49 \ x46 \ x38 \ x37 \ x61« in »\ x00 \ x3B« noga.
3. PST: “! BDN ”brez noge.
4. Če datotečni sistem nima osnove, je največje število datotek, uporabljenih v programu za rezbarjenje.

• Rezbarjenje na osnovi datoteke

1. Notranja postavitev datoteke se uporablja kot osnovna tehnika.
2. Podatki o glavi, nogi, ID-jih in velikosti so osnovni elementi.

• Vsebinsko rezbarjenje

Struktura vsebine je brezplačna (MBOX, HTML, XML)

• Značilnosti materiala

1. Štejte znake
2. Prepoznavanje besedila / jezika
3. Črno-beli seznam podatkov
4. Informacijska entropija
5. Statistične značilnosti (Chi²)

Rezanje datoteke (brez uporabe nobenega orodja)

Nato bomo videli, kako izrezljati a .jpeg brez uporabe orodja. Najprej moramo poznati strukturo .jpeg datoteka (glava in noga itd.). Za to bomo odprli a .jpeg slika v Hex urejevalnik, da preuči, kaj je glava in noga .jpeg datoteka izgleda.

Tu smo našli glavo datoteke ( FFD8FFE0). Zdaj, da bi našli nogo, bomo preučili zadnje bajte v datoteki.

Tukaj je noga datoteke ali napovednik (FFD9).

Če imate dokument s sliko, lahko sliko izrežete tako, da poznate njeno glavo in nogo.

Zdaj imamo besedilno datoteko s sliko. S to tehniko bomo izrezali sliko.

Prva stvar, ki jo moramo storiti, je odpreti ta besedni dokument z Hex urednik s klikom Datoteka >> Odpri.

Tu lahko vidimo sliko, ki prikazuje podatke besedne datoteke v šestnajstiški obliki. Kot že vemo, .jpeg ima glavo v vrednosti FFD8FFE0, zato bomo glavo datoteke poiskali s pritiskom na Ctrl + F ali Išči >> Datoteka in vnos znane vrednosti glave (v tem koraku je zelo pomembna izbira podatkovnega tipa šestnajstiške vrednosti).

Vrednost podpisa bomo našli pri Offset 14FD.

Nato moramo poiskati nogo ali napovednik. Vemo, da .Datoteka jpeg ima nogo v vrednosti FFD9, zato bomo nogo datoteke poiskali s pritiskom na Ctrl + F ali Išči >> Datoteka in vnos znane vrednosti noge (izbira podatkovnega tipa šestnajstiške vrednosti je zelo pomembna.

Vrednost noge bomo našli pri Offset 2ADB.

Trenutno imamo glavo in nogo dokumenta jpeg, in kot smo pred kratkim navedli, so med glavo in nogo informacije zapisa jpeg. Tu podvojimo celoten kvadrat informacij z glavo in nogo ter jih shranimo kot drugo datoteko.

Pojdi do EDIT >> Izberite Block in vnesite oba naslednja izraza:

Odmik glave datoteke: 14FD

Odmik noge datoteke:  2ADB

Po vnosu teh vrednosti je celoten .jpeg datoteka bo označena z modro. Če ga želite shraniti kot datoteko dfile, jo kopirajte tako, da z desno miškino tipko kliknete in izberete Kopirati, ali s pritiskom na Ctrl + C. Nato bomo informacije prilepili v novo datoteko. Pojavilo se bo pogovorno okno in kliknili bomo v redu. Zdaj smo pripravljeni datoteko shraniti s klikom Datoteka >> Shrani kot ali pritisnete Ctrl + S. Če odprete to kopirano datoteko, boste videli isto sliko kot v prvotnem dokumentu. To je osnovna tehnika za rezljanje predstavnostnih datotek.

Orodja za rezanje podatkov

Orodja za obnovitev podatkov igrajo pomembno vlogo v večini forenzičnih preiskav, saj pametni napadalci vedno poskušajo izbrisati dokaze o svojih zločinih. Spodaj je nekaj pomembnih orodij za obnovitev podatkov v Linux in Windows.

• Prednost (orodje za rezanje datotek)

Za obnovitev datotek, ki so izgubljene zaradi njihovih notranjih podatkovnih struktur, glav in nog, predvsem, je lahko uporabljen. Foremost ponavadi vnese v različne slikovne formate, na primer AFF ali surove formate, ki jih je mogoče ustvariti z različnimi orodji, kot so FTK Imager, DD, encase itd.  Lahko se pomaknete do strani s pomočjo za Foremost, da se naučite in raziščete njene močne ukaze z naslednjim ukazom:

[zaščitena po e-pošti]: ~ $ foremost -h Obnovi datoteke s slike diska na podlagi vrst datotek, ki jih določa
uporabnik s stikalom -t.
jpg Podpora za formata JFIF in Exif, vključno z izvedbami
uporabljajo v sodobnih digitalnih fotoaparatih.
gif
png
bmp Podpora za Windows bmp format.
avi
exe Podpora za binarne datoteke Windows PE bo izvlekla datoteke DLL in EXE
skupaj s časom prevajanja.
mpg Podpora za večino datotek MPEG (začeti se mora z 0x000001BA)
wav
riff To bo izvleklo AVI in RIFF, ker uporabljata isto datoteko za
podloga (RIFF). zapisek hitreje kot zagon vsakega posebej.
wmv Note lahko tudi izvleče datoteke wma, saj imajo podobno obliko.
ole To bo zajelo katero koli datoteko z uporabo strukture datotek OLE. To
vključuje PowerPoint, Word, Excel, Access in StarWriter
doc Upoštevajte, da je učinkoviteje zagnati OLE, ko dobite več udarcev
svoj denar. Če želite prezreti vse druge datoteke ole, potem uporabite
to.
zip Opomba bo izvlekel .jar datoteke, ker uporabljajo podobno
format. Dokumenti Open Office so samo datoteke z datotekami XML, tako da so
se tudi pridobivajo. Sem spadajo SXW, SXC, SXI in SX? za
nedoločene datoteke OpenOffice. Datoteke Office 2007 so tudi XML
na osnovi (PPTX, DOCX, XLSX)
rar
htm
cpp C zaznavanje izvorne kode, upoštevajte, da je to primitivno in lahko povzroči
dokumenti, ki niso koda C.
mp4 Podpora za datoteke MP4.
vse Zaženi vse vnaprej določene metode ekstrakcije. [Privzeto, če ni -t je
določeno]

• BinWalk

BinWalk se uporablja za upravljanje binarnih knjižnic in pridobivanje pomembnih podatkov iz slik vdelane programske opreme. To orodje je odlično za tiste, ki ga znajo uporabljati. BinWalk velja za eno najboljših orodij za obratno inženirstvo in pridobivanje slik vdelane programske opreme. BinWalk je enostaven za uporabo in ima ogromne zmogljivosti. Če želite izvedeti več z naslednjim ukazom, se pomaknite na stran s pomočjo binwalka:

[zaščiteno po e-pošti]: ~ $ binwalk --help Možnosti optičnega branja podpisa:
-B, --signature Ciljne datoteke za splošne podpise datotek
-R, --raw = Preišči ciljne datoteke za določeno zaporedje bajtov
-A, --opcodes Optično preberite ciljne datoteke za običajne izvedljive podpise opcode
-m, --magic = Določite čarobno datoteko po meri, ki jo želite uporabiti
-b, --dumb Onemogoči ključne besede s pametnim podpisom
-I, --invalid Prikaži rezultate, označene kot neveljavni
-x, --exclude = Izključi rezultate, ki se ujemajo
-y, --include = Pokaži samo rezultate, ki se ujemajo
Možnosti pridobivanja:
-e, --extract Samodejno izvleči znane vrste datotek
-D, --dd = Izvleci podpise, datotekam podaljšajte in izvedite
-M, --matryoshka Rekurzivno skeniranje ekstrahiranih datotek
-d, --depth = Omeji globino rekurzije matrjoške (privzeto: 8 globin)
-C, --directory = Izvleči datoteke / mape v imenik po meri (privzeto: trenutni delovni imenik)
-j, --size = Omeji velikost vsake izvlečene datoteke
-n, --count = Omejite število izvlečenih datotek
-r, --rm Izbriši izrezljane datoteke po ekstrakciji
-z, --carve Izrezka podatke iz datotek, vendar ne izvajajte pripomočkov za ekstrakcijo
Možnosti analize entropije:
-E, --entropija Izračunajte entropijo datoteke
-F, --hitro Uporabite hitrejšo, vendar manj podrobno analizo entropije
-J, --save Shrani ploskev kot PNG
-Q, --nlegend Izpusti legendo iz grafa entropijske ploskve
-N, --nplot Ne ustvarjajte grafa grafike entropije
-H, --high = Nastavi prag sprožitve entropije naraščajočega roba (privzeto: 0.95)
-L, --low = Nastavi prag sprožitve entropije padajočega roba (privzeto: 0.85)
Binarne možnosti razlikovanja:
-W, --hexdump Izvedite hexdump / diff datoteke ali datotek
-G, --green Prikazujejo samo vrstice, ki vsebujejo bajte, ki so enaki med vsemi datotekami
-i, --red Prikazujejo samo vrstice, ki vsebujejo bajte, ki se med vsemi datotekami razlikujejo
-U, --blue Prikazujejo samo vrstice, ki vsebujejo bajte, ki se med nekaterimi datotekami razlikujejo
-w, --terse Razlikuje vse datoteke, vendar prikaže samo šestnajstiški izpis prve datoteke
Neobdelane možnosti stiskanja:
-X, --deflate Preišči surove spuščene stiskalne tokove
-Z, --lzma Skeniranje za surove tokove stiskanja LZMA
-P, --partial Izvedite površno, a hitreje skeniranje
-S, --stop Stop po prvem rezultatu
Splošne možnosti:
-l, --length = Število bajtov za skeniranje
-o, --offset = Začni optično branje pri tem odmiku datoteke
-O, --base = Dodaj osnovni naslov vsem natisnjenim odmikom
-K, --block = Nastavi velikost bloka datoteke
-g, --swap = Pred skeniranjem obrnite vsakih n bajtov
-f, --log = Zapiši rezultate v datoteko
-c, --csv Dnevnik rezultatov v datoteko v obliki CSV
-t, --term Izhod formatirajte tako, da ustreza oknu terminala
-q, --quiet Potisni izhod v stdout
-v, --verbose Omogoči podroben izhod
-h, --help Pokaži izhod za pomoč
-a, --finclude = Optično preberi samo datoteke, katerih imena se ujemajo s tem regularnim izrazom
-p, --fexclude = Ne skeniraj datotek, katerih imena se ujemajo s tem regularnim izrazom
-s, --status = Omogoči strežnik stanja na določenih vratih

Obnovitev podatkov z formatiranih diskov

Orodja za obnovitev podatkov je treba skrbno izbrati, če želite obnoviti podatke z formatiranih diskov, pogonov USB in pomnilniških kartic. Orodja, namenjena dokončanju različnih dejavnosti, lahko prinesejo nepričakovane rezultate. Spodaj si bomo ogledali nekatere razlike med različnimi orodji za obnovitev podatkov za popravek podatkov v formatiranih pogonih.

Neformat

Prva usodna napaka, ki jo naredijo mnogi uporabniki računalnikov ob nenamernem formatiranju pogonov, je iskanje, namestitev in uporaba "neformatiranih" orodij. Teh orodij je na trgu veliko; nekatere so komercialne, druge pa brezplačno blago. Namen teh orodij je obnoviti ali ponovno ustvariti predoblikovani disk z obnovitvijo datotečnega sistema.

Čeprav se to morda zdi izvedljiv pristop za neizkušene, je na koncu morda večja napaka kot izguba datotek. Formatiranje diska izbriše izvirni datotečni sistem in ga vsaj delno nadomesti, običajno na začetku. Ko poskušate obnoviti stari datotečni sistem, je najboljši disk, ki je berljiv z nekaterimi datotekami. Vsega ni mogoče obnoviti natanko tako, kot je bilo na ta način, in najdragocenejše datoteke bodo morda ogrožene, na disku bodo le naključni vzorci izvirnih datotek. Ko razmišljate o "formatiranju" sistemskega pogona, pozabite; izginilo bo vsaj nekaj sistemskih datotek. Tudi če lahko zaženete operacijski sistem, nikoli ne boste dobili stabilnega sistema.

Prekliči brisanje

Druga napaka, ki jo bodo naredili številni uporabniki računalnikov, je uporaba orodij za obnovitev. Čeprav ta orodja obstajajo in običajno dobro opravljajo svoje naloge, niso zasnovana za obdelavo diskov z izključenim datotečnim sistemom. Tudi z nekaterimi najboljšimi orodji za obnovitev, na primer z obnovitvijo datotek RS, lahko izbrišete več datotek, vendar je to približno to.

Obnovitev particije

Če želite obnoviti datoteke, poiščite orodje za obnovitev particij, kot je obnovitev particij RS. To orodje je zasnovano za obdelavo porazdeljenih, formatiranih in poškodovanih diskov in lahko optično prebere celotno površino diska ali particije, da obnovi vse, kar najde. Tudi če je datotečni sistem prazen ali izbrisan, lahko to orodje s pomočjo funkcije podpisa obnovi številne vrste datotek, kot so dokumenti, slike in videoposnetki. Čeprav so segmentirana orodja za obnovitev vrhunska za obnovitev podatkov, so običajno precej draga. Če želite obnoviti samo formatirani disk, je koristno, da namesto tega iščete in shranite.

Izterjava maščob in NTFS

Z izbiro orodja, ki obnovi le diske v formatu FAT ali NTFS, lahko prihranite do 40% stroškov obnovitve Partition RS. Ne pozabite, da boste morali kupiti orodje, ki je primerno za izvirni datotečni sistem in ne za zgoraj zapisano. Če je originalni pogon NTFS, dobite NTFS Recovery RS. Če je FAT ali FAT32, dobite FAT Recovery RS. Tako boste dobili enaka kakovostna orodja, vendar boste omejeni na formatiranje FAT ali NTFS. To je popolna izbira za edinstveno delo.

Rezanje datotek (z orodjem)

PhotoRec je izjemna programska oprema, ki se uporablja za izrezovanje datotek, zlasti datotek jpeg ali slik (zato se imenuje Photo Recovery). PhotoRec spregleda okvir dokumenta in sledi osnovnim informacijam, zato bo deloval ne glede na to, ali je bil medijski okvir vašega medija resno poškodovan ali preoblikovan. Photorec je enostavno dostopen v operacijskih sistemih Windows.

Kot primer bomo s tem orodjem obnovili slikovne datoteke iz 8-GB bliskovnega pogona.

Najprej zaženite PhotoRec.exe datoteko in zaženite aplikacijo. Videli bomo tak zaslon:

Tukaj so prikazane vse particije. Mi bomo izbrali / K kot naš želeni cilj, s katerega lahko obnovimo podatke.

Tu lahko vidimo, kateri datotečni sistem uporablja ta particija, na dnu pa so štiri možnosti.

Iskanje - S tem boste poiskali particijo, v kateri so datoteke za obnovitev.
Opcije - Uporablja se za manjše spremembe možnosti.
Datoteka Opt - Uporablja se za spreminjanje vrst datotek, ki jih je treba obnoviti.
Prenehati - Zapre postopek.

Mi bomo izbrali Datoteka Opt (Možnosti datoteke):

Tako bomo dobili možnosti za izbiro datotek, ki jih želimo obnoviti z želene particije. Pritisnite S bo odznačil vse možnosti. Mi bomo izbrali Slike JPG, saj želimo iz pogona obnoviti samo slikovne datoteke. Nato bomo pritisnili B.

Če želite izbrati Datotečni sistem, vrnite se na glavne možnosti in izberite Drugo. Glede možnosti obnovitve imamo dve možnosti:

• si opomore od celotna particija
• okrevanje od samo nedodeljen prostor (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3 itd.). S to možnostjo bodo obnovljene samo datoteke, ki so bile izbrisane.

Zdaj vse, kar moramo storiti, je, da nastavimo mesto, kjer bodo izbrisane datoteke obnovljene. Po tem se bo postopek obnovitve začel in končal po nekaj časa.  Nato bomo poiskali obnovljene datoteke na nastavljenem mestu. Obnovljene slikovne datoteke bodo tam.

Zaključek

File Carving je dobro znan forenzični računalniški izraz, ki opisuje prepoznavanje vrst datotek in njihovo odstranjevanje iz nepodrejenih skupin z uporabo podpisov datotek. Podpis datoteke, znan tudi kot čarobna številka, je številska ali trajna besedilna vrednost, ki se uporablja za identifikacijo oblike datoteke. Pridobivanje datotek ali podatkov je izraz, ki se uporablja na področju forenzične informatike. Računalniško podprto forenzična preiskava je pridobivanje, preverjanje, analiza in dokumentiranje dokazov v računalniškem sistemu, omrežju računalnikov ali drugih oblikah digitalnih medijev. Kliče se pridobivanje pomembnih podatkov iz neobdelanih podatkov rezbarjenje.

Klesanje datotek je identifikacija in obnovitev datotek na podlagi analize formata. Pri forenzičnem računalništvu je kiparstvo koristen način iskanja skritih ali izbrisanih datotek na digitalnih medijih. Datoteke lahko skrijete na območjih, kot so izgubljene gruče, nedodeljene gruče in predvajanje diskov ali digitalnih medijev. Za uporabo te metode ekstrakcije mora datoteka imeti standardni podpis, imenovan a glava datoteke, na začetku datoteke. Za pridobitev glave datoteke bo orodje za obnovitev nadaljevalo poizvedbe, dokler ne doseže noge datoteke na koncu datoteke. Podatki med glavo in nogo se izvlečejo in analizirajo, da se zagotovi celovitost. V njegovih algoritmih je uporabljenih več metod kiparjenja, odvisno od vrste datoteke.

Sodobni operacijski sistemi izbrisanih datotek ne dovolijo popolnoma izbrisati brez dovoljenja uporabnika. Izbrisane datoteke je mogoče obnoviti z različnimi forenzičnimi orodji in taktikami, če izbrisanih datotek ne dodate v drugo datoteko. Poškodovane datoteke je mogoče obnoviti, če podatki niso poškodovani do neprepoznavnosti.

Med obnovitvijo datotek in rezbanjem datotek je velika razlika. Obnovitev datotek uporablja podatke iz datotečnega sistema; z uporabo teh informacij je mogoče obnoviti več datotek. Če so informacije napačne, ne bodo delovale. S prihodom rezbarjenja datotek so organi pregona, tehnološki in forenzični strokovnjaki našli še eno orodje, s katerim lahko obnovimo izbrisane podatke. Čeprav ni vedno popoln in dodelan, pa orodja kot Predvsem Scalpel, in Photorec so olajšali rekreacijo datotek kot kdaj koli prej.