100413_1328_FileCarving1

file carving عبارة عن العملية المستخدمة في  العلوم الجنائية المتعلقة بالحاسوب لإستخراج البيانات من محرك الاقراص او  اجهزة التخزين الاخرى دون الحاجة لمساعدة نظام الملفات الذي يقوم  بالأصل  بانشاء الملف كما ويعد طريقة لإستعادة الملفات بمساحة غير مخصصة دون اي معلومات للملف ويستخدم لإسترداد البيانات وتنفيذ  التحقيقات الجنائية الرقمية.  تدعى العملية “carving” وهو عبارة عن مصطلح عام لاستخراج البيانات المهيكلة من البيانات الأولية  استناداً  الى  تنسيق الخصائص المحددة المعروضة في البيانات المهيكلة . 

وتقوم العلوم الجنائية على استعادة الملفات استناداً  الى بنية الملف ومحتواه دون الحاجه لمطابقة البيانات الوصفية الخاصه بالملفات من نظام الملفات ، غالبا ما تستخدم عملية file carving لإسترداد الملفات من مساحة غير مخصصة في محرك الاقراص وتشير المساحة الغير مخصصة الى المنطقة على الجهاز التي لم تعد تحمل اي معلومات للملف كما هو مشار اليه من قبل بنية نظام الملفات مثل جدول الملف. وفي حالة تلف او فقدان بنية ملفات النظام فان ذلك قد يتضمن محرك الاقراص باكمله ,وبشكل ابسط فان معظم انظمة الملفات لا تمسح البيانات بشكل كلي  ,بل تقوم بازالة مكان وجودها .

file carving  عملية استعاده الملفات  عن طريق التحقق من البايتات الخام “raw bytes”  من القرص واعادة ترتيبها وتتم هده العملية عادة عن طريق فحص الترويسة (البايتات القليلة الاولى) والتذييل (footer) (البايتات القليلة الاخيرة) للملف.

file carving هي طريقة عظيمة لاسترداد الملفات واجزاء الملفات عندما تكون مدخلات الدليل غير صحيحة او مفقودة وتسخدم هده الطريقة خصيصا من قبل خبراء القضايا الجنائية الرقمية لاسترداد الادلة وفي بعض الحالات المتعلقة بالمواد الاباحية فان وكلاء تطبيق القانون في كثير من الاحيان يكونون قادرين على استرداد المزيد من الصور من الاقراص الصلبة المشتبه بها باستخدام carving techniques  ومثال اخر هو الاقراص الصلبة ووسائل التخزين القابلة للازالة التي قامت القوات البحرية الامريكية باخدها مكان اسامة بن لادن خلال غارتهم , تم استخدام تقنيات file carving لاستخراج كل بت من المعلومات من وسائط المعلومات.

 

الفرق بين file recovery و file carving:


بعد قراءة ما ذكر أعلاه، أعتقد أنك تشعر بالحيرة فإذا كانت   file carving هي طريقة لإستعادة الملفات، إذا  ما هو الفرق بين إستعادة الملفات و  file carving ؟

أنظمة التشغيل الحديثة لا تقوم تلقائياً  بإزالة ملفات  محذوفة مسبقاً  دون الحصول على اذن المستخدم . يمكن إستعادة الملفات المحذوفة   باستخدام بعض برامج التحقيق  الجنائي وذلك  إذا كانت مساحة الملف المحذوف غير مستخدمة  لملف آخر. يمكن استرداد الملفات التالفة فقط إذا كانت إذا بياناتها ليست تالفة فوق درجة  الحد الأدنى . إستعادة الملفات يختلف عن استرداد الملفات ، حيث يتم  استعادة ملف النسخة الاحتياطية المخزن في شكل مضغوط ( encoded ) الى شكله القابل للاستخدام (decoded ) . لذلك هناك فرق بين التقنيات.  تقنيات إستعادة الملفات تقوم بإستخدام معلومات ملفات النظام ، عن طريق استخدام هذه المعلومات، العديد من الملفات يمكن استردادها. لكن  إذا كانت المعلومات غير صحيحة، لن تتم العملية. file carving تعمل فقط على البيانات الأولية على الوسائط و ليس  مرتبطاً  ببنية ملفات النظام .عملية file carving لا تعطي اهتماماً  لأي نظم ملفات  والتي يتم استخدامها للتخزين. وعلى سبيل المثال في نظام الملفات  FAT   عندما يتم حذف الملف، فإن مدخلات الدليل  تغيير الى مساحة غير  مخصصة.يتم استبدال  الحرف الأول من اسم الملف بعلامة، لكن ملف البيانات نفسه يترك دون تغيير. حتى يتم  الكتابه عليه  ، تبقى البيانات  موجودة.

 

نظرة عامة لأنظمة الملفات : 


100413_1328_FileCarving3

نظام الملف هو عبارة عن المكان  الذي يتم حفظ الملفات فيه  وتسميتها منطقيا للتخزين والاسترجاع.
تستخدم Microsoft windows ببساطة نوعين من نظم الملفات هما FAT و NTFS

  •  FAT: وهي اختصار   ” file allocation table  “،و هو أبسط انوع نظم الملفات. وهو يتألف من boot sector,  وجدول تخصيص الملفات ، ومساحة تخزين  لتخزين الملفات والمجلدات. في الآونة الأخيرة، وقد تم تمديد FAT إلى FAT12 ، FAT16، FAT32 و. FAT32 لتتوافق مع أجهزة التخزين المستندة إلى نظام ويندوز .  لا يمكن لنظام ويندوز إنشاء نظام الملفات FAT32 مع حجم أكثر من 32GB .
  •  NTFS، أو ”  new technology file system   ” بدأت عندما ظهرت Windows NT في الأسواق . NTFS هو النوع الافتراضي لأنظمة الملفات فوق 32GB.  نظام الملفات هذا يدعم العديد من خصائص الملف، بما في ذلك التشفير والصلاحيات.

أنظمة ملفات Linux : كما نعلم أن Linux هو نظام تشغيل  مفتوح المصدر . وقد وضع للاختبار والتطوير ويهدف الى استخدام مختلف مفاهيم أنظمة الملفات. في Linux  هناك أنواع أنظمة الملفات

  •   EXT2، EXT3 ، EXT4  -هذا هو نظام الملفات Linux  الأصلي. عموما يسمى نظام الملفات نظام الملفات الأصل لجميع توزيعات Linux .  نظام الملفات EXT3 هو مجرد ترقية لنظام ملفات Ext2  والذي  يستخدم عمليات كتابة  ملف المعاملات. EXT4 هو ترقية لنظام  EXT3 والذي يدعم تحسين معلومات تخصيص الملفات وسمات الملفات

الفقره هنا

أنظمة ملفات MacOS: تستخدم Apple Macintosh OS  نظام الملفات + HFS فقط، الذي هو امتداد لنظام الملفات HFS. يتم تطبيق نظام ملفات HFS + على سطح المكتب  لمنتجات Apple ، بما في ذلك Computer Mac، iphone ، ipods ،  ومنتجات  Apple X server   . منتجات server  المتقدمة أيضا استخدام نظام الملفات Apple Xsan ,  نظام الملفات المجمع مستمد من نظم الملفات StorNext أو  CentraVision.
بالإضافة إلى الملفات والمجلدات ، يقوم نظام الملفات هذا  أيضا بتخزين معلومات استكشافية  عن عرض الدلائل ومواقع النوافذ، الخ

تقنيات file carving : خلال التحقيقات الرقمية، يجب تحليل أنواع مختلفة من الوسائط  يجب . ويمكن الاطلاع على البيانات ذات الصلة على مختلف أجهزة التخزين والشبكات وفي ذاكرة الكمبيوتر. أنواع مختلفة من البيانات مثل رسائل البريد الإلكتروني والوثائق الإلكترونية، وسجلات النظام، وملفات الوسائط المتعددة لا بد من تحليلها. في هذه المقالة، نحن نركز على استعادة ملفات الوسائط المتعددة المخزنة إما على أجهزة التخزين أو في ذاكرة الكمبيوتر باستخدام طريقة File carving  . وهي تقنية للاسترجاع والتي تهتم بمحتويات وبنية الملفات  بدلا من نظم ملفات أخرى  أو غيرها من البيانات الوصفية التي تستخدم لتنظيم البيانات على وسائط التخزين. يلخص الشكل أدناه مصطلحات  عملية file carving

100413_1328_FileCarving4blob:https%3A//mail.google

تقنيات file carving العامة الأكثر شيوعا هي:


  • أعتمادا على header و footer : 

header و footer الخاصه بملفات jpeg

JPEG—”\xFF\xD8″ header and “\xFF\xD9” footer

header و footer الخاصه بملفات gif

GIF—”\x47\x49\x46\x38\x37\x61″ header and “\x00\x3B”

اذا لم يحتوي الملف على footer يتم افتراض اكبر مساحه لملف في الاداه التي اُستخدمت في عمليه file carving .

  • اعتماداً على بنبية محتوى الملف 

في هذه الطريقة يتم النظر في بينة المحتوى الخاص بالملف مثل .

  • القائمه السوداء والبيضاء المخزنه مسبقا
  • لغة النص
  • عدد الاحرف
  • خصائص البيانات
  • وغيرها

 

أدوات تستخدم على نطاق واسع لعملية file carving :  


ادوات استعادة البيانات تلعب دورا هاما في معظم  التحقيقات الجنائية  لأن مستخدمي الملفات  الخبيثة أذكياء وسوف يحاولون دائما حذف  اي شيء يدل على اعمالهم الغير مشروعة

 بعض الأدوات  الهامة لإستعادة البيانات :

1. Scalpel
2. FTK
3. Encase
4. Foremost
5. PhotoRec
6. Revit
7. TestDisk
8. Magic Rescue
9. F-Engrave

 

 

Carving Tutorial :


في هذا القسم سوف نظهر لك كيفية carve a file دون استخدام أداة carving .

100413_1328_FileCarving5

أولا،  سوف نرى كيفية carve a file بشكل بسيط، قبل البداية في أولاً سوف ننظر الى بنية ملف jpeg . كمثال على ذلك، عندما نفتح صورة في محرر hex. بشكل أساسي  ملف jpeg يبدأ ب FFD8FFE0، وهو ما يسمى header .

100413_1328_FileCarving6

وينتهي ب FFD9، وهو ما يسمىtrailer .

100413_1328_FileCarving7

والبقية تعتبر ملف JPEG نفسه,  لذلك إذا كان لدينا أي نوع من ملفات  الوثائق  التي تحتوي على صور، إذا وضعنا البادئة والتذيل للصورة  يمكننا استردادها من الوثائق. وفي هذه المقاله  لدينا ملف Microsoft Word  و هناك صورة في هذا الملف، لذلك علينا carve the picture خارج ملف word .

100413_1328_FileCarving8

اولا قم بفتح محرر Hex وقم بفتح ملف word هذا بإستخدام المحرر

HxD > File >Open > your word file

100413_1328_FileCarving9

في الشكل اعلاه، يمكننا أن نرى البيانات السداسية العشرية الخام  التي تشكل وثائق برنامج word . ضمن هذا كتلة من البيانات الخام، يمكننا  البحث عن توقيع ملف jpg   لإظهار موقع أول صورة jpg . كما نعلم ، أي ملف jpg  يبدأ ببادئة تحمل القيمة FFD8FFE0

(HxD > Search > File (or Ctrl + F

100413_1328_FileCarving10

كما ذكر سابقا، فإن توقيع الملف العشري لjpg هو   FFD8FFE0 تذكر ان تختار “hex value ”  ونوع البيانات بالإضافة  لتحديد البايت الأول من المستند بحيث يقوم بالبحث  عن الملف.
يجب أن تجد توقيع بادئة JPG في تعويض 14FD . هذا الموقع مهم جدا وينبغي أن يلاحظ ليكون مرجعا في المستقبل.

100413_1328_FileCarving11

حتى الآن أن لدينا بادئة الملف ، ونحن بحاجة إلى العثور على تذييل الملف . نفس الأسلوب نطبقه للعثور على التذييل.

(HxD > Search > File (or Ctrl + F

100413_1328_FileCarving12

يجب أن يكون تذيل  JPG  موجوداً كما  في 4FC6 (h) offset  لاحظ أن قيمة offset ليست في نفس المكان كما هو الحال بالنسبة لبادئة الملف. هذا لأننا نريد أن نعرف offset نهاية البايت وليس البداية.

100413_1328_FileCarving13

الآن لدينا بادئة وتذذيل من ملف JPEG، وكما قلنا سابقا، بين البادئة والتذييل توجد بيانات ملف JPEG . الآن نقوم بنسخ  كتلة البيانات  كاملة مع البادئة والتذييل ونخزنها كملف جديد

(HxD > Edit > Select Block (Or Ctrl + E

File Header offset – 14FD
File Trailer offset – 2ADB

100413_1328_FileCarving14 سيتم وضع علامة باللون الازرق على ملف jpg كاملاً ، يجب نسخ كتلة البيانات الآن إلى الحافظة بحيث يمكننا تخزينها في ملف منفصل.

HxD > Edit > Copy or Ctrl + C or Right Click > C

100413_1328_FileCarving15

والآن نبدأ ملف جديد في محرر hex بالنقر على

(File > New or (Ctrl + N

ثم نقوم بلصق المحتويات بملف جديد

100413_1328_FileCarving16

بعد ذلك سوف يطلب منك تأكيد أنك تريد المتابعة. هذا يستخدم لمنع تغييرات البيانات بغير قصد عند استخدام محرر hex لعرض الملفات. فقط اضغط على OK.

100413_1328_FileCarving17

الآن نحن مستعدون لحفظ الملف. انقر على   File > Save as

100413_1328_FileCarving18

وسوف نقوم بحفظ ملف الصورة المستعاد وإعطائه اسم  recover_image.jpg في ملف shell

100413_1328_FileCarving19

وهذا كل شيء! يمكننا عرض الصور باستخدام أي برنامج عرض للصور للتأكد من انها نفس الصورة الموجودة في ملف Evidence.doc.

100413_1328_FileCarving20

هذا هو أسلوب file carving  الأساسي لتنسيق  الوسائل  من دون استخدام أي أداة  file carving.

photorec هو عبارة عن برمجية مفتوحة المصدر وهو   مصمم لإستعادة الملفات المفقودة  ، بما في ذلك الفيديو والوثائق والمحفوظات من الأقراص الصلبة، والأقراص المدمجة، والصور المفقودة من  ذاكرة الكاميرا الرقمية .photorec يتجاهل نظام الملفات ويهتم بالبيانات الأساسية، لذلك سوف يبقى يعمل  حتى لو  كان نظام الوسائط  الخاص بك مصاب بأضرار جسيمة أو معاد تنسيقه. وهو متاح لأنظمة  تشغيل Windows و Linux وMac . يمكنك تحميل هذا البرنامج من

http://www.cgsecurity.org/testdisk-6.14.win64.zip

لدينا  8GB flash drive  الذي تم تنسيقه والآن سوف نرى كيف يمكننا استعادة ملفات الصور باستخدام  PhotoRec

100413_1328_FileCarving21

يمكننا أن نرى ان لدينا محرك أقراص USB، والذي يظهر على شكل  FLASH على K:drive   الآن قم بتشغيل برنامج photorec_win.exe

 

100413_1328_FileCarving22

 

بعد فتح البرنامج، يمكنك ان ترى أقسام القرص، بما في ذلك الوسائط  الخارجية. حدد القسم الذي تريد استرداد البيانات منه

100413_1328_FileCarving23

 

نختر محرك أقراص USB الخارجي  التي تمتلك سعة 8GB، والذي يظهر على شكل PhysicalDrive1 واختار “proceed .”

بعد ذلك، فإنه يظهر محرك نظام الملفات  واسم my drive name is FLASH ونظام الملفات FAT32.

100413_1328_FileCarving24

 

في الشكل اعلاه، أربع خيارات يتم عرضها

• search : بعد اختيار القسم الذي يحمل الملفات المفقودة لبدء عملية  الاسترداد.
• options : لتعديل الخيارات.
• File Opt : لتعديل قائمة أنواع الملفات التي يتم استردادها من PhotoRec.
• Quit : لوقف هذه العملية.
وهنا قمنا بتحديد الخيارات :

100413_1328_FileCarving25

 

افتراضيا ، يتم التحقق من الملفات المستعادة ويتم رفض الملفات الغير صالحة . قم بتفعيل brute force إذا كنت ترغب في استرداد المزيد ملفات JPEG المجزأة ، لاحظ أنها عملية مرهقة لوحدة المعالجة المركزية.

  • خيار “Expert mode” يسمح للمستخدم ضغط كتلة نظام الملفات وحجم التعويض. كل نظام ملفات لديه حجم كتلة ( a multiple of the sector size ) وتعويض (0 for NTFS, exFAT, and ext2/3/4 )؛ هذه القيم يتم إصلاحها عندما يتم إنشاء/ تنسيق نظام الملفات . عندما نعمل على كامل القرص (على سبيل المثال، الأقسام الأساسية تضيع) أو يعاد تنسيقها
  • إذا عثر ملف  photorec على  عدد قليل جدا من الملفات، قد نرغب في محاولة الحد الأدنى من القيم التي يتيح  photorec لنا اختيارها (it’s the sector size) للحصول على حجم كتلة ( سيتم استخدام 0  للتعويض).
  •  تفعيل “Keep corrupted files” للحفاظ على الملفات، حتى لو أنها غير صالحة، على أمل انقاذ البيانات  من الملفات الغير صالحة  باستخدام الأدوات الأخرى.
  • تمكين “Low memory” إذا كان النظام الخاص بك ليس لديه ما يكفي من الذاكرة ويتوقف أثناء عملية الاسترداد، وهذا قد يحدث في  أنظمة الملفات الكبيرة التي يتم تجزأتها بشكل كبير . لا تستخدم هذا الخيار ما لم تكن هناك ضرورة قصوى.

دعونا نتحقق من خيارات File Opt :

 

100413_1328_FileCarving26

 

هذا الخيار هو لاختيار أنواع الملفات إلى سيتم استردادها.  انقر على S  لتعطيل كل خيارات أنواع  تنسيقات  الملفات. و هنا فإننا سوف نقوم باسترداد ملف من نوع JPEG  فقط  لأنه سوف يستغرق وقتا طويلا لاستعادة جميع أنواع الملفات.

100413_1328_FileCarving27

 

حدد فقط ” JPG picture ” واضغط على “b” لحفظ الإعدادات.

100413_1328_FileCarving28

 

الآن نعود إلى الخيار الرئيسي ونختار نظام الملفات. أ هنا اخترنا “other ” لأنه سيتم العثور على أنظمة ملفات  من نوع Windows  هناك.

100413_1328_FileCarving29

 

الآن اختر  نوع الاستعادة التي تريد. (هنا اخترنا “whole “.) اختر أيضاً

• من قسم whole (مفيد في حالة تلف الملفات) أو
• من المساحة غير المخصصة فقط متاح لملفات ext2 / ext3 و/ EXT4، FAT12 / FAT16 / FAT32 و NTFS)  مع هذا الخيار، يتم استرداد الملفات المحذوفة فقط

100413_1328_FileCarving30

 

الآن حدد الموقع الذي تريد حفظ الملفات المستردة فيه . بعد اختيار دليل الموقع، اضغط على “C”

 

100413_1328_FileCarving31

 

بعد ذلك، سوف تبدأ عملية الاسترداد.

 

100413_1328_FileCarving32

 

بعد بعض الوقت، وعندما يتم الانتهاء من عملية الاسترداد  ، سوف تظهر مواقع  الملف المستردة ، كما هو مبين في الشكل أدناه.

 

100413_1328_FileCarving33

 

يتم حفظ الملفات الثلاثة في مجلد recup_dir.

 

100413_1328_FileCarving34

 

 

ترجمة لمقال : file carving لصاحبها Rohit Shaw .blob:https%3A//mail.google.com/da05e6d8