مقال : نظرة على عملية File Carving
file carving عبارة عن العملية المستخدمة في العلوم الجنائية المتعلقة بالحاسوب لإستخراج البيانات من محرك الاقراص او اجهزة التخزين الاخرى دون الحاجة لمساعدة نظام الملفات الذي يقوم بالأصل بانشاء الملف كما ويعد طريقة لإستعادة الملفات بمساحة غير مخصصة دون اي معلومات للملف ويستخدم لإسترداد البيانات وتنفيذ التحقيقات الجنائية الرقمية. تدعى العملية “carving” وهو عبارة عن مصطلح عام لاستخراج البيانات المهيكلة من البيانات الأولية استناداً الى تنسيق الخصائص المحددة المعروضة في البيانات المهيكلة .
وتقوم العلوم الجنائية على استعادة الملفات استناداً الى بنية الملف ومحتواه دون الحاجه لمطابقة البيانات الوصفية الخاصه بالملفات من نظام الملفات ، غالبا ما تستخدم عملية file carving لإسترداد الملفات من مساحة غير مخصصة في محرك الاقراص وتشير المساحة الغير مخصصة الى المنطقة على الجهاز التي لم تعد تحمل اي معلومات للملف كما هو مشار اليه من قبل بنية نظام الملفات مثل جدول الملف. وفي حالة تلف او فقدان بنية ملفات النظام فان ذلك قد يتضمن محرك الاقراص باكمله ,وبشكل ابسط فان معظم انظمة الملفات لا تمسح البيانات بشكل كلي ,بل تقوم بازالة مكان وجودها .
file carving عملية استعاده الملفات عن طريق التحقق من البايتات الخام “raw bytes” من القرص واعادة ترتيبها وتتم هده العملية عادة عن طريق فحص الترويسة (البايتات القليلة الاولى) والتذييل (footer) (البايتات القليلة الاخيرة) للملف.
file carving هي طريقة عظيمة لاسترداد الملفات واجزاء الملفات عندما تكون مدخلات الدليل غير صحيحة او مفقودة وتسخدم هده الطريقة خصيصا من قبل خبراء القضايا الجنائية الرقمية لاسترداد الادلة وفي بعض الحالات المتعلقة بالمواد الاباحية فان وكلاء تطبيق القانون في كثير من الاحيان يكونون قادرين على استرداد المزيد من الصور من الاقراص الصلبة المشتبه بها باستخدام carving techniques ومثال اخر هو الاقراص الصلبة ووسائل التخزين القابلة للازالة التي قامت القوات البحرية الامريكية باخدها مكان اسامة بن لادن خلال غارتهم , تم استخدام تقنيات file carving لاستخراج كل بت من المعلومات من وسائط المعلومات.
الفرق بين file recovery و file carving:
بعد قراءة ما ذكر أعلاه، أعتقد أنك تشعر بالحيرة فإذا كانت file carving هي طريقة لإستعادة الملفات، إذا ما هو الفرق بين إستعادة الملفات و file carving ؟
أنظمة التشغيل الحديثة لا تقوم تلقائياً بإزالة ملفات محذوفة مسبقاً دون الحصول على اذن المستخدم . يمكن إستعادة الملفات المحذوفة باستخدام بعض برامج التحقيق الجنائي وذلك إذا كانت مساحة الملف المحذوف غير مستخدمة لملف آخر. يمكن استرداد الملفات التالفة فقط إذا كانت إذا بياناتها ليست تالفة فوق درجة الحد الأدنى . إستعادة الملفات يختلف عن استرداد الملفات ، حيث يتم استعادة ملف النسخة الاحتياطية المخزن في شكل مضغوط ( encoded ) الى شكله القابل للاستخدام (decoded ) . لذلك هناك فرق بين التقنيات. تقنيات إستعادة الملفات تقوم بإستخدام معلومات ملفات النظام ، عن طريق استخدام هذه المعلومات، العديد من الملفات يمكن استردادها. لكن إذا كانت المعلومات غير صحيحة، لن تتم العملية. file carving تعمل فقط على البيانات الأولية على الوسائط و ليس مرتبطاً ببنية ملفات النظام .عملية file carving لا تعطي اهتماماً لأي نظم ملفات والتي يتم استخدامها للتخزين. وعلى سبيل المثال في نظام الملفات FAT عندما يتم حذف الملف، فإن مدخلات الدليل تغيير الى مساحة غير مخصصة.يتم استبدال الحرف الأول من اسم الملف بعلامة، لكن ملف البيانات نفسه يترك دون تغيير. حتى يتم الكتابه عليه ، تبقى البيانات موجودة.
نظرة عامة لأنظمة الملفات :
نظام الملف هو عبارة عن المكان الذي يتم حفظ الملفات فيه وتسميتها منطقيا للتخزين والاسترجاع.
تستخدم Microsoft windows ببساطة نوعين من نظم الملفات هما FAT و NTFS
- FAT: وهي اختصار ” file allocation table “،و هو أبسط انوع نظم الملفات. وهو يتألف من boot sector, وجدول تخصيص الملفات ، ومساحة تخزين لتخزين الملفات والمجلدات. في الآونة الأخيرة، وقد تم تمديد FAT إلى FAT12 ، FAT16، FAT32 و. FAT32 لتتوافق مع أجهزة التخزين المستندة إلى نظام ويندوز . لا يمكن لنظام ويندوز إنشاء نظام الملفات FAT32 مع حجم أكثر من 32GB .
- NTFS، أو ” new technology file system ” بدأت عندما ظهرت Windows NT في الأسواق . NTFS هو النوع الافتراضي لأنظمة الملفات فوق 32GB. نظام الملفات هذا يدعم العديد من خصائص الملف، بما في ذلك التشفير والصلاحيات.
أنظمة ملفات Linux : كما نعلم أن Linux هو نظام تشغيل مفتوح المصدر . وقد وضع للاختبار والتطوير ويهدف الى استخدام مختلف مفاهيم أنظمة الملفات. في Linux هناك أنواع أنظمة الملفات
- EXT2، EXT3 ، EXT4 -هذا هو نظام الملفات Linux الأصلي. عموما يسمى نظام الملفات نظام الملفات الأصل لجميع توزيعات Linux . نظام الملفات EXT3 هو مجرد ترقية لنظام ملفات Ext2 والذي يستخدم عمليات كتابة ملف المعاملات. EXT4 هو ترقية لنظام EXT3 والذي يدعم تحسين معلومات تخصيص الملفات وسمات الملفات
الفقره هنا
أنظمة ملفات MacOS: تستخدم Apple Macintosh OS نظام الملفات + HFS فقط، الذي هو امتداد لنظام الملفات HFS. يتم تطبيق نظام ملفات HFS + على سطح المكتب لمنتجات Apple ، بما في ذلك Computer Mac، iphone ، ipods ، ومنتجات Apple X server . منتجات server المتقدمة أيضا استخدام نظام الملفات Apple Xsan , نظام الملفات المجمع مستمد من نظم الملفات StorNext أو CentraVision.
بالإضافة إلى الملفات والمجلدات ، يقوم نظام الملفات هذا أيضا بتخزين معلومات استكشافية عن عرض الدلائل ومواقع النوافذ، الخ
تقنيات file carving : خلال التحقيقات الرقمية، يجب تحليل أنواع مختلفة من الوسائط يجب . ويمكن الاطلاع على البيانات ذات الصلة على مختلف أجهزة التخزين والشبكات وفي ذاكرة الكمبيوتر. أنواع مختلفة من البيانات مثل رسائل البريد الإلكتروني والوثائق الإلكترونية، وسجلات النظام، وملفات الوسائط المتعددة لا بد من تحليلها. في هذه المقالة، نحن نركز على استعادة ملفات الوسائط المتعددة المخزنة إما على أجهزة التخزين أو في ذاكرة الكمبيوتر باستخدام طريقة File carving . وهي تقنية للاسترجاع والتي تهتم بمحتويات وبنية الملفات بدلا من نظم ملفات أخرى أو غيرها من البيانات الوصفية التي تستخدم لتنظيم البيانات على وسائط التخزين. يلخص الشكل أدناه مصطلحات عملية file carving
تقنيات file carving العامة الأكثر شيوعا هي:
- أعتمادا على header و footer :
header و footer الخاصه بملفات jpeg
JPEG—”\xFF\xD8″ header and “\xFF\xD9” footer
header و footer الخاصه بملفات gif
GIF—”\x47\x49\x46\x38\x37\x61″ header and “\x00\x3B”
اذا لم يحتوي الملف على footer يتم افتراض اكبر مساحه لملف في الاداه التي اُستخدمت في عمليه file carving .
- اعتماداً على بنبية محتوى الملف
في هذه الطريقة يتم النظر في بينة المحتوى الخاص بالملف مثل .
- القائمه السوداء والبيضاء المخزنه مسبقا
- لغة النص
- عدد الاحرف
- خصائص البيانات
- وغيرها
أدوات تستخدم على نطاق واسع لعملية file carving :
ادوات استعادة البيانات تلعب دورا هاما في معظم التحقيقات الجنائية لأن مستخدمي الملفات الخبيثة أذكياء وسوف يحاولون دائما حذف اي شيء يدل على اعمالهم الغير مشروعة
بعض الأدوات الهامة لإستعادة البيانات :
1. Scalpel
2. FTK
3. Encase
4. Foremost
5. PhotoRec
6. Revit
7. TestDisk
8. Magic Rescue
9. F-Engrave
Carving Tutorial :
في هذا القسم سوف نظهر لك كيفية carve a file دون استخدام أداة carving .
أولا، سوف نرى كيفية carve a file بشكل بسيط، قبل البداية في أولاً سوف ننظر الى بنية ملف jpeg . كمثال على ذلك، عندما نفتح صورة في محرر hex. بشكل أساسي ملف jpeg يبدأ ب FFD8FFE0، وهو ما يسمى header .
وينتهي ب FFD9، وهو ما يسمىtrailer .
والبقية تعتبر ملف JPEG نفسه, لذلك إذا كان لدينا أي نوع من ملفات الوثائق التي تحتوي على صور، إذا وضعنا البادئة والتذيل للصورة يمكننا استردادها من الوثائق. وفي هذه المقاله لدينا ملف Microsoft Word و هناك صورة في هذا الملف، لذلك علينا carve the picture خارج ملف word .
اولا قم بفتح محرر Hex وقم بفتح ملف word هذا بإستخدام المحرر
HxD > File >Open > your word file
في الشكل اعلاه، يمكننا أن نرى البيانات السداسية العشرية الخام التي تشكل وثائق برنامج word . ضمن هذا كتلة من البيانات الخام، يمكننا البحث عن توقيع ملف jpg لإظهار موقع أول صورة jpg . كما نعلم ، أي ملف jpg يبدأ ببادئة تحمل القيمة FFD8FFE0
(HxD > Search > File (or Ctrl + F
كما ذكر سابقا، فإن توقيع الملف العشري لjpg هو FFD8FFE0 تذكر ان تختار “hex value ” ونوع البيانات بالإضافة لتحديد البايت الأول من المستند بحيث يقوم بالبحث عن الملف.
يجب أن تجد توقيع بادئة JPG في تعويض 14FD . هذا الموقع مهم جدا وينبغي أن يلاحظ ليكون مرجعا في المستقبل.
حتى الآن أن لدينا بادئة الملف ، ونحن بحاجة إلى العثور على تذييل الملف . نفس الأسلوب نطبقه للعثور على التذييل.
(HxD > Search > File (or Ctrl + F
يجب أن يكون تذيل JPG موجوداً كما في 4FC6 (h) offset لاحظ أن قيمة offset ليست في نفس المكان كما هو الحال بالنسبة لبادئة الملف. هذا لأننا نريد أن نعرف offset نهاية البايت وليس البداية.
الآن لدينا بادئة وتذذيل من ملف JPEG، وكما قلنا سابقا، بين البادئة والتذييل توجد بيانات ملف JPEG . الآن نقوم بنسخ كتلة البيانات كاملة مع البادئة والتذييل ونخزنها كملف جديد
(HxD > Edit > Select Block (Or Ctrl + E
File Header offset – 14FD
File Trailer offset – 2ADB
سيتم وضع علامة باللون الازرق على ملف jpg كاملاً ، يجب نسخ كتلة البيانات الآن إلى الحافظة بحيث يمكننا تخزينها في ملف منفصل.
HxD > Edit > Copy or Ctrl + C or Right Click > C
والآن نبدأ ملف جديد في محرر hex بالنقر على
(File > New or (Ctrl + N
ثم نقوم بلصق المحتويات بملف جديد
بعد ذلك سوف يطلب منك تأكيد أنك تريد المتابعة. هذا يستخدم لمنع تغييرات البيانات بغير قصد عند استخدام محرر hex لعرض الملفات. فقط اضغط على OK.
الآن نحن مستعدون لحفظ الملف. انقر على File > Save as
وسوف نقوم بحفظ ملف الصورة المستعاد وإعطائه اسم recover_image.jpg في ملف shell
وهذا كل شيء! يمكننا عرض الصور باستخدام أي برنامج عرض للصور للتأكد من انها نفس الصورة الموجودة في ملف Evidence.doc.
هذا هو أسلوب file carving الأساسي لتنسيق الوسائل من دون استخدام أي أداة file carving.
photorec هو عبارة عن برمجية مفتوحة المصدر وهو مصمم لإستعادة الملفات المفقودة ، بما في ذلك الفيديو والوثائق والمحفوظات من الأقراص الصلبة، والأقراص المدمجة، والصور المفقودة من ذاكرة الكاميرا الرقمية .photorec يتجاهل نظام الملفات ويهتم بالبيانات الأساسية، لذلك سوف يبقى يعمل حتى لو كان نظام الوسائط الخاص بك مصاب بأضرار جسيمة أو معاد تنسيقه. وهو متاح لأنظمة تشغيل Windows و Linux وMac . يمكنك تحميل هذا البرنامج من
http://www.cgsecurity.org/testdisk-6.14.win64.zip
لدينا 8GB flash drive الذي تم تنسيقه والآن سوف نرى كيف يمكننا استعادة ملفات الصور باستخدام PhotoRec
يمكننا أن نرى ان لدينا محرك أقراص USB، والذي يظهر على شكل FLASH على K:drive الآن قم بتشغيل برنامج photorec_win.exe
بعد فتح البرنامج، يمكنك ان ترى أقسام القرص، بما في ذلك الوسائط الخارجية. حدد القسم الذي تريد استرداد البيانات منه
نختر محرك أقراص USB الخارجي التي تمتلك سعة 8GB، والذي يظهر على شكل PhysicalDrive1 واختار “proceed .”
بعد ذلك، فإنه يظهر محرك نظام الملفات واسم my drive name is FLASH ونظام الملفات FAT32.
في الشكل اعلاه، أربع خيارات يتم عرضها
• search : بعد اختيار القسم الذي يحمل الملفات المفقودة لبدء عملية الاسترداد.
• options : لتعديل الخيارات.
• File Opt : لتعديل قائمة أنواع الملفات التي يتم استردادها من PhotoRec.
• Quit : لوقف هذه العملية.
وهنا قمنا بتحديد الخيارات :
افتراضيا ، يتم التحقق من الملفات المستعادة ويتم رفض الملفات الغير صالحة . قم بتفعيل brute force إذا كنت ترغب في استرداد المزيد ملفات JPEG المجزأة ، لاحظ أنها عملية مرهقة لوحدة المعالجة المركزية.
- خيار “Expert mode” يسمح للمستخدم ضغط كتلة نظام الملفات وحجم التعويض. كل نظام ملفات لديه حجم كتلة ( a multiple of the sector size ) وتعويض (0 for NTFS, exFAT, and ext2/3/4 )؛ هذه القيم يتم إصلاحها عندما يتم إنشاء/ تنسيق نظام الملفات . عندما نعمل على كامل القرص (على سبيل المثال، الأقسام الأساسية تضيع) أو يعاد تنسيقها
- إذا عثر ملف photorec على عدد قليل جدا من الملفات، قد نرغب في محاولة الحد الأدنى من القيم التي يتيح photorec لنا اختيارها (it’s the sector size) للحصول على حجم كتلة ( سيتم استخدام 0 للتعويض).
- تفعيل “Keep corrupted files” للحفاظ على الملفات، حتى لو أنها غير صالحة، على أمل انقاذ البيانات من الملفات الغير صالحة باستخدام الأدوات الأخرى.
- تمكين “Low memory” إذا كان النظام الخاص بك ليس لديه ما يكفي من الذاكرة ويتوقف أثناء عملية الاسترداد، وهذا قد يحدث في أنظمة الملفات الكبيرة التي يتم تجزأتها بشكل كبير . لا تستخدم هذا الخيار ما لم تكن هناك ضرورة قصوى.
دعونا نتحقق من خيارات File Opt :
هذا الخيار هو لاختيار أنواع الملفات إلى سيتم استردادها. انقر على S لتعطيل كل خيارات أنواع تنسيقات الملفات. و هنا فإننا سوف نقوم باسترداد ملف من نوع JPEG فقط لأنه سوف يستغرق وقتا طويلا لاستعادة جميع أنواع الملفات.
حدد فقط ” JPG picture ” واضغط على “b” لحفظ الإعدادات.
الآن نعود إلى الخيار الرئيسي ونختار نظام الملفات. أ هنا اخترنا “other ” لأنه سيتم العثور على أنظمة ملفات من نوع Windows هناك.
الآن اختر نوع الاستعادة التي تريد. (هنا اخترنا “whole “.) اختر أيضاً
• من قسم whole (مفيد في حالة تلف الملفات) أو
• من المساحة غير المخصصة فقط متاح لملفات ext2 / ext3 و/ EXT4، FAT12 / FAT16 / FAT32 و NTFS) مع هذا الخيار، يتم استرداد الملفات المحذوفة فقط
الآن حدد الموقع الذي تريد حفظ الملفات المستردة فيه . بعد اختيار دليل الموقع، اضغط على “C”
بعد ذلك، سوف تبدأ عملية الاسترداد.
بعد بعض الوقت، وعندما يتم الانتهاء من عملية الاسترداد ، سوف تظهر مواقع الملف المستردة ، كما هو مبين في الشكل أدناه.
يتم حفظ الملفات الثلاثة في مجلد recup_dir.
ترجمة لمقال : file carving لصاحبها Rohit Shaw .
طريقة رائعة جدا و نكون مفيدة خاصة اذا لم يعمل معك برنامج استعادة الملفات
شكرا ليك على المقال
بارك الله فيكم