फ़ाइल कार्विंग: Difference between revisions
m (Sugatha moved page फ़ाइल नक्काशी to फ़ाइल कार्विंग without leaving a redirect) |
No edit summary |
||
| Line 1: | Line 1: | ||
फ़ाइल कार्विंग,फ़ाइल सिस्टम मेटाडेटा की अनुपस्थिति में कंप्यूटर फ़ाइलों को टुकड़ों से पुनः जोड़ने की प्रक्रिया है। | |||
== परिचय और बुनियादी सिद्धांत == | == परिचय और बुनियादी सिद्धांत == | ||
सभी फ़ाइल सिस्टम में कुछ [[मेटा डेटा]] होता है जो वास्तविक फ़ाइल सिस्टम का वर्णन करता है। कम से कम, इसमें प्रत्येक के नाम के साथ फ़ोल्डर और फ़ाइलों का पदानुक्रम | सभी फ़ाइल सिस्टम में कुछ [[मेटा डेटा]] होता है जो वास्तविक फ़ाइल सिस्टम का वर्णन करता है। कम से कम, इसमें प्रत्येक के नाम के साथ फ़ोल्डर और फ़ाइलों का पदानुक्रम सम्मिलित है। फ़ाइल सिस्टम स्टोरेज डिवाइस पर उन भौतिक स्थानों को भी रिकॉर्ड करेगा जहाँ प्रत्येक फ़ाइल संग्रहीत है। जैसा कि नीचे समझाया गया है, एक फ़ाइल विभिन्न भौतिक पतों पर टुकड़ों में बिखरी हो सकती है। | ||
फ़ाइल नक्काशी इस मेटाडेटा के बिना फ़ाइलों को पुनर्प्राप्त करने का प्रयास करने की प्रक्रिया है। यह कच्चे डेटा का विश्लेषण करके और यह पहचानने के द्वारा किया जाता है कि यह क्या है (पाठ, निष्पादन योग्य, पीएनजी, एमपी 3, आदि)। यह अलग-अलग तरीकों से किया जा सकता है, लेकिन सबसे सरल [[फ़ाइल हस्ताक्षर]] या जादुई संख्या की तलाश करना है जो किसी विशेष फ़ाइल प्रकार की शुरुआत और/या अंत को चिह्नित करता है।<ref>{{Cite web|url=https://www.garykessler.net/library/file_sigs.html|title = फ़ाइल हस्ताक्षर}}</ref> उदाहरण के लिए, प्रत्येक जावा क्लास फ़ाइल में इसके पहले चार बाइट्स हेक्साडेसिमल मान होते हैं <code>CA FE BA BE</code>. कुछ फ़ाइलों में पाद लेख भी होते हैं, जिससे फ़ाइल के अंत की पहचान करना उतना ही आसान हो जाता है। | फ़ाइल नक्काशी इस मेटाडेटा के बिना फ़ाइलों को पुनर्प्राप्त करने का प्रयास करने की प्रक्रिया है। यह कच्चे डेटा का विश्लेषण करके और यह पहचानने के द्वारा किया जाता है कि यह क्या है (पाठ, निष्पादन योग्य, पीएनजी, एमपी 3, आदि)। यह अलग-अलग तरीकों से किया जा सकता है, लेकिन सबसे सरल [[फ़ाइल हस्ताक्षर]] या जादुई संख्या की तलाश करना है जो किसी विशेष फ़ाइल प्रकार की शुरुआत और/या अंत को चिह्नित करता है।<ref>{{Cite web|url=https://www.garykessler.net/library/file_sigs.html|title = फ़ाइल हस्ताक्षर}}</ref> उदाहरण के लिए, प्रत्येक जावा क्लास फ़ाइल में इसके पहले चार बाइट्स हेक्साडेसिमल मान होते हैं <code>CA FE BA BE</code>. कुछ फ़ाइलों में पाद लेख भी होते हैं, जिससे फ़ाइल के अंत की पहचान करना उतना ही आसान हो जाता है। | ||
Revision as of 11:27, 20 January 2023
फ़ाइल कार्विंग,फ़ाइल सिस्टम मेटाडेटा की अनुपस्थिति में कंप्यूटर फ़ाइलों को टुकड़ों से पुनः जोड़ने की प्रक्रिया है।
परिचय और बुनियादी सिद्धांत
सभी फ़ाइल सिस्टम में कुछ मेटा डेटा होता है जो वास्तविक फ़ाइल सिस्टम का वर्णन करता है। कम से कम, इसमें प्रत्येक के नाम के साथ फ़ोल्डर और फ़ाइलों का पदानुक्रम सम्मिलित है। फ़ाइल सिस्टम स्टोरेज डिवाइस पर उन भौतिक स्थानों को भी रिकॉर्ड करेगा जहाँ प्रत्येक फ़ाइल संग्रहीत है। जैसा कि नीचे समझाया गया है, एक फ़ाइल विभिन्न भौतिक पतों पर टुकड़ों में बिखरी हो सकती है।
फ़ाइल नक्काशी इस मेटाडेटा के बिना फ़ाइलों को पुनर्प्राप्त करने का प्रयास करने की प्रक्रिया है। यह कच्चे डेटा का विश्लेषण करके और यह पहचानने के द्वारा किया जाता है कि यह क्या है (पाठ, निष्पादन योग्य, पीएनजी, एमपी 3, आदि)। यह अलग-अलग तरीकों से किया जा सकता है, लेकिन सबसे सरल फ़ाइल हस्ताक्षर या जादुई संख्या की तलाश करना है जो किसी विशेष फ़ाइल प्रकार की शुरुआत और/या अंत को चिह्नित करता है।[1] उदाहरण के लिए, प्रत्येक जावा क्लास फ़ाइल में इसके पहले चार बाइट्स हेक्साडेसिमल मान होते हैं CA FE BA BE. कुछ फ़ाइलों में पाद लेख भी होते हैं, जिससे फ़ाइल के अंत की पहचान करना उतना ही आसान हो जाता है।
अधिकांश फाइल सिस्टम, जैसे फ़ाइल आवंटन तालिका परिवार और UNIX की बर्कले फास्ट फाइल सिस्टम, एक समान और निश्चित आकार के समूहों की अवधारणा के साथ काम करते हैं। उदाहरण के लिए, एक FAT32 फाइल सिस्टम को 4 KiB के क्लस्टर में तोड़ा जा सकता है। 4 KiB से छोटी कोई भी फ़ाइल एक क्लस्टर में फ़िट हो जाती है, और प्रत्येक क्लस्टर में कभी भी एक से अधिक फ़ाइल नहीं होती है। 4 KiB से ज़्यादा समय लेने वाली फ़ाइलें कई क्लस्टर में आवंटित की जाती हैं। कभी-कभी ये क्लस्टर सभी सन्निहित होते हैं, जबकि अन्य समय में वे दो या संभावित रूप से कई और तथाकथित विखंडन (कंप्यूटिंग) में बिखरे हुए होते हैं, जिसमें प्रत्येक खंड में कई सन्निहित क्लस्टर होते हैं जो फ़ाइल के डेटा के एक हिस्से को संग्रहीत करते हैं। स्पष्ट रूप से बड़ी फ़ाइलों के खंडित होने की संभावना अधिक होती है।
सिमसन गारफिंकेल[2] ने फ़ाइल आवंटन तालिका, NTFS और यूनिक्स फाइल सिस्टम फ़ाइल सिस्टम वाले 350 से अधिक डिस्क से एकत्र किए गए विखंडन के आंकड़ों की सूचना दी। उन्होंने दिखाया कि एक विशिष्ट डिस्क में विखंडन कम होने के बावजूद, फोरेंसिक रूप से महत्वपूर्ण फाइलों जैसे ईमेल, जेपीईजी और माइक्रोसॉफ्ट वर्ड दस्तावेजों की विखंडन दर अपेक्षाकृत अधिक होती है। जेपीईजी फाइलों की विखंडन दर 16% पाई गई, वर्ड दस्तावेजों में 17% विखंडन था, ऑडियो वीडियो इंटरलीव में 22% विखंडन दर थी और पीएसटी फाइलें (माइक्रोसॉफ्ट दृष्टिकोण) में 58% विखंडन दर थी (फाइलों का अंश खंडित किया जा रहा था) दो या दो से अधिक टुकड़े)। पाल, शनमुगसुंदरम और मेमन[3] ने खंडित छवियों को फिर से जोड़ने के लिए लालची हेयुरिस्टिक और अल्फा-बीटा प्रूनिंग पर आधारित एक कुशल एल्गोरिद्म प्रस्तुत किया। पाल, सेनकर और मेमनCite error: Closing </ref> missing for <ref> tag स्केलपेल, एक ओपन-सोर्स फाइल-कार्विंग टूल प्रस्तुत किया।
फ़ाइल नक्काशी एक अत्यधिक जटिल कार्य है, जिसमें संभावित रूप से बड़ी संख्या में क्रमपरिवर्तन करने की कोशिश की जाती है। इस कार्य को कम्प्यूटेशनल जटिलता सिद्धांत बनाने के लिए, नक्काशी सॉफ्टवेयर आमतौर पर मॉडल और ह्यूरिस्टिक्स का व्यापक उपयोग करता है। यह न केवल निष्पादन समय के दृष्टिकोण से आवश्यक है, बल्कि परिणामों की सटीकता के लिए भी आवश्यक है। अत्याधुनिक फ़ाइल नक्काशी एल्गोरिदम विखंडन बिंदुओं को निर्धारित करने के लिए अनुक्रमिक विश्लेषण जैसी सांख्यिकीय तकनीकों का उपयोग करते हैं।
प्रेरणा
ज्यादातर मामलों में, जब कोई फ़ाइल हटा दी जाती है, तो फ़ाइल सिस्टम मेटाडेटा में प्रविष्टि हटा दी जाती है लेकिन वास्तविक डेटा अभी भी डिस्क पर रहता है। फ़ाइल नक्काशी का उपयोग हार्ड डिस्क से डेटा पुनर्प्राप्त करने के लिए किया जा सकता है जहां मेटाडेटा हटा दिया गया था या अन्यथा क्षतिग्रस्त हो गया था। ड्राइव के स्वरूपित या पुनर्विभाजित होने के बाद भी यह प्रक्रिया सफल हो सकती है।
फ़ाइल नक्काशी नि: शुल्क या वाणिज्यिक सॉफ़्टवेयर का उपयोग करके की जा सकती है और अक्सर डेटा रिकवरी कंपनियों द्वारा कंप्यूटर फोरेंसिक्स परीक्षाओं या अन्य पुनर्प्राप्ति प्रयासों (जैसे हार्डवेयर मरम्मत) के संयोजन के साथ किया जाता है।[4] जबकि डेटा पुनर्प्राप्ति का प्राथमिक लक्ष्य फ़ाइल सामग्री को पुनर्प्राप्त करना है, कंप्यूटर फोरेंसिक परीक्षक अक्सर मेटाडेटा में रुचि रखते हैं जैसे फ़ाइल किसके पास है, इसे कहाँ संग्रहीत किया गया था, और जब इसे अंतिम बार संशोधित किया गया था।[5] इस प्रकार, जबकि एक फोरेंसिक परीक्षक यह साबित करने के लिए फ़ाइल नक्काशी का उपयोग कर सकता है कि एक फ़ाइल एक बार हार्ड ड्राइव पर संग्रहीत थी, उसे यह साबित करने के लिए अन्य सबूतों की तलाश करने की आवश्यकता हो सकती है कि इसे वहां किसने रखा था।
नक्काशी योजनाएं
बिफ्रैगमेंट गैप नक्काशी
गारफिंकेल[2]दो टुकड़ों में विभाजित की गई फ़ाइलों को फिर से जोड़ने के लिए तेज़ ऑब्जेक्ट सत्यापन के उपयोग की शुरुआत की। इस तकनीक को बिफ्रैगमेंट गैप कार्विंग (बीजीसी) कहा जाता है। प्रारंभिक अंशों का एक सेट और परिष्करण अंशों का एक सेट पहचाना जाता है। यदि एक साथ वे एक वैध वस्तु बनाते हैं, तो टुकड़े फिर से जुड़ जाते हैं।
स्मार्टकार्विंग
दोस्त[3]एक नक्काशी योजना विकसित की जो द्विखंडित फाइलों तक सीमित नहीं है। तकनीक, जिसे स्मार्टकार्विंग के नाम से जाना जाता है, ज्ञात फाइल सिस्टम के विखंडन व्यवहार के बारे में अनुमानों का उपयोग करती है। एल्गोरिथ्म के तीन चरण होते हैं: प्रीप्रोसेसिंग, कोलेशन और रीअसेंबली। प्रीप्रोसेसिंग चरण में, यदि आवश्यक हो तो ब्लॉकों को विघटित और/या डिक्रिप्ट किया जाता है। मिलान चरण में, ब्लॉकों को उनके फ़ाइल प्रकार के अनुसार क्रमबद्ध किया जाता है। रीअसेंबली चरण में, हटाए गए फ़ाइलों को पुन: उत्पन्न करने के लिए ब्लॉक को अनुक्रम में रखा जाता है। स्मार्टकार्विंग एल्गोरिथ्म डिजिटल असेंबली से एड्रोइट (सॉफ्टवेयर) और एड्रोइट फोटो रिकवरी एप्लिकेशन का आधार है।
नक्काशी मेमोरी डंप
कंप्यूटर की वाष्पशील मेमोरी (अर्थात RAM) के स्नैपशॉट को उकेरा जा सकता है। मेमोरी-डंप नक्काशी नियमित रूप से डिजिटल फोरेंसिक में उपयोग की जाती है, जिससे जांचकर्ताओं को क्षणिक साक्ष्य तक पहुंचने की अनुमति मिलती है। अल्पकालिक साक्ष्य में हाल ही में एक्सेस की गई छवियां और वेब पेज, दस्तावेज़, चैट और सामाजिक नेटवर्क के माध्यम से किए गए संचार शामिल हैं। यदि एक एन्क्रिप्टेड वॉल्यूम (TrueCrypt, BitLocker, PGP Disk) का उपयोग किया गया था, तो एन्क्रिप्टेड कंटेनरों की बाइनरी कुंजियों को निकाला जा सकता है और ऐसे वॉल्यूम को तुरंत माउंट करने के लिए उपयोग किया जाता है। वाष्पशील स्मृति की सामग्री खंडित हो जाती है। खंडित मेमोरी सेट (बेलकाकार्विंग) को तराशने में सक्षम बनाने के लिए बेल्कासॉफ्ट द्वारा एक मालिकाना नक्काशी एल्गोरिथ्म विकसित किया गया था।
यह भी देखें
- डाटा रिकवरी
- त्रुटि का पता लगाने और सुधार
- डेटा पुरातत्व
- अग्रणी (सॉफ्टवेयर)
- PhotoRec
- मेरी फाइलों को बरामद करें
- इसोबस्टर
इस पेज में लापता आंतरिक लिंक की सूची
- फाइल आवन्टन तालिका
- डाटा रिकवरी
- निपुण (सॉफ्टवेयर)
- त्रुटि का पता लगाना और सुधार
- सबसे महत्वपूर्ण (सॉफ्टवेयर)
संदर्भ
- ↑ "फ़ाइल हस्ताक्षर".
- ↑ 2.0 2.1 सिमसन गारफिंकल, तेजी से वस्तु सत्यापन के साथ सन्निहित और खंडित फ़ाइलें तराशना Archived 2012-05-23 at the Wayback Machine2007 की डिजिटल फोरेंसिक रिसर्च वर्कशॉप की कार्यवाही में, DFRWS, पिट्सबर्ग, PA, अगस्त 2007
- ↑ 3.0 3.1 ए. पाल और एन. मेमन, लालची एल्गोरिदम का उपयोग करके फ़ाइल खंडित छवियों की स्वचालित पुन: असेंबली - URL अब अमान्य IEEE लेनदेन में इमेज प्रोसेसिंग, फरवरी 2006, पीपी. 385–393
- ↑ "व्यावसायिक डेटा पुनर्प्राप्ति सेवाएँ". Archived from the original on 2015-05-12. Retrieved 2015-05-05.
{{cite web}}: Text "SERT डेटा रिकवरी कंपनी" ignored (help) - ↑ "Understanding Deleted Files"
