फ़ाइल कार्विंग: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
 
(8 intermediate revisions by 4 users not shown)
Line 1: Line 1:
फ़ाइल कार्विंग, फ़ाइल सिस्टम मेटाडेटा की अनुपस्थिति में कंप्यूटर फ़ाइलों को खंडो से पुनः जोड़ने की प्रक्रिया है।
'''फ़ाइल कार्विंग''', फ़ाइल सिस्टम मेटाडेटा की अनुपस्थिति में कंप्यूटर फ़ाइलों को खंडो से पुनः जोड़ने की प्रक्रिया है।


== परिचय और आधारभूत सिद्धांत ==
== परिचय और आधारभूत सिद्धांत ==
Line 8: Line 8:
अधिकांश फाइल सिस्टम, जैसे फ़ाइल आवंटन तालिका फैमली और यूनिक्स का [[बर्कले फास्ट फाइल सिस्टम|फास्ट फाइल सिस्टम]], समान और निश्चित आकार के क्लस्टर की अवधारणा के साथ कार्य करते हैं। उदाहरण के लिए, [[FAT32]] फाइल सिस्टम को 4 KiB के क्लस्टर में विभक्त किया जा सकता है। 4 KiB से लघु कोई भी फ़ाइल क्लस्टर में उपयुक्त हो जाती है, और प्रत्येक क्लस्टर में अधिक फ़ाइल नहीं होती है। 4 KiB से अधिक समय लेने वाली फ़ाइलें कई क्लस्टर में आवंटित की जाती हैं। कभी-कभी ये क्लस्टर सभी सन्निहित होते हैं, जबकि अन्य समय में वे दो या संभावित रूप से कई और तथाकथित [[विखंडन (कंप्यूटिंग)]] में विभक्त होते हैं, जिसमें प्रत्येक खंड में कई सन्निहित क्लस्टर होते हैं जो फ़ाइल के डेटा के भाग को संग्रहीत करते हैं। स्पष्ट रूप से बड़ी फ़ाइलों के खंडित होने की संभावना अधिक होती है।
अधिकांश फाइल सिस्टम, जैसे फ़ाइल आवंटन तालिका फैमली और यूनिक्स का [[बर्कले फास्ट फाइल सिस्टम|फास्ट फाइल सिस्टम]], समान और निश्चित आकार के क्लस्टर की अवधारणा के साथ कार्य करते हैं। उदाहरण के लिए, [[FAT32]] फाइल सिस्टम को 4 KiB के क्लस्टर में विभक्त किया जा सकता है। 4 KiB से लघु कोई भी फ़ाइल क्लस्टर में उपयुक्त हो जाती है, और प्रत्येक क्लस्टर में अधिक फ़ाइल नहीं होती है। 4 KiB से अधिक समय लेने वाली फ़ाइलें कई क्लस्टर में आवंटित की जाती हैं। कभी-कभी ये क्लस्टर सभी सन्निहित होते हैं, जबकि अन्य समय में वे दो या संभावित रूप से कई और तथाकथित [[विखंडन (कंप्यूटिंग)]] में विभक्त होते हैं, जिसमें प्रत्येक खंड में कई सन्निहित क्लस्टर होते हैं जो फ़ाइल के डेटा के भाग को संग्रहीत करते हैं। स्पष्ट रूप से बड़ी फ़ाइलों के खंडित होने की संभावना अधिक होती है।


[[सिमसन गारफिंकेल]]<ref name=garfinkel_dfrws2007>सिमसन गारफिंकल, [http://dfrws.org/2007/proceedings/p2-garfinkel.pdf तेजी से वस्तु सत्यापन के साथ सन्निहित और खंडित फ़ाइलें तराशना] {{Webarchive|url=https://web.archive.org/web/20120523023550/http://dfrws.org/2007/proceedings/p2-garfinkel.pdf |date=2012-05-23 }}2007 की [[डिजिटल फोरेंसिक]] रिसर्च वर्कशॉप की कार्यवाही में, DFRWS, पिट्सबर्ग, PA, अगस्त 2007</ref> ने फ़ाइल आवंटन तालिका, [[NTFS]] और [[यूनिक्स फाइल सिस्टम]] वाले 350 से अधिक डिस्क से एकत्र किए गए विखंडन के आंकड़ों की सूचना दी। उन्होंने दिखाया कि एक विशिष्ट डिस्क में विखंडन कम होने के बाद भी, फोरेंसिक रूप से महत्वपूर्ण फाइलों जैसे ईमेल, [[जेपीईजी]] और [[माइक्रोसॉफ्ट वर्ड]] प्रापत्रो की विखंडन दर अपेक्षाकृत अधिक होती है। जेपीईजी फाइलों की विखंडन दर 16% पाई गई, वर्ड प्रापत्रो में 17% विखंडन था, [[ऑडियो वीडियो इंटरलीव]] में 22% विखंडन दर थी और पीएसटी फाइलें ([[माइक्रोसॉफ्ट दृष्टिकोण]]) की विखंडन दर 58% थी (फ़ाइलों का अंश दो या दो सेअधिक खंडो में किया जा रहा है)पाल, शनमुगसुंदरम और मेमन<ref name=pal_ieee_ip>ए. पाल और एन. मेमन, [http://digital-assembly.com/technology/research/pubs/ieee-trans-2006.pdf लालची एल्गोरिदम का उपयोग करके फ़ाइल खंडित छवियों की स्वचालित पुन: असेंबली - URL अब अमान्य] IEEE लेनदेन में इमेज प्रोसेसिंग, फरवरी 2006, पीपी. 385–393</ref> ने खंडित छवियों को फिर से जोड़ने के लिए लालची हेयुरिस्टिक और [[अल्फा-बीटा प्रूनिंग]] पर आधारित एक कुशल एल्गोरिदम प्रस्तुत किया। पाल, सेनकर और मेमन<ref name=pal_dig_inv2008>ए।
[[सिमसन गारफिंकेल]]<ref name=garfinkel_dfrws2007>सिमसन गारफिंकल, [http://dfrws.org/2007/proceedings/p2-garfinkel.pdf तेजी से वस्तु सत्यापन के साथ सन्निहित और खंडित फ़ाइलें तराशना] {{Webarchive|url=https://web.archive.org/web/20120523023550/http://dfrws.org/2007/proceedings/p2-garfinkel.pdf |date=2012-05-23 }}2007 की [[डिजिटल फोरेंसिक]] रिसर्च वर्कशॉप की कार्यवाही में, DFRWS, पिट्सबर्ग, PA, अगस्त 2007</ref> ने फैट, [[NTFS|एनटीएफएस]], [[यूनिक्स फाइल सिस्टम]] में 350 से अधिक डिस्क से एकत्र किए गए विखंडन के आंकड़ों की सूचना दी। उन्होंने प्रदर्शित किया कि विशिष्ट डिस्क में विखंडन अल्प होने के पश्चात भी, फोरेंसिक रूप से महत्वपूर्ण फाइलों जैसे ईमेल, [[जेपीईजी]] और [[माइक्रोसॉफ्ट वर्ड]] प्रापत्रो की विखंडन दर अपेक्षाकृत अधिक होती है। जेपीईजी फाइलों की विखंडन दर 16% प्राप्त कि गयी, वर्ड प्रापत्रो में 17% विखंडन था, [[ऑडियो वीडियो इंटरलीव|ऑडियो वीडियो के अंतर]] में 22% विखंडन दर थी और पीएसटी फाइलें ([[माइक्रोसॉफ्ट दृष्टिकोण]]) की विखंडन दर 58% थी (फ़ाइलों का अंश दो या दो से अधिक खंडो में किया जा रहा है) I पाल, शनमुगसुंदरम और मेमन<ref name=pal_ieee_ip>ए. पाल और एन. मेमन, [http://digital-assembly.com/technology/research/pubs/ieee-trans-2006.pdf लालची एल्गोरिदम का उपयोग करके फ़ाइल खंडित छवियों की स्वचालित पुन: असेंबली - URL अब अमान्य] IEEE लेनदेन में इमेज प्रोसेसिंग, फरवरी 2006, पीपी. 385–393</ref> ने खंडित छवियों को फिर से जोड़ने के लिए उत्सुक आकलन और [[अल्फा-बीटा परीक्षण]] पर आधारित कुशल एल्गोरिदम प्रस्तुत किया। पाल, सेनकर और मेमन<ref name=pal_dig_inv2008>ए।


इस प्रकार, किसी फ़ाइल के हेडर को खोजने का अर्थ है कि फ़ाइल का पहला टुकड़ा मिल गया है, लेकिन अन्य टुकड़े विभाजन पर कहीं और बिखरे हुए हो सकते हैं, जिससे फ़ाइल को और अधिक चुनौतीपूर्ण बना दिया जाता है।
इस प्रकार, किसी फ़ाइल के हेडर को खोजने का अर्थ है कि फ़ाइल का पहला टुकड़ा मिल गया है, लेकिन अन्य टुकड़े विभाजन पर कहीं और बिखरे हुए हो सकते हैं, जिससे फ़ाइल को और अधिक चुनौतीपूर्ण बना दिया जाता है।
Line 14: Line 14:
फाइल सिस्टम वास्तव में विखंडन कैसे करते हैं और आंकड़ों को लागू करने का अध्ययन करके, योग्य अनुमान लगाना संभव है कि कौन से टुकड़े एक साथ फिट हो सकते हैं। इन टुकड़ों को फिर विभिन्न संभावित क्रमपरिवर्तनों में एक साथ रखा जाता है और यदि टुकड़े एक साथ फिट होते हैं तो इसका परीक्षण किया जाता है। कुछ फ़ाइलों के लिए सॉफ़्टवेयर के लिए परीक्षण करना आसान होता है कि क्या वे फिट हैं, जबकि अन्य के लिए, सॉफ़्टवेयर गलती से टुकड़ों को एक साथ गलत तरीके से फिट कर सकता है।
फाइल सिस्टम वास्तव में विखंडन कैसे करते हैं और आंकड़ों को लागू करने का अध्ययन करके, योग्य अनुमान लगाना संभव है कि कौन से टुकड़े एक साथ फिट हो सकते हैं। इन टुकड़ों को फिर विभिन्न संभावित क्रमपरिवर्तनों में एक साथ रखा जाता है और यदि टुकड़े एक साथ फिट होते हैं तो इसका परीक्षण किया जाता है। कुछ फ़ाइलों के लिए सॉफ़्टवेयर के लिए परीक्षण करना आसान होता है कि क्या वे फिट हैं, जबकि अन्य के लिए, सॉफ़्टवेयर गलती से टुकड़ों को एक साथ गलत तरीके से फिट कर सकता है।


पाल, टी. सेनकार और एन. मेमन, [http://digital-assembly.com/technology/research/pubs/dfrws2008.pdf अनुक्रमिक परिकल्पना परीक्षण का उपयोग करते हुए फ़ाइल विखंडन बिंदु का पता लगाना - URL अब अमान्य], डिजिटल जांच, 2008 में गिरना< /रेफरी> विखंडन बिंदुओं का पता लगाने के लिए एक प्रभावी तंत्र के रूप में अनुक्रमिक परिकल्पना परीक्षण की शुरुआत की। रिचर्ड और रूसेव<ref name=scalpel_dfrws>रिचर्ड, गोल्डन, रूसेव, वी., [https://dfrws.org/sites/default/files/session-files/paper-scalpel_-_a_frugal_high_performance_file_carver.pdf स्केलपेल: एक मितव्ययी, उच्च प्रदर्शन फ़ाइल कार्वर] {{Webarchive|url=https://web.archive.org/web/20190209093226/http://www.dfrws.org/sites/default/files/session-files/paper-scalpel_-_a_frugal_high_performance_file_carver.pdf |date=2019-02-09 }}, 2005 डिजिटल फोरेंसिक रिसर्च वर्कशॉप की कार्यवाही में, DFRWS, अगस्त 2005</ref> स्केलपेल,ने एक ओपन-सोर्स फाइल-कार्विंग टूल प्रस्तुत किया।
पाल, टी. सेनकार और एन. मेमन, [http://digital-assembly.com/technology/research/pubs/dfrws2008.pdf अनुक्रमिक परिकल्पना परीक्षण का उपयोग करते हुए फ़ाइल विखंडन बिंदु का पता लगाना - URL अब अमान्य], डिजिटल जांच, 2008 में गिरना< /ref> विखंडन बिंदुओं का पता लगाने के लिए एक प्रभावी तंत्र के रूप में अनुक्रमिक परिकल्पना परीक्षण की शुरुआत की। रिचर्ड और रूसेव<ref name=scalpel_dfrws>रिचर्ड, गोल्डन, रूसेव, वी., [https://dfrws.org/sites/default/files/session-files/paper-scalpel_-_a_frugal_high_performance_file_carver.pdf स्केलपेल: एक मितव्ययी, उच्च प्रदर्शन फ़ाइल कार्वर] {{Webarchive|url=https://web.archive.org/web/20190209093226/http://www.dfrws.org/sites/default/files/session-files/paper-scalpel_-_a_frugal_high_performance_file_carver.pdf |date=2019-02-09 }}, 2005 डिजिटल फोरेंसिक रिसर्च वर्कशॉप की कार्यवाही में, DFRWS, अगस्त 2005</ref> स्केलपेल,ने ओपन-सोर्स फाइल-कार्विंग उपकरण प्रस्तुत किया।


फ़ाइल कार्विंग एक अत्यधिक जटिल कार्य है, जिसमें संभावित रूप से बड़ी संख्या में क्रमपरिवर्तन करने का प्रयत्न किया जाता है। इस कार्य को [[कम्प्यूटेशनल जटिलता सिद्धांत]] बनाने के लिए, कार्विंग सॉफ्टवेयर सामान्यतः मॉडल और ह्यूरिस्टिक्स का व्यापक उपयोग करता है।यह न केवल निष्पादन समय के दृष्टिकोण से आवश्यक है, जबकि परिणामों की सटीकता के लिए भी आवश्यक है। अत्याधुनिक फ़ाइल कार्विंग एल्गोरिदम विखंडन बिंदुओं को निर्धारित करने के लिए [[अनुक्रमिक विश्लेषण]] जैसी सांख्यिकीय उपायों का उपयोग करते हैं।
फ़ाइल कार्विंग अत्यधिक जटिल कार्य है, जिसमें संभावित रूप से बड़ी संख्या में क्रम-परिवर्तन करने का प्रयत्न किया जाता है। इस कार्य को [[कम्प्यूटेशनल जटिलता सिद्धांत]] बनाने के लिए, कार्विंग सॉफ्टवेयर सामान्यतः मॉडल और ह्यूरिस्टिक्स का व्यापक उपयोग करता है। यह न केवल निष्पादन समय के दृष्टिकोण से आवश्यक है, जबकि परिणामों की त्रुटिहीन के लिए भी आवश्यक है। अत्याधुनिक फ़ाइल कार्विंग एल्गोरिदम विखंडन बिंदुओं को निर्धारित करने के लिए [[अनुक्रमिक विश्लेषण]] जैसी सांख्यिकीय उपायों का उपयोग करते हैं।


== प्रेरणा ==
== प्रेरणा ==
ज्यादातर स्थितियों में, जब कोई फ़ाइल हटा दी जाती है, तो फ़ाइल सिस्टम मेटाडेटा में प्रविष्टि हटा दी जाती है लेकिन वास्तविक डेटा अभी भी डिस्क पर रहता है। फ़ाइल कार्विंग का उपयोग हार्ड डिस्क से डेटा पुनर्प्राप्त करने के लिए किया जा सकता है जहां मेटाडेटा हटा दिया गया था अन्यथा क्षतिग्रस्त हो गया था। ड्राइव के स्वरूपित या पुनर्विभाजित होने के बाद भी यह प्रक्रिया सफल हो सकती है।
अत्यधिक स्थितियों में, जब कोई फ़ाइल निषेध कर दी जाती है, तो फ़ाइल सिस्टम मेटाडेटा में प्रविष्टि निषेध कर दी जाती है लेकिन वास्तविक डेटा अभी भी डिस्क पर रहता है। फ़ाइल कार्विंग का उपयोग हार्ड डिस्क से डेटा पुनर्प्राप्त करने के लिए किया जा सकता है जहां मेटाडेटा निषेध कर दिया गया था अन्यथा क्षतिग्रस्त हो गया था। ड्राइव के स्वरूपित या पुनर्विभाजित होने के पश्चात भी यह प्रक्रिया सफल हो सकती है।


फ़ाइल कार्विंग नि:शुल्क या व्यावसायिक सॉफ्टवेयर का उपयोग करके किया जा सकता है और प्रायः डेटा रिकवरी कंपनियों द्वारा [[कंप्यूटर फोरेंसिक्स]] परीक्षाओं या अन्य पुनर्प्राप्ति प्रयासों (जैसे हार्डवेयर रिपेयर) के संयोजन के साथ किया जाता है।<ref>{{Cite web|url=http://www.sertdatarecovery.com/hard-drive-recovery/how-to-fix-dropped-hard-drive|title=व्यावसायिक डेटा पुनर्प्राप्ति सेवाएँ | SERT डेटा रिकवरी कंपनी|access-date=2015-05-05|archive-date=2015-05-12|archive-url=https://web.archive.org/web/20150512062618/http://www.sertdatarecovery.com/hard-drive-recovery/how-to-fix-dropped-hard-drive|url-status=dead}}</ref> जबकि डेटा पुनर्प्राप्ति का प्राथमिक लक्ष्य फ़ाइल सामग्री को पुनर्प्राप्त करना है, कंप्यूटर फोरेंसिक परीक्षक प्रायः मेटाडेटा में रुचि रखते हैं जैसे फ़ाइल किसके पास है, इसे कहाँ संग्रहीत किया गया था, और जब इसे अंतिम बार संशोधित किया गया था।<ref>[https://www.hgexperts.com/expert-witness-articles/understanding-deleted-files-and-what-they-mean-44950 "Understanding Deleted Files"]</ref> इस प्रकार, जबकि फोरेंसिक परीक्षक यह प्रमाणित करने के लिए फ़ाइल कार्विंग का उपयोग कर सकता है कि एक फ़ाइल एक बार हार्ड ड्राइव पर संग्रहीत थी, उसे यह प्रमाणित करने के लिए अन्य प्रमाणों की खोज करने की आवश्यकता हो सकती है कि इसे वहां किसने रखा था।
फ़ाइल कार्विंग नि:शुल्क या व्यावसायिक सॉफ्टवेयर का उपयोग करके किया जा सकता है और प्रायः डेटा रिकवरी कंपनियों द्वारा [[कंप्यूटर फोरेंसिक्स]] परीक्षाओं या अन्य पुनर्प्राप्ति प्रयासों (जैसे हार्डवेयर रिपेयर) के संयोजन के साथ किया जाता है।<ref>{{Cite web|url=http://www.sertdatarecovery.com/hard-drive-recovery/how-to-fix-dropped-hard-drive|title=व्यावसायिक डेटा पुनर्प्राप्ति सेवाएँ | SERT डेटा रिकवरी कंपनी|access-date=2015-05-05|archive-date=2015-05-12|archive-url=https://web.archive.org/web/20150512062618/http://www.sertdatarecovery.com/hard-drive-recovery/how-to-fix-dropped-hard-drive|url-status=dead}}</ref> जबकि डेटा पुनर्प्राप्ति का प्राथमिक लक्ष्य फ़ाइल सामग्री को पुनर्प्राप्त करना है, कंप्यूटर फोरेंसिक परीक्षक प्रायः मेटाडेटा में रुचि रखते हैं जैसे फ़ाइल किसके पास है? इसे कहाँ संग्रहीत किया गया था? और जब इसे अंतिम बार संशोधित किया गया था।<ref>[https://www.hgexperts.com/expert-witness-articles/understanding-deleted-files-and-what-they-mean-44950 "Understanding Deleted Files"]</ref> इस प्रकार, जबकि फोरेंसिक परीक्षक यह प्रमाणित करने के लिए फ़ाइल कार्विंग का उपयोग कर सकता है कि फ़ाइल हार्ड ड्राइव पर संग्रहीत थी, उसे यह प्रमाणित करने के लिए अन्य प्रमाणों का अध्यन करने की आवश्यकता हो सकती है कि इसे वहां किसने रखा था।


== कार्विंग योजनाएं ==
== कार्विंग योजनाएं ==


=== बिफ्रैगमेंट गैप कार्विंग ===
=== बिफ्रैगमेंट गैप कार्विंग ===
गारफिंकेल<ref name="garfinkel_dfrws2007" />दो खंडो में विभाजित की गई फ़ाइलों को फिर से जोड़ने के लिए तेजी से वस्तु सत्यापन के उपयोग की शुरुआत की। इस उपाय को बिफ्रैगमेंट गैप कार्विंग (बीजीसी) कहा जाता है। प्रारंभिक अंशों का एक सेट और परिष्करण अंशों का एक सेट पहचाना जाता है। यदि एक साथ वे एक वैध वस्तु बनाते हैं, तो खंड फिर से जुड़ जाते हैं।
गारफिंकेल<ref name="garfinkel_dfrws2007" />दो खंडो में विभाजित की गई फ़ाइलों को फिर से जोड़ने के लिए तीव्रता से वस्तु सत्यापन के उपयोग का आरंभ किया था। इस उपाय को बिफ्रैगमेंट गैप कार्विंग (बीजीसी) कहा जाता है। प्रारंभिक अंशों का समुच्चय और परिष्करण अंशों का समुच्चय पहचाना जाता है। यदि वे वैध वस्तु बनाते हैं, तो खंड फिर से जुड़ जाते हैं।


=== स्मार्टकार्विंग ===
=== स्मार्टकार्विंग ===
पाल<ref name="pal_ieee_ip" />ने एक कार्विंग योजना विकसित की जो द्विखंडित फाइलों तक सीमित नहीं है। टेक्निक, जिसे स्मार्टकार्विंग के नाम से जाना जाता है, ज्ञात फाइल सिस्टम विखंडन के व्यवहार के विषय में अनुमानों का उपयोग करती है।
पाल<ref name="pal_ieee_ip" />ने कार्विंग योजना विकसित की जो द्विखंडित फाइलों तक सीमित नहीं है। तकनीक, जिसे स्मार्टकार्विंग के नाम से जाना जाता है, ज्ञात फाइल सिस्टम विखंडन के व्यवहार के विषय में अनुमानों का उपयोग करती है।
एल्गोरिथ्म के तीन चरण होते हैं: प्रीप्रोसेसिंग, कोलेशन और रीअसेंबली। प्रीप्रोसेसिंग चरण में, यदि आवश्यक हो तो ब्लॉकों को विघटित या डिक्रिप्ट किया जाता है। मिलान चरण में, ब्लॉकों को उनके फ़ाइल प्रकार के अनुसार क्रमबद्ध किया जाता है। रीअसेंबली चरण में, हटाए गए फ़ाइलों को पुन: उत्पन्न करने के लिए ब्लॉक को अनुक्रम में रखा जाता है।स्मार्टकार्विंग एल्गोरिथ्म डिजिटल असेंबली से एड्रोइट फोटो फोरेंसिक और एड्रोइट फोटो रिकवरी एप्लिकेशन का आधार है।


== कार्विंग मेमोरी डंप ==
एल्गोरिथ्म के तीन चरण होते हैं: पूर्व प्रसंस्करण, कोलेशन और रीअसेंबली है। पूर्व प्रसंस्करण चरण में, यदि आवश्यक हो तो ब्लॉकों को विघटित या डिक्रिप्ट किया जाता है। कोलेशन चरण में, ब्लॉकों को उनके फ़ाइल प्रकार के अनुसार क्रमबद्ध किया जाता है। रीअसेंबली चरण में, हटाए गए फ़ाइलों को पुन: उत्पन्न करने के लिए ब्लॉक को अनुक्रम में रखा जाता है। स्मार्टकार्विंग एल्गोरिथ्म डिजिटल असेंबली से निपुण फोटो फोरेंसिक और निपुण फोटो रिकवरी एप्लिकेशन का आधार है।
कंप्यूटर की वाष्पशील मेमोरी (अर्थात RAM) के स्नैपशॉट को निकाला जा सकता है। मेमोरी-डंप कार्विंग नियमित रूप से डिजिटल फोरेंसिक में उपयोग की जाती है, जिससे जांचकर्ताओं को क्षणिक साक्ष्य तक पहुंचने की अनुमति मिलती है। अल्पकालिक साक्ष्य में जल्द ही में एक्सेस की गई छवियां और वेब पेज, दस्तावेज़, चैट और सामाजिक नेटवर्क के माध्यम से किए गए संचार सम्मिलित हैं। यदि एक एन्क्रिप्टेड वॉल्यूम ( [[TrueCrypt|ट्रूक्रिप्ट]], [[BitLocker|बिटलॉकर]], [[PGP Disk|पीजीपी डिस्क]]) का उपयोग किया गया था, तो एन्क्रिप्टेड कंटेनरों की बाइनरी कुंजियों को निकाला जा सकता है और ऐसे वॉल्यूम को तुरंत माउंट करने के लिए उपयोग किया जाता है। वाष्पशील स्मृति की सामग्री खंडित हो जाती है। खंडित मेमोरी सेट (बेलकाकार्विंग) को खोजने में सक्षम बनाने के लिए बेल्कासॉफ्ट द्वारा एक स्वामित्व कार्विंग एल्गोरिथ्म विकसित किया गया था।
 
== कार्विंग मेमोरी का स्तर ==
कंप्यूटर की वाष्पशील मेमोरी (अर्थात RAM) के स्नैपशॉट को निकाला जा सकता है। मेमोरी कार्विंग का स्तर नियमित रूप से डिजिटल फोरेंसिक में उपयोग किया जाता है, जिससे जांचकर्ताओं को क्षणिक साक्ष्य तक पहुंचने की अनुमति मिलती है। अल्पकालिक साक्ष्य में शीघ्र ही में एक्सेस की गई छवियां और वेब पेज, दस्तावेज़, चैट और सामाजिक नेटवर्क के माध्यम से किए गए संचार सम्मिलित हैं। यदि मात्रा के रूप में ( [[TrueCrypt|ट्रूक्रिप्ट]], [[BitLocker|बिटलॉकर]], [[PGP Disk|पीजीपी डिस्क]]) का उपयोग किया गया था, तो कंटेनरों की बाइनरी कुंजियों को निकाला जा सकता है और ऐसी मात्रा को शीघ्र माउंट करने के लिए उपयोग किया जाता है। वाष्पशील स्मृति की सामग्री खंडित हो जाती है। खंडित मेमोरी समुच्चय (बेलकाकार्विंग) का अध्यन करने में सक्षम बनाने के लिए बेल्कासॉफ्ट द्वारा स्वामित्व कार्विंग एल्गोरिथ्म का विकसित किया गया था।


== यह भी देखें ==
== यह भी देखें ==
Line 40: Line 41:
* [[डेटा पुरातत्व]]
* [[डेटा पुरातत्व]]
*अत्यधिक महत्वपूर्ण (सॉफ्टवेयर)
*अत्यधिक महत्वपूर्ण (सॉफ्टवेयर)
*[[PhotoRec|फोटोRec]]
*[[मेरी फाइलों को बरामद करें|मेरे फाइल्स को पहले जैसा करें]]
*[[इसोबस्टर]]
*[[इसोबस्टर]]


==इस पेज में लापता आंतरिक लिंक की सूची==
*फाइल आवन्टन तालिका
*डाटा रिकवरी
*निपुण (सॉफ्टवेयर)
*त्रुटि का पता लगाना और सुधार
*अत्यधिक महत्वपूर्ण(सॉफ्टवेयर)
==संदर्भ==
==संदर्भ==
{{reflist}}
{{reflist}}
[[Category:डेटा रिकवरी]]


 
[[Category:CS1 errors]]
[[Category: Machine Translated Page]]
[[Category:Created On 06/12/2022]]
[[Category:Created On 06/12/2022]]
[[Category:Machine Translated Page]]
[[Category:Pages with reference errors]]
[[Category:Pages with script errors]]
[[Category:Templates Vigyan Ready]]
[[Category:Webarchive template wayback links]]
[[Category:डेटा रिकवरी]]

Latest revision as of 13:20, 27 October 2023

फ़ाइल कार्विंग, फ़ाइल सिस्टम मेटाडेटा की अनुपस्थिति में कंप्यूटर फ़ाइलों को खंडो से पुनः जोड़ने की प्रक्रिया है।

परिचय और आधारभूत सिद्धांत

सभी फ़ाइल सिस्टम में कुछ मेटा डेटा होता है जो वास्तविक फ़ाइल सिस्टम का वर्णन करता है। अल्प से अल्प, इसमें प्रत्येक के नाम के साथ फ़ोल्डर और फ़ाइलों का पदानुक्रम सम्मिलित होता है। फ़ाइल सिस्टम स्टोरेज डिवाइस पर उन भौतिक स्थानों को भी रिकॉर्ड करता है जहाँ प्रत्येक फ़ाइल संग्रहीत होती है। जैसा कि नीचे अध्यन किया गया है, फ़ाइल विभिन्न भौतिक एड्रेस पर खंडो में विभक्त हो सकती है।

फ़ाइल कार्विंग मेटाडेटा के बिना फ़ाइलों को पुनर्प्राप्त करने का प्रयास करने की प्रक्रिया है। ऐसे डेटा का विश्लेषण प्रतिरूप के द्वारा किया जाता है कि यह क्या है (पाठ, निष्पादन योग्य, पीएनजी, एमपी3, आदि)। यह भिन्न-भिन्न उपायों से किया जा सकता है, लेकिन सबसे सरल फ़ाइल हस्ताक्षर या मैजिक संख्या का अध्यन करना है जो किसी विशेष फ़ाइल प्रकार का प्रारम्भ या अंत को चिह्नित करता है।[1] उदाहरण के लिए, प्रत्येक जावा क्लास फ़ाइल में इसके पहले चार बाइट्स हेक्साडेसिमल मान CA FE BA BE होते हैं। कुछ फ़ाइलों में लेख चरणों में भी होते हैं, जिससे फ़ाइल के अंत की पहचान करना सरल हो जाता है।

अधिकांश फाइल सिस्टम, जैसे फ़ाइल आवंटन तालिका फैमली और यूनिक्स का फास्ट फाइल सिस्टम, समान और निश्चित आकार के क्लस्टर की अवधारणा के साथ कार्य करते हैं। उदाहरण के लिए, FAT32 फाइल सिस्टम को 4 KiB के क्लस्टर में विभक्त किया जा सकता है। 4 KiB से लघु कोई भी फ़ाइल क्लस्टर में उपयुक्त हो जाती है, और प्रत्येक क्लस्टर में अधिक फ़ाइल नहीं होती है। 4 KiB से अधिक समय लेने वाली फ़ाइलें कई क्लस्टर में आवंटित की जाती हैं। कभी-कभी ये क्लस्टर सभी सन्निहित होते हैं, जबकि अन्य समय में वे दो या संभावित रूप से कई और तथाकथित विखंडन (कंप्यूटिंग) में विभक्त होते हैं, जिसमें प्रत्येक खंड में कई सन्निहित क्लस्टर होते हैं जो फ़ाइल के डेटा के भाग को संग्रहीत करते हैं। स्पष्ट रूप से बड़ी फ़ाइलों के खंडित होने की संभावना अधिक होती है।

सिमसन गारफिंकेल[2] ने फैट, एनटीएफएस, यूनिक्स फाइल सिस्टम में 350 से अधिक डिस्क से एकत्र किए गए विखंडन के आंकड़ों की सूचना दी। उन्होंने प्रदर्शित किया कि विशिष्ट डिस्क में विखंडन अल्प होने के पश्चात भी, फोरेंसिक रूप से महत्वपूर्ण फाइलों जैसे ईमेल, जेपीईजी और माइक्रोसॉफ्ट वर्ड प्रापत्रो की विखंडन दर अपेक्षाकृत अधिक होती है। जेपीईजी फाइलों की विखंडन दर 16% प्राप्त कि गयी, वर्ड प्रापत्रो में 17% विखंडन था, ऑडियो वीडियो के अंतर में 22% विखंडन दर थी और पीएसटी फाइलें (माइक्रोसॉफ्ट दृष्टिकोण) की विखंडन दर 58% थी (फ़ाइलों का अंश दो या दो से अधिक खंडो में किया जा रहा है) I पाल, शनमुगसुंदरम और मेमन[3] ने खंडित छवियों को फिर से जोड़ने के लिए उत्सुक आकलन और अल्फा-बीटा परीक्षण पर आधारित कुशल एल्गोरिदम प्रस्तुत किया। पाल, सेनकर और मेमनCite error: Closing </ref> missing for <ref> tag स्केलपेल,ने ओपन-सोर्स फाइल-कार्विंग उपकरण प्रस्तुत किया।

फ़ाइल कार्विंग अत्यधिक जटिल कार्य है, जिसमें संभावित रूप से बड़ी संख्या में क्रम-परिवर्तन करने का प्रयत्न किया जाता है। इस कार्य को कम्प्यूटेशनल जटिलता सिद्धांत बनाने के लिए, कार्विंग सॉफ्टवेयर सामान्यतः मॉडल और ह्यूरिस्टिक्स का व्यापक उपयोग करता है। यह न केवल निष्पादन समय के दृष्टिकोण से आवश्यक है, जबकि परिणामों की त्रुटिहीन के लिए भी आवश्यक है। अत्याधुनिक फ़ाइल कार्विंग एल्गोरिदम विखंडन बिंदुओं को निर्धारित करने के लिए अनुक्रमिक विश्लेषण जैसी सांख्यिकीय उपायों का उपयोग करते हैं।

प्रेरणा

अत्यधिक स्थितियों में, जब कोई फ़ाइल निषेध कर दी जाती है, तो फ़ाइल सिस्टम मेटाडेटा में प्रविष्टि निषेध कर दी जाती है लेकिन वास्तविक डेटा अभी भी डिस्क पर रहता है। फ़ाइल कार्विंग का उपयोग हार्ड डिस्क से डेटा पुनर्प्राप्त करने के लिए किया जा सकता है जहां मेटाडेटा निषेध कर दिया गया था अन्यथा क्षतिग्रस्त हो गया था। ड्राइव के स्वरूपित या पुनर्विभाजित होने के पश्चात भी यह प्रक्रिया सफल हो सकती है।

फ़ाइल कार्विंग नि:शुल्क या व्यावसायिक सॉफ्टवेयर का उपयोग करके किया जा सकता है और प्रायः डेटा रिकवरी कंपनियों द्वारा कंप्यूटर फोरेंसिक्स परीक्षाओं या अन्य पुनर्प्राप्ति प्रयासों (जैसे हार्डवेयर रिपेयर) के संयोजन के साथ किया जाता है।[4] जबकि डेटा पुनर्प्राप्ति का प्राथमिक लक्ष्य फ़ाइल सामग्री को पुनर्प्राप्त करना है, कंप्यूटर फोरेंसिक परीक्षक प्रायः मेटाडेटा में रुचि रखते हैं जैसे फ़ाइल किसके पास है? इसे कहाँ संग्रहीत किया गया था? और जब इसे अंतिम बार संशोधित किया गया था।[5] इस प्रकार, जबकि फोरेंसिक परीक्षक यह प्रमाणित करने के लिए फ़ाइल कार्विंग का उपयोग कर सकता है कि फ़ाइल हार्ड ड्राइव पर संग्रहीत थी, उसे यह प्रमाणित करने के लिए अन्य प्रमाणों का अध्यन करने की आवश्यकता हो सकती है कि इसे वहां किसने रखा था।

कार्विंग योजनाएं

बिफ्रैगमेंट गैप कार्विंग

गारफिंकेल[2]दो खंडो में विभाजित की गई फ़ाइलों को फिर से जोड़ने के लिए तीव्रता से वस्तु सत्यापन के उपयोग का आरंभ किया था। इस उपाय को बिफ्रैगमेंट गैप कार्विंग (बीजीसी) कहा जाता है। प्रारंभिक अंशों का समुच्चय और परिष्करण अंशों का समुच्चय पहचाना जाता है। यदि वे वैध वस्तु बनाते हैं, तो खंड फिर से जुड़ जाते हैं।

स्मार्टकार्विंग

पाल[3]ने कार्विंग योजना विकसित की जो द्विखंडित फाइलों तक सीमित नहीं है। तकनीक, जिसे स्मार्टकार्विंग के नाम से जाना जाता है, ज्ञात फाइल सिस्टम विखंडन के व्यवहार के विषय में अनुमानों का उपयोग करती है।

एल्गोरिथ्म के तीन चरण होते हैं: पूर्व प्रसंस्करण, कोलेशन और रीअसेंबली है। पूर्व प्रसंस्करण चरण में, यदि आवश्यक हो तो ब्लॉकों को विघटित या डिक्रिप्ट किया जाता है। कोलेशन चरण में, ब्लॉकों को उनके फ़ाइल प्रकार के अनुसार क्रमबद्ध किया जाता है। रीअसेंबली चरण में, हटाए गए फ़ाइलों को पुन: उत्पन्न करने के लिए ब्लॉक को अनुक्रम में रखा जाता है। स्मार्टकार्विंग एल्गोरिथ्म डिजिटल असेंबली से निपुण फोटो फोरेंसिक और निपुण फोटो रिकवरी एप्लिकेशन का आधार है।

कार्विंग मेमोरी का स्तर

कंप्यूटर की वाष्पशील मेमोरी (अर्थात RAM) के स्नैपशॉट को निकाला जा सकता है। मेमोरी कार्विंग का स्तर नियमित रूप से डिजिटल फोरेंसिक में उपयोग किया जाता है, जिससे जांचकर्ताओं को क्षणिक साक्ष्य तक पहुंचने की अनुमति मिलती है। अल्पकालिक साक्ष्य में शीघ्र ही में एक्सेस की गई छवियां और वेब पेज, दस्तावेज़, चैट और सामाजिक नेटवर्क के माध्यम से किए गए संचार सम्मिलित हैं। यदि मात्रा के रूप में ( ट्रूक्रिप्ट, बिटलॉकर, पीजीपी डिस्क) का उपयोग किया गया था, तो कंटेनरों की बाइनरी कुंजियों को निकाला जा सकता है और ऐसी मात्रा को शीघ्र माउंट करने के लिए उपयोग किया जाता है। वाष्पशील स्मृति की सामग्री खंडित हो जाती है। खंडित मेमोरी समुच्चय (बेलकाकार्विंग) का अध्यन करने में सक्षम बनाने के लिए बेल्कासॉफ्ट द्वारा स्वामित्व कार्विंग एल्गोरिथ्म का विकसित किया गया था।

यह भी देखें

संदर्भ

  1. "फ़ाइल हस्ताक्षर".
  2. 2.0 2.1 सिमसन गारफिंकल, तेजी से वस्तु सत्यापन के साथ सन्निहित और खंडित फ़ाइलें तराशना Archived 2012-05-23 at the Wayback Machine2007 की डिजिटल फोरेंसिक रिसर्च वर्कशॉप की कार्यवाही में, DFRWS, पिट्सबर्ग, PA, अगस्त 2007
  3. 3.0 3.1 ए. पाल और एन. मेमन, लालची एल्गोरिदम का उपयोग करके फ़ाइल खंडित छवियों की स्वचालित पुन: असेंबली - URL अब अमान्य IEEE लेनदेन में इमेज प्रोसेसिंग, फरवरी 2006, पीपी. 385–393
  4. "व्यावसायिक डेटा पुनर्प्राप्ति सेवाएँ". Archived from the original on 2015-05-12. Retrieved 2015-05-05. {{cite web}}: Text "SERT डेटा रिकवरी कंपनी" ignored (help)
  5. "Understanding Deleted Files"