फ़ाइल कार्विंग: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
Line 26: Line 26:


=== बिफ्रैगमेंट गैप कार्विंग ===
=== बिफ्रैगमेंट गैप कार्विंग ===
गारफिंकेल<ref name="garfinkel_dfrws2007" />दो खंडो में विभाजित की गई फ़ाइलों को फिर से जोड़ने के लिए तेज़ ऑब्जेक्ट सत्यापन के उपयोग की शुरुआत की। इस तकनीक को बिफ्रैगमेंट गैप कार्विंग (बीजीसी) कहा जाता है। प्रारंभिक अंशों का एक सेट और परिष्करण अंशों का एक सेट पहचाना जाता है। यदि एक साथ वे एक वैध वस्तु बनाते हैं, तो टुकड़े फिर से जुड़ जाते हैं।
गारफिंकेल<ref name="garfinkel_dfrws2007" />दो खंडो में विभाजित की गई फ़ाइलों को फिर से जोड़ने के लिए तेजी से वस्तु सत्यापन के उपयोग की शुरुआत की। इस उपाय को बिफ्रैगमेंट गैप कार्विंग (बीजीसी) कहा जाता है। प्रारंभिक अंशों का एक सेट और परिष्करण अंशों का एक सेट पहचाना जाता है। यदि एक साथ वे एक वैध वस्तु बनाते हैं, तो खंड फिर से जुड़ जाते हैं।


=== स्मार्टकार्विंग ===
=== स्मार्टकार्विंग ===

Revision as of 13:00, 20 January 2023

फ़ाइल कार्विंग,फ़ाइल सिस्टम मेटाडेटा की अनुपस्थिति में कंप्यूटर फ़ाइलों को टुकड़ों से पुनः जोड़ने की प्रक्रिया है।

परिचय और बुनियादी सिद्धांत

सभी फ़ाइल सिस्टम में कुछ मेटा डेटा होता है जो वास्तविक फ़ाइल सिस्टम का वर्णन करता है। कम से कम, इसमें प्रत्येक के नाम के साथ फ़ोल्डर और फ़ाइलों का पदानुक्रम सम्मिलित है। फ़ाइल सिस्टम स्टोरेज डिवाइस पर उन भौतिक स्थानों को भी रिकॉर्ड करेगा जहाँ प्रत्येक फ़ाइल संग्रहीत है। जैसा कि नीचे समझाया गया है, एक फ़ाइल विभिन्न भौतिक एड्रेस पर खंडो में बिखरी हो सकती है।

फ़ाइल कार्विंग इस मेटाडेटा के बिना फ़ाइलों को पुनर्प्राप्त करने का प्रयास करने की प्रक्रिया है। यह कच्चे डेटा का विश्लेषण करके और यह पहचानने के द्वारा किया जाता है कि यह क्या है (पाठ, निष्पादन योग्य, पीएनजी, एमपी 3, आदि)। यह अलग-अलग तरीकों से किया जा सकता है, लेकिन सबसे सरल फ़ाइल हस्ताक्षर या जादुई संख्या की तलाश करना है जो किसी विशेष फ़ाइल प्रकार की शुरुआत या अंत को चिह्नित करता है।[1] उदाहरण के लिए, प्रत्येक जावा क्लास फ़ाइल में इसके पहले चार बाइट्स हेक्साडेसिमल मान CA FE BA BE होते हैं।. कुछ फ़ाइलों में पाद लेख भी होते हैं, जिससे फ़ाइल के अंत की पहचान करना आसान हो जाता है।

अधिकांश फाइल सिस्टम, जैसे फ़ाइल आवंटन तालिका परिवार और UNIX का फास्ट फाइल सिस्टम, एक समान और निश्चित आकार के क्लस्टर की अवधारणा के साथ कार्य करते हैं। उदाहरण के लिए, एक FAT32 फाइल सिस्टम को 4 KiB के क्लस्टर में तोड़ा जा सकता है। 4 KiB से छोटी कोई भी फ़ाइल एक क्लस्टर में फ़िट हो जाती है, और प्रत्येक क्लस्टर में कभी भी एक से अधिक फ़ाइल नहीं होती है। 4 KiB से ज़्यादा समय लेने वाली फ़ाइलें कई क्लस्टर में आवंटित की जाती हैं। कभी-कभी ये क्लस्टर सभी सन्निहित होते हैं, जबकि अन्य समय में वे दो या संभावित रूप से कई और तथाकथित विखंडन (कंप्यूटिंग) में बिखरे हुए होते हैं, जिसमें प्रत्येक खंड में कई सन्निहित क्लस्टर होते हैं जो फ़ाइल के डेटा के एक हिस्से को संग्रहीत करते हैं। स्पष्ट रूप से बड़ी फ़ाइलों के खंडित होने की संभावना अधिक होती है।

सिमसन गारफिंकेल[2] ने फ़ाइल आवंटन तालिका, NTFS और यूनिक्स फाइल सिस्टम वाले 350 से अधिक डिस्क से एकत्र किए गए विखंडन के आंकड़ों की सूचना दी। उन्होंने दिखाया कि एक विशिष्ट डिस्क में विखंडन कम होने के बाद भी, फोरेंसिक रूप से महत्वपूर्ण फाइलों जैसे ईमेल, जेपीईजी और माइक्रोसॉफ्ट वर्ड दस्तावेजों की विखंडन दर अपेक्षाकृत अधिक होती है। जेपीईजी फाइलों की विखंडन दर 16% पाई गई, वर्ड दस्तावेजों में 17% विखंडन था, ऑडियो वीडियो इंटरलीव में 22% विखंडन दर थी और पीएसटी फाइलें (माइक्रोसॉफ्ट दृष्टिकोण) की विखंडन दर 58% थी (फ़ाइलों का अंश दो या दो सेअधिक खंडो में किया जा रहा है)पाल, शनमुगसुंदरम और मेमन[3] ने खंडित छवियों को फिर से जोड़ने के लिए लालची हेयुरिस्टिक और अल्फा-बीटा प्रूनिंग पर आधारित एक कुशल एल्गोरिदम प्रस्तुत किया। पाल, सेनकर और मेमनCite error: Closing </ref> missing for <ref> tag स्केलपेल,ने एक ओपन-सोर्स फाइल-कार्विंग टूल प्रस्तुत किया।

फ़ाइल कार्विंग एक अत्यधिक जटिल कार्य है, जिसमें संभावित रूप से बड़ी संख्या में क्रमपरिवर्तन करने का प्रयत्न किया जाता है। इस कार्य को कम्प्यूटेशनल जटिलता सिद्धांत बनाने के लिए, कार्विंग सॉफ्टवेयर सामान्यतः मॉडल और ह्यूरिस्टिक्स का व्यापक उपयोग करता है।यह न केवल निष्पादन समय के दृष्टिकोण से आवश्यक है, जबकि परिणामों की सटीकता के लिए भी आवश्यक है। अत्याधुनिक फ़ाइल कार्विंग एल्गोरिदम विखंडन बिंदुओं को निर्धारित करने के लिए अनुक्रमिक विश्लेषण जैसी सांख्यिकीय उपायों का उपयोग करते हैं।

प्रेरणा

ज्यादातर स्थितियों में, जब कोई फ़ाइल हटा दी जाती है, तो फ़ाइल सिस्टम मेटाडेटा में प्रविष्टि हटा दी जाती है लेकिन वास्तविक डेटा अभी भी डिस्क पर रहता है। फ़ाइल कार्विंग का उपयोग हार्ड डिस्क से डेटा पुनर्प्राप्त करने के लिए किया जा सकता है जहां मेटाडेटा हटा दिया गया था अन्यथा क्षतिग्रस्त हो गया था। ड्राइव के स्वरूपित या पुनर्विभाजित होने के बाद भी यह प्रक्रिया सफल हो सकती है।

फ़ाइल कार्विंग नि:शुल्क या व्यावसायिक सॉफ्टवेयर का उपयोग करके किया जा सकता है और प्रायः डेटा रिकवरी कंपनियों द्वारा कंप्यूटर फोरेंसिक्स परीक्षाओं या अन्य पुनर्प्राप्ति प्रयासों (जैसे हार्डवेयर रिपेयर) के संयोजन के साथ किया जाता है।[4] जबकि डेटा पुनर्प्राप्ति का प्राथमिक लक्ष्य फ़ाइल सामग्री को पुनर्प्राप्त करना है, कंप्यूटर फोरेंसिक परीक्षक प्रायः मेटाडेटा में रुचि रखते हैं जैसे फ़ाइल किसके पास है, इसे कहाँ संग्रहीत किया गया था, और जब इसे अंतिम बार संशोधित किया गया था।[5] इस प्रकार, जबकि एक फोरेंसिक परीक्षक यह प्रमाणित करने के लिए फ़ाइल कार्विंग का उपयोग कर सकता है कि एक फ़ाइल एक बार हार्ड ड्राइव पर संग्रहीत थी, उसे यह प्रमाणित करने के लिए अन्य सबूतों की खोज करने की आवश्यकता हो सकती है कि इसे वहां किसने रखा था।

कार्विंग योजनाएं

बिफ्रैगमेंट गैप कार्विंग

गारफिंकेल[2]दो खंडो में विभाजित की गई फ़ाइलों को फिर से जोड़ने के लिए तेजी से वस्तु सत्यापन के उपयोग की शुरुआत की। इस उपाय को बिफ्रैगमेंट गैप कार्विंग (बीजीसी) कहा जाता है। प्रारंभिक अंशों का एक सेट और परिष्करण अंशों का एक सेट पहचाना जाता है। यदि एक साथ वे एक वैध वस्तु बनाते हैं, तो खंड फिर से जुड़ जाते हैं।

स्मार्टकार्विंग

दोस्त[3]एक नक्काशी योजना विकसित की जो द्विखंडित फाइलों तक सीमित नहीं है। तकनीक, जिसे स्मार्टकार्विंग के नाम से जाना जाता है, ज्ञात फाइल सिस्टम के विखंडन व्यवहार के बारे में अनुमानों का उपयोग करती है। एल्गोरिथ्म के तीन चरण होते हैं: प्रीप्रोसेसिंग, कोलेशन और रीअसेंबली। प्रीप्रोसेसिंग चरण में, यदि आवश्यक हो तो ब्लॉकों को विघटित और/या डिक्रिप्ट किया जाता है। मिलान चरण में, ब्लॉकों को उनके फ़ाइल प्रकार के अनुसार क्रमबद्ध किया जाता है। रीअसेंबली चरण में, हटाए गए फ़ाइलों को पुन: उत्पन्न करने के लिए ब्लॉक को अनुक्रम में रखा जाता है। स्मार्टकार्विंग एल्गोरिथ्म डिजिटल असेंबली से एड्रोइट (सॉफ्टवेयर) और एड्रोइट फोटो रिकवरी एप्लिकेशन का आधार है।

नक्काशी मेमोरी डंप

कंप्यूटर की वाष्पशील मेमोरी (अर्थात RAM) के स्नैपशॉट को उकेरा जा सकता है। मेमोरी-डंप नक्काशी नियमित रूप से डिजिटल फोरेंसिक में उपयोग की जाती है, जिससे जांचकर्ताओं को क्षणिक साक्ष्य तक पहुंचने की अनुमति मिलती है। अल्पकालिक साक्ष्य में हाल ही में एक्सेस की गई छवियां और वेब पेज, दस्तावेज़, चैट और सामाजिक नेटवर्क के माध्यम से किए गए संचार शामिल हैं। यदि एक एन्क्रिप्टेड वॉल्यूम (TrueCrypt, BitLocker, PGP Disk) का उपयोग किया गया था, तो एन्क्रिप्टेड कंटेनरों की बाइनरी कुंजियों को निकाला जा सकता है और ऐसे वॉल्यूम को तुरंत माउंट करने के लिए उपयोग किया जाता है। वाष्पशील स्मृति की सामग्री खंडित हो जाती है। खंडित मेमोरी सेट (बेलकाकार्विंग) को तराशने में सक्षम बनाने के लिए बेल्कासॉफ्ट द्वारा एक मालिकाना नक्काशी एल्गोरिथ्म विकसित किया गया था।

यह भी देखें


इस पेज में लापता आंतरिक लिंक की सूची

  • फाइल आवन्टन तालिका
  • डाटा रिकवरी
  • निपुण (सॉफ्टवेयर)
  • त्रुटि का पता लगाना और सुधार
  • सबसे महत्वपूर्ण (सॉफ्टवेयर)

संदर्भ

  1. "फ़ाइल हस्ताक्षर".
  2. 2.0 2.1 सिमसन गारफिंकल, तेजी से वस्तु सत्यापन के साथ सन्निहित और खंडित फ़ाइलें तराशना Archived 2012-05-23 at the Wayback Machine2007 की डिजिटल फोरेंसिक रिसर्च वर्कशॉप की कार्यवाही में, DFRWS, पिट्सबर्ग, PA, अगस्त 2007
  3. 3.0 3.1 ए. पाल और एन. मेमन, लालची एल्गोरिदम का उपयोग करके फ़ाइल खंडित छवियों की स्वचालित पुन: असेंबली - URL अब अमान्य IEEE लेनदेन में इमेज प्रोसेसिंग, फरवरी 2006, पीपी. 385–393
  4. "व्यावसायिक डेटा पुनर्प्राप्ति सेवाएँ". Archived from the original on 2015-05-12. Retrieved 2015-05-05. {{cite web}}: Text "SERT डेटा रिकवरी कंपनी" ignored (help)
  5. "Understanding Deleted Files"