फ़ाइल कार्विंग: Difference between revisions
m (added Category:Vigyan Ready using HotCat) |
|||
Line 61: | Line 61: | ||
[[Category: Machine Translated Page]] | [[Category: Machine Translated Page]] | ||
[[Category:Created On 06/12/2022]] | [[Category:Created On 06/12/2022]] | ||
[[Category:Vigyan Ready]] |
Revision as of 15:47, 30 January 2023
फ़ाइल कार्विंग, फ़ाइल सिस्टम मेटाडेटा की अनुपस्थिति में कंप्यूटर फ़ाइलों को खंडो से पुनः जोड़ने की प्रक्रिया है।
परिचय और आधारभूत सिद्धांत
सभी फ़ाइल सिस्टम में कुछ मेटा डेटा होता है जो वास्तविक फ़ाइल सिस्टम का वर्णन करता है। अल्प से अल्प, इसमें प्रत्येक के नाम के साथ फ़ोल्डर और फ़ाइलों का पदानुक्रम सम्मिलित होता है। फ़ाइल सिस्टम स्टोरेज डिवाइस पर उन भौतिक स्थानों को भी रिकॉर्ड करता है जहाँ प्रत्येक फ़ाइल संग्रहीत होती है। जैसा कि नीचे अध्यन किया गया है, फ़ाइल विभिन्न भौतिक एड्रेस पर खंडो में विभक्त हो सकती है।
फ़ाइल कार्विंग मेटाडेटा के बिना फ़ाइलों को पुनर्प्राप्त करने का प्रयास करने की प्रक्रिया है। ऐसे डेटा का विश्लेषण प्रतिरूप के द्वारा किया जाता है कि यह क्या है (पाठ, निष्पादन योग्य, पीएनजी, एमपी3, आदि)। यह भिन्न-भिन्न उपायों से किया जा सकता है, लेकिन सबसे सरल फ़ाइल हस्ताक्षर या मैजिक संख्या का अध्यन करना है जो किसी विशेष फ़ाइल प्रकार का प्रारम्भ या अंत को चिह्नित करता है।[1] उदाहरण के लिए, प्रत्येक जावा क्लास फ़ाइल में इसके पहले चार बाइट्स हेक्साडेसिमल मान CA FE BA BE होते हैं। कुछ फ़ाइलों में लेख चरणों में भी होते हैं, जिससे फ़ाइल के अंत की पहचान करना सरल हो जाता है।
अधिकांश फाइल सिस्टम, जैसे फ़ाइल आवंटन तालिका फैमली और यूनिक्स का फास्ट फाइल सिस्टम, समान और निश्चित आकार के क्लस्टर की अवधारणा के साथ कार्य करते हैं। उदाहरण के लिए, FAT32 फाइल सिस्टम को 4 KiB के क्लस्टर में विभक्त किया जा सकता है। 4 KiB से लघु कोई भी फ़ाइल क्लस्टर में उपयुक्त हो जाती है, और प्रत्येक क्लस्टर में अधिक फ़ाइल नहीं होती है। 4 KiB से अधिक समय लेने वाली फ़ाइलें कई क्लस्टर में आवंटित की जाती हैं। कभी-कभी ये क्लस्टर सभी सन्निहित होते हैं, जबकि अन्य समय में वे दो या संभावित रूप से कई और तथाकथित विखंडन (कंप्यूटिंग) में विभक्त होते हैं, जिसमें प्रत्येक खंड में कई सन्निहित क्लस्टर होते हैं जो फ़ाइल के डेटा के भाग को संग्रहीत करते हैं। स्पष्ट रूप से बड़ी फ़ाइलों के खंडित होने की संभावना अधिक होती है।
सिमसन गारफिंकेल[2] ने फैट, एनटीएफएस, यूनिक्स फाइल सिस्टम में 350 से अधिक डिस्क से एकत्र किए गए विखंडन के आंकड़ों की सूचना दी। उन्होंने प्रदर्शित किया कि विशिष्ट डिस्क में विखंडन अल्प होने के पश्चात भी, फोरेंसिक रूप से महत्वपूर्ण फाइलों जैसे ईमेल, जेपीईजी और माइक्रोसॉफ्ट वर्ड प्रापत्रो की विखंडन दर अपेक्षाकृत अधिक होती है। जेपीईजी फाइलों की विखंडन दर 16% प्राप्त कि गयी, वर्ड प्रापत्रो में 17% विखंडन था, ऑडियो वीडियो के अंतर में 22% विखंडन दर थी और पीएसटी फाइलें (माइक्रोसॉफ्ट दृष्टिकोण) की विखंडन दर 58% थी (फ़ाइलों का अंश दो या दो से अधिक खंडो में किया जा रहा है) I पाल, शनमुगसुंदरम और मेमन[3] ने खंडित छवियों को फिर से जोड़ने के लिए उत्सुक आकलन और अल्फा-बीटा परीक्षण पर आधारित कुशल एल्गोरिदम प्रस्तुत किया। पाल, सेनकर और मेमनCite error: Closing </ref>
missing for <ref>
tag स्केलपेल,ने ओपन-सोर्स फाइल-कार्विंग उपकरण प्रस्तुत किया।
फ़ाइल कार्विंग अत्यधिक जटिल कार्य है, जिसमें संभावित रूप से बड़ी संख्या में क्रम-परिवर्तन करने का प्रयत्न किया जाता है। इस कार्य को कम्प्यूटेशनल जटिलता सिद्धांत बनाने के लिए, कार्विंग सॉफ्टवेयर सामान्यतः मॉडल और ह्यूरिस्टिक्स का व्यापक उपयोग करता है। यह न केवल निष्पादन समय के दृष्टिकोण से आवश्यक है, जबकि परिणामों की त्रुटिहीन के लिए भी आवश्यक है। अत्याधुनिक फ़ाइल कार्विंग एल्गोरिदम विखंडन बिंदुओं को निर्धारित करने के लिए अनुक्रमिक विश्लेषण जैसी सांख्यिकीय उपायों का उपयोग करते हैं।
प्रेरणा
अत्यधिक स्थितियों में, जब कोई फ़ाइल निषेध कर दी जाती है, तो फ़ाइल सिस्टम मेटाडेटा में प्रविष्टि निषेध कर दी जाती है लेकिन वास्तविक डेटा अभी भी डिस्क पर रहता है। फ़ाइल कार्विंग का उपयोग हार्ड डिस्क से डेटा पुनर्प्राप्त करने के लिए किया जा सकता है जहां मेटाडेटा निषेध कर दिया गया था अन्यथा क्षतिग्रस्त हो गया था। ड्राइव के स्वरूपित या पुनर्विभाजित होने के पश्चात भी यह प्रक्रिया सफल हो सकती है।
फ़ाइल कार्विंग नि:शुल्क या व्यावसायिक सॉफ्टवेयर का उपयोग करके किया जा सकता है और प्रायः डेटा रिकवरी कंपनियों द्वारा कंप्यूटर फोरेंसिक्स परीक्षाओं या अन्य पुनर्प्राप्ति प्रयासों (जैसे हार्डवेयर रिपेयर) के संयोजन के साथ किया जाता है।[4] जबकि डेटा पुनर्प्राप्ति का प्राथमिक लक्ष्य फ़ाइल सामग्री को पुनर्प्राप्त करना है, कंप्यूटर फोरेंसिक परीक्षक प्रायः मेटाडेटा में रुचि रखते हैं जैसे फ़ाइल किसके पास है? इसे कहाँ संग्रहीत किया गया था? और जब इसे अंतिम बार संशोधित किया गया था।[5] इस प्रकार, जबकि फोरेंसिक परीक्षक यह प्रमाणित करने के लिए फ़ाइल कार्विंग का उपयोग कर सकता है कि फ़ाइल हार्ड ड्राइव पर संग्रहीत थी, उसे यह प्रमाणित करने के लिए अन्य प्रमाणों का अध्यन करने की आवश्यकता हो सकती है कि इसे वहां किसने रखा था।
कार्विंग योजनाएं
बिफ्रैगमेंट गैप कार्विंग
गारफिंकेल[2]दो खंडो में विभाजित की गई फ़ाइलों को फिर से जोड़ने के लिए तीव्रता से वस्तु सत्यापन के उपयोग का आरंभ किया था। इस उपाय को बिफ्रैगमेंट गैप कार्विंग (बीजीसी) कहा जाता है। प्रारंभिक अंशों का समुच्चय और परिष्करण अंशों का समुच्चय पहचाना जाता है। यदि वे वैध वस्तु बनाते हैं, तो खंड फिर से जुड़ जाते हैं।
स्मार्टकार्विंग
पाल[3]ने कार्विंग योजना विकसित की जो द्विखंडित फाइलों तक सीमित नहीं है। तकनीक, जिसे स्मार्टकार्विंग के नाम से जाना जाता है, ज्ञात फाइल सिस्टम विखंडन के व्यवहार के विषय में अनुमानों का उपयोग करती है।
एल्गोरिथ्म के तीन चरण होते हैं: पूर्व प्रसंस्करण, कोलेशन और रीअसेंबली है। पूर्व प्रसंस्करण चरण में, यदि आवश्यक हो तो ब्लॉकों को विघटित या डिक्रिप्ट किया जाता है। कोलेशन चरण में, ब्लॉकों को उनके फ़ाइल प्रकार के अनुसार क्रमबद्ध किया जाता है। रीअसेंबली चरण में, हटाए गए फ़ाइलों को पुन: उत्पन्न करने के लिए ब्लॉक को अनुक्रम में रखा जाता है। स्मार्टकार्विंग एल्गोरिथ्म डिजिटल असेंबली से निपुण फोटो फोरेंसिक और निपुण फोटो रिकवरी एप्लिकेशन का आधार है।
कार्विंग मेमोरी का स्तर
कंप्यूटर की वाष्पशील मेमोरी (अर्थात RAM) के स्नैपशॉट को निकाला जा सकता है। मेमोरी कार्विंग का स्तर नियमित रूप से डिजिटल फोरेंसिक में उपयोग किया जाता है, जिससे जांचकर्ताओं को क्षणिक साक्ष्य तक पहुंचने की अनुमति मिलती है। अल्पकालिक साक्ष्य में शीघ्र ही में एक्सेस की गई छवियां और वेब पेज, दस्तावेज़, चैट और सामाजिक नेटवर्क के माध्यम से किए गए संचार सम्मिलित हैं। यदि मात्रा के रूप में ( ट्रूक्रिप्ट, बिटलॉकर, पीजीपी डिस्क) का उपयोग किया गया था, तो कंटेनरों की बाइनरी कुंजियों को निकाला जा सकता है और ऐसी मात्रा को शीघ्र माउंट करने के लिए उपयोग किया जाता है। वाष्पशील स्मृति की सामग्री खंडित हो जाती है। खंडित मेमोरी समुच्चय (बेलकाकार्विंग) का अध्यन करने में सक्षम बनाने के लिए बेल्कासॉफ्ट द्वारा स्वामित्व कार्विंग एल्गोरिथ्म का विकसित किया गया था।
यह भी देखें
- डाटा रिकवरी
- त्रुटि का पता लगाना और सुधार
- डेटा पुरातत्व
- अत्यधिक महत्वपूर्ण (सॉफ्टवेयर)
- फोटोRec
- मेरे फाइल्स को पहले जैसा करें
- इसोबस्टर
संदर्भ
- ↑ "फ़ाइल हस्ताक्षर".
- ↑ 2.0 2.1 सिमसन गारफिंकल, तेजी से वस्तु सत्यापन के साथ सन्निहित और खंडित फ़ाइलें तराशना Archived 2012-05-23 at the Wayback Machine2007 की डिजिटल फोरेंसिक रिसर्च वर्कशॉप की कार्यवाही में, DFRWS, पिट्सबर्ग, PA, अगस्त 2007
- ↑ 3.0 3.1 ए. पाल और एन. मेमन, लालची एल्गोरिदम का उपयोग करके फ़ाइल खंडित छवियों की स्वचालित पुन: असेंबली - URL अब अमान्य IEEE लेनदेन में इमेज प्रोसेसिंग, फरवरी 2006, पीपी. 385–393
- ↑ "व्यावसायिक डेटा पुनर्प्राप्ति सेवाएँ". Archived from the original on 2015-05-12. Retrieved 2015-05-05.
{{cite web}}
: Text "SERT डेटा रिकवरी कंपनी" ignored (help) - ↑ "Understanding Deleted Files"