फ़ाइल कार्विंग

From Vigyanwiki
Revision as of 20:05, 6 December 2022 by alpha>Indicwiki (Created page with "फाइल कार्विंग किसकी अनुपस्थिति में टुकड़ों से कंप्यूटर फाइलों को...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

फाइल कार्विंग किसकी अनुपस्थिति में टुकड़ों से कंप्यूटर फाइलों को फिर से जोड़ने की प्रक्रिया है? फाइल सिस्टम # मेटाडाटा।

परिचय और बुनियादी सिद्धांत

सभी फ़ाइल सिस्टम में कुछ मेटा डेटा होता है जो वास्तविक फ़ाइल सिस्टम का वर्णन करता है। कम से कम, इसमें प्रत्येक के नाम के साथ फ़ोल्डर और फ़ाइलों का पदानुक्रम शामिल है। फ़ाइल सिस्टम स्टोरेज डिवाइस पर उन भौतिक स्थानों को भी रिकॉर्ड करेगा जहाँ प्रत्येक फ़ाइल संग्रहीत है। जैसा कि नीचे समझाया गया है, एक फ़ाइल विभिन्न भौतिक पतों पर टुकड़ों में बिखरी हो सकती है।

फ़ाइल नक्काशी इस मेटाडेटा के बिना फ़ाइलों को पुनर्प्राप्त करने का प्रयास करने की प्रक्रिया है। यह कच्चे डेटा का विश्लेषण करके और यह पहचानने के द्वारा किया जाता है कि यह क्या है (पाठ, निष्पादन योग्य, पीएनजी, एमपी 3, आदि)। यह अलग-अलग तरीकों से किया जा सकता है, लेकिन सबसे सरल फ़ाइल हस्ताक्षर या जादुई संख्या की तलाश करना है जो किसी विशेष फ़ाइल प्रकार की शुरुआत और/या अंत को चिह्नित करता है।[1] उदाहरण के लिए, प्रत्येक जावा क्लास फ़ाइल में इसके पहले चार बाइट्स हेक्साडेसिमल मान होते हैं CA FE BA BE. कुछ फ़ाइलों में पाद लेख भी होते हैं, जिससे फ़ाइल के अंत की पहचान करना उतना ही आसान हो जाता है।

अधिकांश फाइल सिस्टम, जैसे फ़ाइल आवंटन तालिका परिवार और UNIX की बर्कले फास्ट फाइल सिस्टम, एक समान और निश्चित आकार के समूहों की अवधारणा के साथ काम करते हैं। उदाहरण के लिए, एक FAT32 फाइल सिस्टम को 4 KiB के क्लस्टर में तोड़ा जा सकता है। 4 KiB से छोटी कोई भी फ़ाइल एक क्लस्टर में फ़िट हो जाती है, और प्रत्येक क्लस्टर में कभी भी एक से अधिक फ़ाइल नहीं होती है। 4 KiB से ज़्यादा समय लेने वाली फ़ाइलें कई क्लस्टर में आवंटित की जाती हैं। कभी-कभी ये क्लस्टर सभी सन्निहित होते हैं, जबकि अन्य समय में वे दो या संभावित रूप से कई और तथाकथित विखंडन (कंप्यूटिंग) में बिखरे हुए होते हैं, जिसमें प्रत्येक खंड में कई सन्निहित क्लस्टर होते हैं जो फ़ाइल के डेटा के एक हिस्से को संग्रहीत करते हैं। स्पष्ट रूप से बड़ी फ़ाइलों के खंडित होने की संभावना अधिक होती है।

सिमसन गारफिंकेल[2] ने फ़ाइल आवंटन तालिका, NTFS और यूनिक्स फाइल सिस्टम फ़ाइल सिस्टम वाले 350 से अधिक डिस्क से एकत्र किए गए विखंडन के आंकड़ों की सूचना दी। उन्होंने दिखाया कि एक विशिष्ट डिस्क में विखंडन कम होने के बावजूद, फोरेंसिक रूप से महत्वपूर्ण फाइलों जैसे ईमेल, जेपीईजी और माइक्रोसॉफ्ट वर्ड दस्तावेजों की विखंडन दर अपेक्षाकृत अधिक होती है। जेपीईजी फाइलों की विखंडन दर 16% पाई गई, वर्ड दस्तावेजों में 17% विखंडन था, ऑडियो वीडियो इंटरलीव में 22% विखंडन दर थी और पीएसटी फाइलें (माइक्रोसॉफ्ट दृष्टिकोण) में 58% विखंडन दर थी (फाइलों का अंश खंडित किया जा रहा था) दो या दो से अधिक टुकड़े)। पाल, शनमुगसुंदरम और मेमन[3] ने खंडित छवियों को फिर से जोड़ने के लिए लालची हेयुरिस्टिक और अल्फा-बीटा प्रूनिंग पर आधारित एक कुशल एल्गोरिद्म प्रस्तुत किया। पाल, सेनकर और मेमनCite error: Closing </ref> missing for <ref> tag स्केलपेल, एक ओपन-सोर्स फाइल-कार्विंग टूल प्रस्तुत किया।

फ़ाइल नक्काशी एक अत्यधिक जटिल कार्य है, जिसमें संभावित रूप से बड़ी संख्या में क्रमपरिवर्तन करने की कोशिश की जाती है। इस कार्य को कम्प्यूटेशनल जटिलता सिद्धांत बनाने के लिए, नक्काशी सॉफ्टवेयर आमतौर पर मॉडल और ह्यूरिस्टिक्स का व्यापक उपयोग करता है। यह न केवल निष्पादन समय के दृष्टिकोण से आवश्यक है, बल्कि परिणामों की सटीकता के लिए भी आवश्यक है। अत्याधुनिक फ़ाइल नक्काशी एल्गोरिदम विखंडन बिंदुओं को निर्धारित करने के लिए अनुक्रमिक विश्लेषण जैसी सांख्यिकीय तकनीकों का उपयोग करते हैं।

प्रेरणा

ज्यादातर मामलों में, जब कोई फ़ाइल हटा दी जाती है, तो फ़ाइल सिस्टम मेटाडेटा में प्रविष्टि हटा दी जाती है लेकिन वास्तविक डेटा अभी भी डिस्क पर रहता है। फ़ाइल नक्काशी का उपयोग हार्ड डिस्क से डेटा पुनर्प्राप्त करने के लिए किया जा सकता है जहां मेटाडेटा हटा दिया गया था या अन्यथा क्षतिग्रस्त हो गया था। ड्राइव के स्वरूपित या पुनर्विभाजित होने के बाद भी यह प्रक्रिया सफल हो सकती है।

फ़ाइल नक्काशी नि: शुल्क या वाणिज्यिक सॉफ़्टवेयर का उपयोग करके की जा सकती है और अक्सर डेटा रिकवरी कंपनियों द्वारा कंप्यूटर फोरेंसिक्स परीक्षाओं या अन्य पुनर्प्राप्ति प्रयासों (जैसे हार्डवेयर मरम्मत) के संयोजन के साथ किया जाता है।[4] जबकि डेटा पुनर्प्राप्ति का प्राथमिक लक्ष्य फ़ाइल सामग्री को पुनर्प्राप्त करना है, कंप्यूटर फोरेंसिक परीक्षक अक्सर मेटाडेटा में रुचि रखते हैं जैसे फ़ाइल किसके पास है, इसे कहाँ संग्रहीत किया गया था, और जब इसे अंतिम बार संशोधित किया गया था।[5] इस प्रकार, जबकि एक फोरेंसिक परीक्षक यह साबित करने के लिए फ़ाइल नक्काशी का उपयोग कर सकता है कि एक फ़ाइल एक बार हार्ड ड्राइव पर संग्रहीत थी, उसे यह साबित करने के लिए अन्य सबूतों की तलाश करने की आवश्यकता हो सकती है कि इसे वहां किसने रखा था।

नक्काशी योजनाएं

बिफ्रैगमेंट गैप नक्काशी

गारफिंकेल[2]दो टुकड़ों में विभाजित की गई फ़ाइलों को फिर से जोड़ने के लिए तेज़ ऑब्जेक्ट सत्यापन के उपयोग की शुरुआत की। इस तकनीक को बिफ्रैगमेंट गैप कार्विंग (बीजीसी) कहा जाता है। प्रारंभिक अंशों का एक सेट और परिष्करण अंशों का एक सेट पहचाना जाता है। यदि एक साथ वे एक वैध वस्तु बनाते हैं, तो टुकड़े फिर से जुड़ जाते हैं।

स्मार्टकार्विंग

दोस्त[3]एक नक्काशी योजना विकसित की जो द्विखंडित फाइलों तक सीमित नहीं है। तकनीक, जिसे स्मार्टकार्विंग के नाम से जाना जाता है, ज्ञात फाइल सिस्टम के विखंडन व्यवहार के बारे में अनुमानों का उपयोग करती है। एल्गोरिथ्म के तीन चरण होते हैं: प्रीप्रोसेसिंग, कोलेशन और रीअसेंबली। प्रीप्रोसेसिंग चरण में, यदि आवश्यक हो तो ब्लॉकों को विघटित और/या डिक्रिप्ट किया जाता है। मिलान चरण में, ब्लॉकों को उनके फ़ाइल प्रकार के अनुसार क्रमबद्ध किया जाता है। रीअसेंबली चरण में, हटाए गए फ़ाइलों को पुन: उत्पन्न करने के लिए ब्लॉक को अनुक्रम में रखा जाता है। स्मार्टकार्विंग एल्गोरिथ्म डिजिटल असेंबली से एड्रोइट (सॉफ्टवेयर) और एड्रोइट फोटो रिकवरी एप्लिकेशन का आधार है।

नक्काशी मेमोरी डंप

कंप्यूटर की वाष्पशील मेमोरी (अर्थात RAM) के स्नैपशॉट को उकेरा जा सकता है। मेमोरी-डंप नक्काशी नियमित रूप से डिजिटल फोरेंसिक में उपयोग की जाती है, जिससे जांचकर्ताओं को क्षणिक साक्ष्य तक पहुंचने की अनुमति मिलती है। अल्पकालिक साक्ष्य में हाल ही में एक्सेस की गई छवियां और वेब पेज, दस्तावेज़, चैट और सामाजिक नेटवर्क के माध्यम से किए गए संचार शामिल हैं। यदि एक एन्क्रिप्टेड वॉल्यूम (TrueCrypt, BitLocker, PGP Disk) का उपयोग किया गया था, तो एन्क्रिप्टेड कंटेनरों की बाइनरी कुंजियों को निकाला जा सकता है और ऐसे वॉल्यूम को तुरंत माउंट करने के लिए उपयोग किया जाता है। वाष्पशील स्मृति की सामग्री खंडित हो जाती है। खंडित मेमोरी सेट (बेलकाकार्विंग) को तराशने में सक्षम बनाने के लिए बेल्कासॉफ्ट द्वारा एक मालिकाना नक्काशी एल्गोरिथ्म विकसित किया गया था।

यह भी देखें


इस पेज में लापता आंतरिक लिंक की सूची

  • फाइल आवन्टन तालिका
  • डाटा रिकवरी
  • निपुण (सॉफ्टवेयर)
  • त्रुटि का पता लगाना और सुधार
  • सबसे महत्वपूर्ण (सॉफ्टवेयर)

संदर्भ

  1. "फ़ाइल हस्ताक्षर".
  2. 2.0 2.1 सिमसन गारफिंकल, तेजी से वस्तु सत्यापन के साथ सन्निहित और खंडित फ़ाइलें तराशना Archived 2012-05-23 at the Wayback Machine2007 की डिजिटल फोरेंसिक रिसर्च वर्कशॉप की कार्यवाही में, DFRWS, पिट्सबर्ग, PA, अगस्त 2007
  3. 3.0 3.1 ए. पाल और एन. मेमन, लालची एल्गोरिदम का उपयोग करके फ़ाइल खंडित छवियों की स्वचालित पुन: असेंबली - URL अब अमान्य IEEE लेनदेन में इमेज प्रोसेसिंग, फरवरी 2006, पीपी. 385–393
  4. "व्यावसायिक डेटा पुनर्प्राप्ति सेवाएँ". Archived from the original on 2015-05-12. Retrieved 2015-05-05. {{cite web}}: Text "SERT डेटा रिकवरी कंपनी" ignored (help)
  5. "Understanding Deleted Files"