Come fa il software legale a rilevare i file cancellati

Ci sono diversi modi in cui può essere fatto. In gran parte, il modo più semplice è seguire i puntatori del link a ciascuno dei blocchi, ma non è l'unico modo con qualsiasi mezzo. (La MFT non è l'unica fonte di quei link in molti file system.)

Ad un livello più basso, è in grado di identificare tutti i blocchi e provare ad abbinarli alcuni sul contenuto se i file hanno una struttura interna che consente di abbinare un pezzo a un altro. Ciò non funzionerà per tutti i file, anche se i puntatori vengono rimossi, poiché alcuni non hanno molto schema per loro, ma funzionerà abbastanza perché sia ancora una preoccupazione importante, specialmente perché, a meno che l'unità non sia molto frammentata, anche un file di grandi dimensioni probabilmente non è più di qualche dozzina di pezzi grandi.

Fondamentalmente, ci sono un sacco di modi diversi per provare a mettere insieme le cose in base alla struttura fisica del disco (i blocchi contigui sono generalmente preferiti se disponibili), le caratteristiche del file system (come i link dei blocchi avanti e indietro) o caratteristiche della struttura dei file, che variano da file a file.

A corto di distruzione totale, ci sono un numero qualsiasi di modi possibili per recuperare il file. In alcuni casi, rimuovere semplicemente i puntatori può essere sufficiente, ma un'analisi veramente determinata può probabilmente mettere insieme il puzzle cercando frammenti che abbiano un senso insieme, in particolare se cercano qualcosa in particolare.

In NTFS, tutti i metadati sono memorizzati nella MFT. Ciò include nomi, date, cartella principale, ecc. I cluster occupati sono anche memorizzati in una struttura chiamata run di dati. I cluster che memorizzano i dati del file contengono solo i dati dei file e non esiste un elenco collegato che contenga informazioni sul cluster successivo o precedente.

Quando un file viene cancellato (assumendo un salto del cestino), c'è un singolo bit nel record MFT che viene disattivato. Il resto di quel record rimane sul posto esattamente come era altrimenti. I metadati di un file cancellato non vengono cancellati fino a quando un nuovo file non deve occupare lo spazio di registrazione con i suoi metadati.

La MFT è un blocco contiguo di cluster con record della dimensione di 1024 byte. NTFS utilizza il primo record non allocato (dall'alto) quando crea un nuovo file.

Gli strumenti forensi devono solo iniziare nella parte superiore della MFT e trattare ogni blocco di 1024 byte come record. Se il bit cancellato / allocato è attivo, allora è un file allocato. Se è spento, il file è stato cancellato.

È stato menzionato in un altro commento la cancellazione dello spazio non allocato MFT e questo è un modo per cercare di nascondere i metadati. Ciò comporta la scrittura oltre i record nella MFT che sono stati contrassegnati come cancellati.

Se i metadati non funzionano, rendono il recupero dei file più difficile, ma non impossibile.

Uno strumento forense come FTK imager , è essenzialmente un lettore di dati e un interprete binario. Oversimpostato, legge ogni valore e mostra sia il valore assoluto esadecimale (o decimale) e / o il valore interpretato (come il testo). Google per ulteriori esempi e spiegazioni su come funziona FTK imager.

Si noti che un toolkit forense è semplicemente uno strumento. La maggior parte fornisce un certo livello di elaborazione per aiutarti a determinare se quello che stai vedendo è ciò che vuoi vedere.

Qualcosa che può aiutare è capire come funzionano i file system. Qui è un libro ben fatto (so che è vecchio, ma è comunque pertinente). Qui è anche una breve panoramica di NTFS.

Modifica: esercizio di esempio

Quindi ecco un modo super veloce e divertente per vedere come funziona tutto questo. Innanzitutto, ti consiglio di leggere il libro sopra menzionato, ma a prescindere puoi seguire questi passaggi:

1. Ottieni una qualche forma di supporto per archiviare un file (ti consiglio una piccola scheda SD da 256 MB o qualcosa di simile).
2. Riformatta il contenuto multimediale (in Windows deseleziona l'opzione 'formato veloce' e assicurati che sia formattata in NTFS).
3. Apri il file multimediale e crea un semplice file di testo con un nome breve e inserisci il tuo indirizzo email.
4. Salva il file e controlla se tutto sembra normale.
5. Apri il file multimediale e cancella il file.
6. Apri FTK Imager, scegli "aggiungi elemento prova" e seleziona il tuo media.
7. Ora cerca solo il tuo indirizzo email
8. Sperimenta e impara fino al contenuto del tuo cuore!

Questo semplice esercizio dimostra quanto sia facile trovare un file cancellato (anche senza MFT). Mi piace farlo con i miei studenti perché puoi imparare tanto semplicemente variando questo esercizio e se lo abbini a un libro di testo, bam!

Ho avuto esperienza con software forense che ignora la logica del filesystem e fa semplicemente un grep dell'immagine del disco per i pattern di byte che corrispondono alle intestazioni di file comuni o al contenuto di file specifico.

vale a dire. cerca tutti i file JPEG o cerca i file contenenti la parola "ciao".

Questo è un modo per recuperare i file "cancellati".