Kategorija: Novosti i Zanimljivosti

Novi računalni forenzički alati će učiniti mogućim povratiti još više podataka sa oštećenih hard diskova tako dugo dok datoteke koje nedostaju nisu prekrivene novim zapisom. Pronalaženje kriminalnih podataka na mobitelima i na igraćim konzolama je mnogo teže. Alati koji su dizajnirani za žetvu slika sa diska čak ako su one i izbrisane iz datotečnog sistema, mogu se podesiti da traže i druge formate datoteka uključujući Word dokumente, rekao je Nasir Memon, profesor na Polytechnic Institute of New York University.

U istraživanju koje još nije objavio, Memon kaže da će pokazati da tehnike korištene za pronalaženje izbrisanih fotografija i slika mogu biti unaprijeđene kako bi pronalazile tekstualne dokumente, što bi im dalo mogućnost da postanu atraktivne u poslovnom okruženju prilikom pokušaja za spašavanjem oštećenih podataka koji su možda fragmentirani i disperzirani negdje na oštećenom disku.

Tekstualni alat provjerava fragmentirane chunkove datoteka koji mogu biti rasprostranjeni diljem diska i analizira njihov sadržaj da bi vidio koji od njih vjerojatno idu zajedno. "Traži globalne razlike, na primjer, Twain vs. Shakespeare. Sintaksa pomaže eliminiranju lažnih preklapanja," Memon tvrdi.

Alat je baziran na metodi recovery-ja poznatoj kao SmartCarving koja je otkrivena na NYU i komercijalno prodana vendoru DigitalAssembly, koji je osnovan od strane bivših studenata profesora Memon-a.

SmartCarving može povratiti 10% do 15% digitalnih slika koje konvencionalni forenzički alati jednostavno promaše kada pokušaju tražiti datoteke koje su ranije izbrisane iz registry-ja.

Tradicionalni file recovery traži poznato zaglavlje za datoteku, te sakuplja sve povezane podatkovne blokove između njih. Ukoliko podatkovni blokovi budu fragmentirani, tradicionalni alati će se srušiti kada pokušaju udariti fragment drugačijeg formata koji je možda zaglavio između dijelova datiteke koju traži.

SmartCarving slika uključuje crtanje zajedničkih podatkovnih blokova iz pojedine slike koji su posloženi kaotično na disku i povezivanje istih sa drugim grupama podatkovnih blokova baziran na tome da li se čini da se oni poklapaju korištenjem kriterija kao što su pikselni razmak ili dimenzije slike.

Na ovaj način, postaje moguće povratiti djelomične slike kada dijelovi nedostaju i povratiti slike kada zaglavlja nedostaju. "Vidite što možete dekodirati i odabirete najbolje".

Stvarno sortiranje vrši se putem algoritama koji skiciraju podatkovne segmente kako bi imali uvid koji su najsličniji onome što traže, naravno bazirano na postavljenim kriterijima. Bliži fragmenti spadaju u graf, što bolje pristaju istome, to je vjerojatnije da jesu pravi.

Korištenjem ove tehnike na fotografijama, moguće je presložiti fotografije iako su neki od podataka koji su potrebni i izgubljeni, što kao rezultat dovodi da je i sama slika kojoj je sastavni dio taj podatak izbrisana iz sustava. Metoda može kreirati približne vrijednosti za imaginarne datoteke također, što rezultira sakupljanjem i preslagivanjem dovoljno komadića kako bi se rekreirala verzija koja moguće neće biti jednako oštra kao original.

Nova istraživanja koriste ovu tehniku i za druge datotečne formate kao što su .doc datoteke. Traži se u sadržaju datotečnog fragmenta, te se klasificira bazirano na sintaktičkim podudarnostima. 

Adaptiran članak by Tim Greene