FILE CARVING
File Carving atau kadang hanya disebut dengan Carving, adalah praktek mencari masukan untuk file atau jenis lain dari objek berdasarkan pada isi, bukan pada metadata. File carving adalah alat yang ampuh untuk memulihkan file dan fragmen dari file saat entri direktori yang korup atau hilang, yang mungkin terjadi dengan file lama yang telah dihapus atau ketika melakukan analisis pada media yang rusak. Memory carving adalah alat yang berguna untuk menganalisis dump memori fisik dan virtual ketika struktur memori tidak diketahui atau telah ditimpa.
File Carvers paling banyak beroperasi dengan mencari header file dan / atau footer, dan kemudian "carving out" blok antara dua batas. Sematic carving melakukan carving berdasarkan analisa dari isi dari file yang diusulkan.
File carving harus dilakukan pada sebuah disk image, bukan pada disk asli.
Berkas alat carving terdaftar pada Tools: Data_Recovery halaman wiki.
Banyak program carving yang memiliki pilihan untuk hanya melihat dengan dekat batas-batas sektor mana header ditemukan. Namun, mencari masukan seluruh dapat menemukan file yang telah tertanam ke file lain, seperti JPEG yang tertanam ke dalam dokumen Microsoft Word. Hal ini dapat dianggap sebagai keuntungan atau kerugian, tergantung pada keadaan.
Mayoritas program file carving hanya akan memulihkan file yang bersebelahan pada media (dalam file kata lain yang tidak terfragmentasi).
Fragmented File Recovery
Simson Garfinkel memperkirakan bahwa 58% upto pandangan, 17% dari JPEG dan 16% dari MS-Word file terfragmentasi dan, karenanya, muncul rusak atau hilang ke pengguna menggunakan data tradisional ukiran. Set pertama dari file program ukiran yang dapat menangani file terfragmentasi secara otomatis memiliki akhirnya tiba. A. Pal, N. Memon. T. Sencar dan K. Shanmugasundaram telah memperkenalkan teknik yang disebut SmartCarving yang dapat memulihkan file terfragmentasi.
SmartCarving
Pal mengembangkan skema ukiran yang tidak terbatas pada file bifragmented. Teknik, yang dikenal sebagai SmartCarving, memanfaatkan heuristik mengenai perilaku fragmentasi filesystem yang dikenal. Algoritma ini memiliki tiga fase: preprocessing, pemeriksaan, dan reassembly. Pada tahap preprocessing, blok didekompresi dan / atau didekripsi jika diperlukan. Pada tahap pemeriksaan, blok diurutkan menurut tipe file mereka. Pada tahap reassembly, blok ditempatkan di urutan ke mereproduksi file yang dihapus. Algoritma SmartCarving adalah dasar untuk Forensik Foto gesit dan aplikasi Foto Pemulihan gesit dari Majelis Digital.
File Carving Taxonomy
Simson Garfinkel dan Joachim Metz telah mengusulkan taksonomi file carving sebagai berikut :
- Carving, Umum istilah untuk penggalian data (file) dari blok dibedakan (data mentah), seperti "carving" patung dari batu sabun.
- Blok Berbasis Carving, Setiap metode carving (algoritma) yang menganalisis input di blok-per-blok dasar untuk menentukan apakah blok merupakan bagian dari file output yang mungkin. Metode ini mengasumsikan bahwa setiap blok hanya dapat menjadi bagian dari file tunggal (atau file tertanam).
- Statistik Carving, Setiap metode carving (algoritma) yang menganalisis input pada karakteristik atau statistik misalnya, entropi untuk menentukan apakah input adalah bagian dari sebuah file output yang mungkin.
- Header / Footer Carving, Sebuah metode untuk carving file dari data mentah menggunakan sebuah header yang berbeda (mulai dari penanda file) dan footer (akhir penanda file).
- Header / Maksimum (file) ukuran Carving, Sebuah metode untuk file carving dari data mentah menggunakan sebuah header yang berbeda (mulai dari penanda file) dan maksimum (file) ukuran. Pendekatan ini bekerja karena banyak format file (misalnya JPEG, MP3) tidak peduli jika sampah tambahan ditambahkan ke akhir file yang valid.
- Header / Carving Panjang Tertanam, Sebuah metode untuk file carving dari data mentah menggunakan sebuah header yang berbeda dan panjang file (ukuran) yang tertanam dalam format file
- Struktur file berdasarkan Carving, Sebuah metode untuk file carving dari data mentah dengan menggunakan tingkat tertentu dari pengetahuan tentang struktur internal jenis file. Garfinkel yang disebut pendekatan " Semantic Carving" dalam penyerahan DFRWS2006 tantangan carving, sementara Metz dan Mora disebut pendekatan "Deep Carving."
- Semantic Carving, Sebuah metode untuk file carving berdasarkan pada analisis linguistik isi file. Sebagai contoh, seorang semantic carver mungkin menyimpulkan bahwa enam blok dari perancis di tengah sebuah file HTML yang panjang ditulis dalam bahasa Inggris adalah fragmen kiri dari sebuah file dialokasikan sebelumnya, dan bukan dari file HTML berbahasa Inggris.
- Carving dengan Validasi, Sebuah metode untuk file carving dari data mentah dimana file diukir divalidasi menggunakan jenis file validator tertentu.
- Fragmen Pemulihan Carving, Sebuah metode carving di mana dua atau lebih fragmen dipasang kembali untuk membentuk file asli atau objek. Garfinkel sebelumnya disebut pendekatan "Split Carving."
- Repackaging Carving, Sebuah metode carving yang mengubah data diekstraksi dengan menambahkan header baru, footer, atau informasi lainnya sehingga dapat dilihat dengan utilitas standar. Sebagai contoh, Garfinkel yang ZIP Carver mencari komponen individu dari sebuah file ZIP dan repackages mereka dengan Direktori Tengah baru sehingga mereka dapat dibuka dengan unzip utilitas standar.
FILE IDENTIFIACTION
Format file Identifikasi adalah proses mencari tahu format dari urutan byte. Sistem operasi biasanya melakukan hal ini dengan ekstensi file atau informasi tertanam MIME. Aplikasi forensik perlu mengidentifikasi jenis file dengan konten.Tools
Libmagic
- Ditulis dalam C
- Rules in /usr/share/file/magic and compiled at runtime.
- Powers Unix "file" perintah, tetapi Anda juga dapat menghubungi perpustakaan langsung dari program C.
Merupakan tahapan paling awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk mempermudah penyelidikan. Network Administratormerupakan sosok pertama yang umumnya mengetahui keberadaan cybercrime, atau Tim Respon cybercrime (jika perusahaan memilikinya) sebelum sebuah kasus cybercrimediusut oleh cyberpolice. Ketika cyberpolice telah dilibatkan dalam sebuah kasus, maka juga akan melibatkan elemen-elemen vital yang lainnya, antara lain:
- Petugas Keamanan (Officer/as a First Responder), Memiliki tugas-tugas yakni : ((i) Mengidentifikasi Peristiwa, (ii)Mengamankan Bukti dan (iii) Pemeliharaan bukti yang temporer dan Rawan Kerusakan.
- Penelaah Bukti (Investigator), Memiliki Tugas-tugas yakni : (i) Menetapkan instruksi-instruksi sebagai sosok paling berwenang, (ii) Melakukan pengusutan peristiwa kejahatan,(iii) Pemeliharaan integritas bukti.
- Teknisi Khusus, Memiliki tugas-tugas (dihindari terjadioverlaping job dengan Investigator), yakni (i) Pemeliharaan bukti yang rentan kerusakan dan menyalin storage bukti,(ii) Mematikan(shuting down) sistem yang sedang berjalan,(iii) Membungkus / memproteksi bukti-bukti,(iv)Mengangkut bukti,(v) Memproses bukti
Elemen-elemen vital diatas inilah yang kemudian nantinya memiliki otoritas penuh dalam penuntasan kasus kriminal yang terjadi.
Digital Preservation EffortsPRONOM adalah proyek dari Arsip Nasional Inggris untuk mengembangkan jenis file registri. Sebuah proyek serupa dimulai oleh JSTOR dan Harvard sebagai Lingkungan Validasi JSTOR / Obyek Harvard. Upaya saat ini tengah dilakukan untuk menggabungkan dua upaya di Registry Format Global Digital dan Registry Universal Format Digital.
Arsip Nasional Inggris mengembangkan Obyek Identifikasi Rekam Digital (DROID) alat, sebuah "format file alat identifikasi otomatis." Alat ini ditulis di Java dan dapat didownload dari SourgeForge.
lihat:
PRONOM
JHOVE
JHOVE2
GDFR
UDFR
DROID men-download
Sumber :
http://www.forensicswiki.org/wiki/File_Carving
http://www.forensicswiki.org/wiki/File_Format_Identification
http://en.wikipedia.org/wiki/File_carving
http://en.wikipedia.org/wiki/Computer_forensics
Tidak ada komentar:
Posting Komentar