Phenquestions
Živé disky CD alebo DVD ponúkajú spôsob zavedenia systémovej jednotky, ako aj jednotky vymeniteľného alebo pevného média, čo vám umožní načítať súbor pomocou správcu súborov alebo softvéru. Diskový server môže tieto prípady poškodiť a uložiť cenné alebo chránené dátové súbory do samostatných priečinkov v súboroch OS.
Rezbárstvo súborov je postup používaný pri vyšetrovaní miesta činu PC na extrakciu informácií z pevného disku alebo iného úložného zariadenia bez pomoci tabuľky systému súborov, ktorá pôvodne vytvorila pôvodný súbor. File Carving je stratégia, ktorá preberá kontrolu nad dokumentmi v nepridelenom priestore bez údajov a používa sa na obnovenie informácií na vykonanie počítačového klinického vyšetrenia. Tento proces sa pôvodne nazýval „návrh“, čo je všeobecný pojem na odstránenie organizovaných informácií z hrubých informácií, a to na základe konkrétnych atribútov vzoru organizácie uložených informácií.
Forenzná metóda, ktorá získava späť dokumenty, závisí od štruktúry a obsahu súborov bez vhodných metaúdajov systému súborov. Rezbárstvo súborov vám umožňuje obnoviť súbory z neprideleného miesta na ľubovoľnej jednotke. Oblasť jednotky označená štruktúrou systému súborov (tabuľka súborov), ktorá neobsahuje žiadne informácie o systéme súborov, sa nazýva nepridelené miesto.
Chýbajúce alebo poškodené štruktúry súborového systému môžu mať vplyv na celú jednotku. Jednoducho povedané, veľa súborových systémov nevymaže dáta, keď sú vymazané. Namiesto toho jednoducho eliminuje vedomosti o tom, odkiaľ je. Skenovanie nespracovaných bajtov a ich uvedenie do poriadku je základným procesom vyrezávania súborov. Tento proces vykonáva skúmanie hlavičky (prvý bajt) a päty (posledný bajt) súboru.
Rezbárstvo súborov je vynikajúci spôsob obnovy súborov a fragmentov súborov, ak je text poškodený alebo chýba. Profesionáli ho často používajú pri riešení problémov na opätovné preskúmanie dôkazov. Príklad zákazu a možnosti evakuácie médií nastal, keď boli informácie odstránené z táborov Usámu bin Ládina počas útoku amerického tuleňového námorníctva. Forenzní vyšetrovatelia použili metódy obnovy súborov na obnovenie údajov z diskov a systémov používaných v táboroch.
Prehľad súborových systémov
A súborový systém is je typ databázy používanej na ukladanie, aktualizáciu a načítanie súborov alebo niekoľkých počtov súborov. Je to spôsob, ako sa logicky archivujú súbory a pomenujú sa na archiváciu a obnovu. Nižšie sú uvedené rôzne typy súborových systémov:
Súborový systém Windows: Microsoft Windows používa iba dva typy FAT a NTFS.
- TUK, čo znamená „alokačná tabuľka súborov“, je najjednoduchší typ súborového systému obsahujúci bootovací sektor, alokačnú tabuľku súborov a jednoduchý úložný priestor na ukladanie súborov a priečinkov. Nedávno FAT prišiel na FAT16, FAT12 a FAT32. FAT32 je kompatibilný s úložnými zariadeniami so systémom Windows. Systém Windows nemôže vytvoriť súborový systém FAT32 so súborom väčším ako 32 GB.
- NTFS, skratka „New Technology File System“ je teraz predvoleným súborovým systémom pre súbory väčšie ako 32 GB. Šifrovanie a kontrola prístupu sú niektoré hlavné vlastnosti tohto súborového systému.
Súborový systém Linux: Linux je široko používaný operačný systém s otvoreným zdrojovým kódom a bol vyvinutý na testovanie a vývoj. Tento OS bol určený na použitie rôznych konceptov súborového systému. V systéme Linux existuje niekoľko typov súborových systémov.
- Ext2, Ext3, Ext4 - Toto je lokálny alebo predvolený systém súborov Linux. Koreňový súborový systém je všeobecne mcapped na celú distribúciu Linuxu. Systém súborov Ext3 je vynikajúcou aktualizáciou predtým používaného systému súborov Ext2; používa operáciu zápisu transakčného súboru. Ext4 je príponový súbor, ktorý podporuje informácie o Ext3 a atribúciu súborov.
- ReiserFS - Problém so súborovým systémom je vyriešený uložením veľkého množstva malých súborov naraz. Správca súborov sa dobre zasmeje a povolenie kompatibilného súboru, uloženie kódu súboru, súbor obsahuje metaúdaje v režime nepoužívania veľkého súborového systému kvôli jeho veľkosti.
- XFS - Systém súborov XFS funguje dobre a je široko používaný na archiváciu súborov. Tento typ súborového systému je populárny na serveroch IRIX.
- JFS - Spoločnosť IBM vyvinula tento súborový systém a stal sa súborovým systémom, ktorý sa používa takmer vo všetkých distribúciách systému Linux
súborový systém macOS: Operačný systém Apple Macintosh používa iba HFS + súborový systém bez prípony súborového systému HFS. MacOS, iPhone, iPad a všetky ostatné produkty Apple používajú HFS + systém súborov. Niektoré produkty Apple Server používajú súborový systém Hscan. Tento renomovaný súborový systém sleduje informácie týkajúce sa zobrazenia adresárov, umiestnenia systému Windows atď.
Techniky rezania súborov
Počas digitálneho vyšetrovania je potrebné analyzovať rôzne typy médií. Použiteľné informácie možno nájsť na niekoľkých pamäťových zariadeniach a v pamäti PC. Môžu byť rozdelené rôzne typy informácií, napríklad e-mail, elektronické správy, protokoly rámca a mediálne záznamy. Vyrezávanie súboru je technika obnovy, pri ktorej sa berie do úvahy iba obsah a štruktúra súboru, a nie metaúdaje súboru použité pri organizácii údajov na pamäťovom médiu.
Nižšie uvádzame niekoľko terminológií týkajúcich sa vyrezávania súborov:
- Blokovať - Najmenšia veľkosť dátových jednotiek, ktoré je možné zapísať do úložiska
- Hlavička - Východiskový bod súboru.
- Päta - Posledné bajty súboru.
- Fragment - Jeden alebo niekoľko blokov patrí do jedného súboru.
- Base-fragment - Prvý fragment kontajnera na súbory, hlavička súboru.
- Fragmentačný bod - Posledný blok tesne pred fragmentáciou. Výsledkom viacerých fragmentov v ľubovoľnom súbore je niekoľko bodov fragmentácie.
Najvyššie podnikové univerzálne techniky vyrezávania súborov sú nasledujúce:
- Technika hlavičky a päty (alebo hlavičky - „maximálna veľkosť súboru“) - Základnou stratégiou je tu vyrezávanie súborov na základe súborov s nadpisom a rukopisom alebo celkových súborov.
- Súbory s príponou JPG alebo JPEG - „\ XFF \ xD8“ a „\ xFF \ xD9.“
- GIF - tituly „\ x47 \ x49 \ x46 \ x38 \ x37 \ x61“ a päta „\ x00 \ x3B“.
- PST: „! Nadpis BDN “bez päty.
- Ak súborový systém nemá základňu, maximálny počet súborov použitých v rezbárskom programe.
- Rezba založená na štruktúre súborov
- Vnútorné usporiadanie súboru sa používa ako základná technika.
- Hlavička, päta, identifikačné reťazce a informácie o veľkosti sú základnými prvkami.
- Obsahovo založené rezbárstvo
Štruktúra obsahu je zadarmo (MBOX, HTML, XML)
- Vlastnosti materiálu
- Počet znakov
- Rozpoznávanie textu / jazyka
- Čiernobiely zoznam údajov
- Informačná entropia
- Štatistické charakteristiky (Chi2)
Vyrezávanie súboru (bez použitia nástroja)
Ďalej uvidíme, ako vyrezať a .jpeg súbor bez použitia nástroja. Najskôr musíme poznať štruktúru súboru .súbor jpeg (hlavička a päta atď.). Za týmto účelom otvoríme a .obrázok jpeg v Hex editor preskúmať, čo je hlavička a päta súboru .súbor jpeg vyzerá.
Tu sme našli hlavičku súboru ( FFD8FFE0). Teraz, aby sme našli pätu, preskúmame posledné bajty v súbore.
Tu máme pätu súboru alebo upútavku (FFD9).
Ak máte dokument, ktorý obsahuje obrázok, môžete obrázok vyrezať tak, že poznáte jeho hlavičku a pätu.
Teraz máme slovný súbor s obrázkom. Pomocou tejto techniky vydlabeme obrázok.
Prvá vec, ktorú musíme urobiť, je otvoriť tento textový dokument pomocou Hex editor kliknutím Súbor >> Otvoriť.
Tu vidíme údaj zobrazujúci údaje súboru slova v hexadecimálnom tvare. Ako už vieme, .jpeg súbor má hodnotu hlavičky FFD8FFE0, takže vyhľadáme hlavičku súboru stlačením Ctrl + F alebo Hľadať >> Súbor a zadanie známej hodnoty hlavičky (výber dátového typu hexadecimálnej hodnoty je v tomto kroku veľmi dôležitý).
Hodnotu podpisu nájdeme na Ofset 14FD.
Ďalej musíme hľadať pätu alebo príves. Vieme, že .Súbor jpeg má hodnotu päty FFD9, tak vyhľadáme pätu súboru stlačením Ctrl + F alebo Hľadať >> Súbor a zadanie známej hodnoty päty (výber dátového typu hexadecimálnej hodnoty je veľmi dôležitý.
Hodnotu päty nájdeme na Ofset 2 ADB.
V súčasnosti máme hlavičku a pätu dokumentu jpeg a ako sme už nedávno uviedli, medzi hlavičkou a pätou sú informácie záznamu jpeg. Tu duplikujeme celý štvorec informácií s hlavičkou a pätou a uložíme ich ako ďalší súbor.
Ísť do EDIT >> Vyberte Blokovať a zadajte obidva z nasledujúcich výrazov:
Ofset hlavičky súboru: 14FD
Posun päty súboru: 2ADB
Po zadaní týchto hodnôt celá .súbor jpeg bude označený modrou farbou. Ak ho chcete uložiť ako súbor dfile, skopírujte ho kliknutím pravým tlačidlom myši a výberom Kópia, alebo stlačením Ctrl + C. Ďalej tieto informácie prilepíme do nového súboru. Zobrazí sa dialógové okno a my klikneme Ok. Teraz sme pripravení uložiť súbor kliknutím Súbor >> Uložiť ako alebo stlačenie Ctrl + S. Ak otvoríte tento skopírovaný súbor, uvidíte rovnaký obrázok, aký bol v pôvodnom dokumente. Toto je základná technika pre vyrezávanie mediálnych súborov.
Nástroje na vyrezávanie údajov
Nástroje na obnovu dát hrajú dôležitú úlohu vo väčšine forenzných vyšetrovaní, pretože inteligentní útočníci sa vždy snažia vymazať dôkazy o svojich zločinoch. Nižšie sú uvedené niektoré dôležité nástroje na obnovenie údajov v systéme Windows Linux a Windows.
- Foremost (nástroj na vyrezávanie súborov)
Obnova súborov, ktoré sa stratili v dôsledku ich vnútorných dátových štruktúr, hlavičiek a päty, predovšetkým, môže byť použité. Foremost zvyčajne prijíma vstupy v rôznych obrazových formátoch, napríklad AFF alebo raw, ktoré je možné generovať pomocou rôznych nástrojov, napríklad FTK Imager, DD, encase atď. Môžete prejsť na stránku Pomocníka a naučiť sa a preskúmať jeho silné príkazy pomocou nasledujúceho príkazu:
[chránené e-mailom]: ~ $ foremost -h Obnova súborov z obrazu disku na základe typov súborov určenýchpoužívajúci prepínač -t.
jpg Podpora formátov JFIF a Exif vrátane implementácií
používané v moderných digitálnych fotoaparátoch.
gif
png
bmp Podpora pre formát Windows bmp.
avi
Podpora exe pre binárne súbory Windows PE extrahuje súbory DLL a EXE
spolu s časmi ich zostavenia.
mpg Podpora pre väčšinu súborov MPEG (musí začínať 0x000001BA)
wav
riff Týmto sa extrahuje AVI a RIFF, pretože používajú rovnaký súbor na
podložka (RIFF). poznámka rýchlejšia ako beh každého zvlášť.
Poznámka wmv môže tiež extrahovať súbory wma, pretože majú podobný formát.
ole Týmto sa uchopí akýkoľvek súbor pomocou štruktúry súborov OLE. Toto
zahŕňa PowerPoint, Word, Excel, Access a StarWriter
doc Všimnite si, že je efektívnejšie spustiť OLE, pretože získate viac peňazí
tvoje peniaze. Ak chcete ignorovať všetky ostatné súbory ole, použite
toto.
zip Všimnite si, že sa to rozbalí .jar súbory tiež, pretože používajú podobné
formát. Dokumenty Open Office sú iba súbory XML zazipované, takže
sa tiež extrahujú. Patria sem SXW, SXC, SXI a SX? pre
neurčené súbory OpenOffice. Súbory balíka Office 2007 sú tiež XML
založené (PPTX, DOCX, XLSX)
rar
htm
detekcia zdrojového kódu cpp C, všimnite si, že je to primitívne a môže sa generovať
iné dokumenty ako kód C.
mp4 Podpora súborov MP4.
all Spustiť všetky preddefinované metódy extrakcie. [Predvolené, ak nie je -t
špecifikované]
- BinWalk
BinWalk sa používa na správu binárnych knižníc a na extrahovanie dôležitých údajov z obrazov firmvéru. Tento nástroj je vhodný pre tých, ktorí vedia, ako ho používať. BinWalk je považovaný za jeden z najlepších nástrojov na reverzné inžinierstvo a extrakciu obrazov firmvéru. BinWalk sa ľahko používa a má obrovské možnosti. Môžete prejsť na stránku pomocníka programu binwalk a získať viac informácií pomocou nasledujúceho príkazu:
[chránené e-mailom]: ~ $ binwalk --help Možnosti kontroly podpisu:-B, --signature Skenovanie cieľových súborov na spoločné podpisy súborov
-R, --raw = Vyhľadať cieľové súbory v zadanej sekvencii bajtov
-A, --opcodes Vyhľadá v cieľových súboroch spoločné spustiteľné podpisy operačného kódu
-m, --magic = Zadajte vlastný magický súbor, ktorý sa má použiť
-b, --dumb Zakáže kľúčové slová pre inteligentný podpis
-I, --invalid Zobraziť výsledky označené ako neplatné
-x, --exclude = Vylúčiť výsledky, ktoré sa zhodujú
-y, --include = Zobraziť iba výsledky, ktoré sa zhodujú
Možnosti extrakcie:
-e, --extract Automaticky extrahuje známe typy súborov
-D, --dd = Extrahujte podpisy, dajte súborom príponu a vykonajte
-M, --matryoshka Rekurzívne skenuje extrahované súbory
-d, --depth = Obmedziť hĺbku rekurzie matryoshky (predvolené: 8 úrovní hlboko)
-C, --directory = Extrahujte súbory / priečinky do vlastného adresára (predvolené: aktuálny pracovný adresár)
-j, --size = Obmedziť veľkosť každého extrahovaného súboru
-n, --count = Obmedziť počet extrahovaných súborov
-r, --rm Odstrániť vyrezané súbory po extrakcii
-z, - carve Vyrezáva údaje zo súborov, ale nespúšťa extrakčné programy
Možnosti analýzy entropie:
-E, --entropy Vypočítajte entropiu súboru
-F, - rýchle Použite rýchlejšiu, ale menej podrobnú analýzu entropie
-J, - uložiť Uložiť pozemok ako PNG
-Q, --nlegend Vynechať legendu z grafu entropického vykreslenia
-N, --nplot Nevytvára entropický graf grafu
-H, --high = Nastaviť prahovú hodnotu pre spustenie entropie stúpajúcej hrany (predvolené: 0.95)
-L, --low = Nastaviť prahovú hodnotu spúšťacej entropie klesajúcej hrany (predvolené nastavenie: 0.85)
Možnosti binárneho rozdielu:
-W, --hexdump Vykoná hexdump / diff súboru alebo súborov
-G, --green Zobraziť iba riadky obsahujúce bajty, ktoré sú rovnaké medzi všetkými súbormi
-i, --red Zobraziť iba riadky obsahujúce bajty, ktoré sa líšia medzi všetkými súbormi
-U, --blue Zobraziť iba riadky obsahujúce bajty, ktoré sa medzi niektorými súbormi líšia
-w, --terse Rozlišuje všetky súbory, ale zobrazuje iba hexadecimálny výpis prvého súboru
Možnosti surovej kompresie:
-X, --deflate Vyhľadá surové kompresné prúdy deflácie
-Z, --lzma Vyhľadá surové kompresné prúdy LZMA
-P, --partial Vykonajte povrchné, ale rýchlejšie skenovanie
-S, --stop Zastaviť po prvom výsledku
Všeobecné možnosti:
-l, --length = Počet bajtov, ktoré sa majú skenovať
-o, --offset = Spustiť skenovanie pri tomto posunutí súboru
-O, --base = Pridajte základnú adresu ku všetkým vytlačeným ofsetom
-K, --block = Nastaviť veľkosť bloku súboru
-g, --swap = Obrátiť každých n bajtov pred skenovaním
-f, --log = Prihlásiť výsledky do súboru
-c, --csv Výsledky prihlásiť do súboru vo formáte CSV
-t, --term Formátuje výstup, aby sa zmestil do okna terminálu
-q, --quiet Potlačiť výstup na štandardný výstup
-v, --verbose Povoliť podrobný výstup
-h, --help Zobraziť výstup pomocníka
-a, --finclude = Kontrolovať iba súbory, ktorých názvy sa zhodujú s týmto regulárnym výrazom
-p, --fexclude = Nekontrolovať súbory, ktorých názvy sa zhodujú s týmto regulárnym výrazom
-s, --status = Povoliť stavový server na zadanom porte
Obnova údajov z naformátovaných diskov
Nástroje na obnovenie údajov by sa mali vyberať opatrne, aby sa obnovili informácie z naformátovaných diskov, jednotiek USB flash a pamäťových kariet. Nástroje určené na dokončenie rôznych činností môžu priniesť neočakávané výsledky. Ďalej sa pozrieme na niektoré rozdiely medzi rôznymi nástrojmi na obnovu údajov na opravu údajov vo formátovaných jednotkách.
Neformátovaný
Prvá závažná chyba, ktorú mnoho používateľov počítačov urobí pri náhodnom formátovaní svojich diskov, je vyhľadanie, inštalácia a použitie „neformátovaných“ nástrojov. Na trhu existuje veľa týchto nástrojov; niektoré sú komerčné a iné sú tovarom zadarmo. Účelom týchto nástrojov je znovu vytvoriť alebo znovu vytvoriť predformátovaný disk obnovením systému súborov.
Aj keď sa to môže javiť ako životaschopný prístup k neskúseným, mohlo by to byť nakoniec väčšia chyba ako strata súborov na prvom mieste. Formátovanie disku vymaže pôvodný súborový systém a nahradí ho aspoň čiastočne, zvyčajne na začiatku. Pri pokuse o obnovenie starého súborového systému je najlepším riešením disk, ktorý je čitateľný pre niektoré vaše súbory. Všetko sa nedá obnoviť presne tak, ako to bolo týmto spôsobom, a mohlo by dôjsť k zneužitiu tých najcennejších súborov, iba s náhodnými vzorkami pôvodných súborov na disku. Ak uvažujete o „naformátovaní“ systémovej jednotky, zabudnite na ňu; aspoň niektoré systémové súbory budú preč. Aj keď dokážete zaviesť operačný systém, stabilný systém nikdy nezískate.
Obnoviť
Druhou chybou, ktorú urobí veľa používateľov počítačov, je použitie nástrojov na obnovenie. Aj keď tieto nástroje existujú a majú sklon vykonávať svoju prácu v dobrej viere, nie sú určené na prácu s diskami s vylúčeným súborovým systémom. Aj s niektorými z najlepších nástrojov na obnovenie, ako je napríklad Obnova súborov RS, môžete odstrániť viac súborov, ale to je všetko.
Obnovenie partície
Ak chcete obnoviť súbory, mali by ste vyhľadať nástroj na obnovenie oddielu, napríklad RS Partition Recovery. Tento nástroj, navrhnutý na prácu s distribuovanými, naformátovanými a poškodenými diskami, dokáže skenovať celý povrch disku alebo oddielu a získať späť všetko, čo nájde. Aj keď je súborový systém prázdny alebo vymazaný, tento nástroj dokáže pomocou funkcie podpisu obnoviť mnoho typov súborov, napríklad dokumenty, obrázky a videá. Aj keď sú segmentované nástroje na obnovenie špičkové v oblasti obnovy dát, sú zvyčajne dosť drahé. Ak chcete obnoviť iba naformátovaný disk, môže byť užitočné vyhľadať a uložiť.
Obnova súborov FAT a NTFS
Výberom nástroja, ktorý obnoví iba disky vo formáte FAT alebo NTFS, môžete ušetriť až 40% na cene za obnovu oddielu RS. Pamätajte, že si budete musieť kúpiť nástroj, ktorý je vhodný pre pôvodný súborový systém, a nie pre ten, ktorý je napísaný vyššie. Ak je pôvodná jednotka NTFS, zaobstarajte si NTFS Recovery RS. Ak je to FAT alebo FAT32, získajte FAT Recovery RS. Týmto spôsobom získate rovnako kvalitné nástroje, ale obmedzíte sa iba na formátovanie FAT alebo NTFS. Toto je dokonalá voľba pre jedinečnú prácu.
Vyrezávanie súborov (pomocou nástroja)
PhotoRec je úžasný softvér používaný na vyrezávanie súborov, najmä súborov jpeg alebo obrázkov (preto sa volá Photo Recovery). PhotoRec prehliada rámec dokumentu a sleduje základné informácie, takže bude fungovať bez ohľadu na to, či bol rámec záznamu vášho média vážne poškodený alebo preformátovaný. Fotorec je ľahko prístupný v operačných systémoch Windows.
Napríklad pomocou tohto nástroja obnovíme obrazové súbory z 8 GB flash disku.
Najskôr spustite PhotoRec.exe súbor a spustite aplikáciu. Uvidíme takúto obrazovku:
Tu máme zobrazené všetky oddiely. Vyberieme / K ako náš požadovaný cieľ, z ktorého sa dajú údaje obnoviť.
Tu vidíme, aký súborový systém tento oddiel používa, a v dolnej časti sú štyri možnosti.
Vyhľadávanie - Toto prehľadá oddiel, v ktorom sú súbory, aby sa obnovil.
možnosti - Používa sa na drobné zmeny v možnostiach.
File Opt - Používa sa na úpravu typov súborov, ktoré sa majú obnoviť.
Skončiť - Ukončí proces.
Vyberieme File Opt (Možnosti súboru):
Získate tak možnosti výberu súborov, ktoré chceme z požadovaného oddielu obnoviť. Lisovanie S zruší označenie všetkých možností. Vyberieme Obrázky JPG, pretože chceme obnoviť iba obrazové súbory z jednotky. Ďalej stlačíme B.
Ak chcete vybrať Systém súborov, vráťte sa k hlavným možnostiam a vyberte Iné. Pokiaľ ide o možnosti obnovy, máme dve možnosti:
- zotaviť sa z celá priečka
- zotavenie z iba nepridelené miesto (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3 atď.). Pomocou tejto možnosti sa obnovia iba súbory, ktoré boli odstránené.
Všetko, čo musíme urobiť, je nastaviť umiestnenie, kde budú odstránené súbory obnovené. Potom sa proces obnovy spustí a skončí po chvíli. Potom budeme hľadať obnovené súbory na nastavenom mieste. Obnovené obrazové súbory budú tam.
Záver
Rezbárstvo súborov je známy forenzný počítačový výraz, ktorý popisuje identifikáciu typov súborov a ich odstránenie z nepodriadených klastrov pomocou podpisov súborov. Podpis súboru, tiež známy ako magické číslo, je číselná alebo trvalá textová hodnota používaná na identifikáciu formátu súboru. Extrakcia súborov alebo údajov je pojem používaný v oblasti forenznej informatiky. Počítačovo súdne vyšetrovanie je získavanie, overovanie, analýza a dokumentácia dôkazov obsiahnutých v počítačovom systéme, sieti počítačov alebo iných formách digitálnych médií. Extrakcia zmysluplných údajov z nespracovaných údajov sa nazýva rezbárstvo.
Sochárstvo súborov je identifikácia a obnova súborov na základe analýzy formátu. V forenzných výpočtoch je tvarovanie tvarov užitočným spôsobom, ako nájsť skryté alebo odstránené súbory na digitálnych médiách. Súbory FF môžu byť skryté v oblastiach, ako sú stratené klastre, nepridelené klastre a prehrávanie diskov alebo digitálnych médií. Ak chcete použiť túto metódu extrakcie, musí mať súbor štandardný podpis, ktorý sa nazýva a hlavička súboru, na začiatku spisu. Na získanie hlavičky súboru bude nástroj na obnovenie pokračovať v dotazovaní, kým sa nedostane do päty súboru na konci súboru. Údaje medzi hlavičkou a pätou sa extrahujú a analyzujú, aby sa zaistila integrita. V jeho algoritmoch sa používa niekoľko sochárskych metód, v závislosti od typu súboru.
Moderné operačné systémy neodstránia odstránené súbory úplne bez povolenia používateľa. Odstránené súbory je možné obnoviť pomocou rôznych forenzných nástrojov a taktík, ak odstránené súbory nie sú pridané do iného súboru. Poškodené súbory je možné obnoviť, ak dáta nie sú poškodené na nepoznanie.
Medzi obnovou súborov a vyrezávaním súborov je veľa rozdielov. Obnova súborov využíva informácie zo súborového systému; využitím týchto informácií je možné obnoviť niekoľko súborov. Ak sú informácie nesprávne, nebudú fungovať. S príchodom rezbárstva súborov našli odborníci v oblasti presadzovania práva, odborníci v oblasti technológií a odborníci v oblasti forenznej diagnostiky ďalší nástroj, ktorý možno použiť na obnovenie odstránených údajov. Aj keď to nie je vždy dokonalé a prepracované, nástroje ako Najskôr skalpel, a Fotorec umožnili rekreáciu súborov ľahšiu ako kedykoľvek predtým.
