Восстановление файлов без подписи (магические числа)

2

Можно ли восстановить файл из образа диска (образ dd), если верхний / нижний колонтитул файла, подпись были изменены / изменены или удалены?

Я имею в виду, например, была ли удалена или изменена подпись растрового изображения (0x42 0x4d) или даже первые 30 байтов?

Если нет, каков альтернативный способ восстановления этого файла, не основанный на сигнатуре файла? Если это возможно, как это делается?

Шимон Кравчик
источник

Ответы:

1

Вместо этого вы можете проанализировать остаточную структуру файловой системы.

Например, семейство файловых систем FAT указывает, что файл был удален путем перезаписи первого байта имени файла в записи каталога со значением байта 0x3F. Остальные метаданные (включая большую часть имени файла) будут оставаться там сразу после удаления, поэтому программа, которая обращается к диску напрямую, а не через операционную систему, может легко найти файл, как работает команда DOS "undelete" ,

Другие файловые системы аналогичны, хотя, как правило, доступно меньше информации - семейство FAT особенно легко восстанавливать файлы.

отметка
источник
Я знаю это, но вы можете получить доступ к разделу и вручную удалить метаданные и изменить MFT. Я говорю о ситуации, когда кто-то пытался скрыть данные, изменяя информацию метаданных.
Шимон Кравчик
0

Вы могли бы, если бы у вас было представление о том, что искать и где искать. Растровое изображение (несжатое) имеет определенные статистические свойства, и вы можете его восстановить.

Заранее зная вероятный диапазон ширины изображения, например, было бы чрезвычайно полезно. Знание его приблизительной цветности также поможет.

Реальная проблема, вероятно, заключается в том, что сам файл может быть разбит на несмежные сектора, и информация, необходимая для его объединения, могла бы быть стерта. Растровое изображение, достаточно маленькое, чтобы поместиться в один кластер файловой системы, имело бы наилучшие шансы.

Другая очень реальная возможность, которую следует учитывать, состоит в том, что все, что стерло первые байты, также стерло оставшиеся или их значительную часть, что делает восстановление нецелесообразным, если это вообще возможно.

Чтобы попытаться восстановить несжатый битовый массив DIB, вы должны искать байтовые последовательности со свойством, что значения варьируются в триплетах (т. Е. При заданной последовательности из N байтов корреляция между пикселями, взятыми с индексом по модулю три, значительно выше, чем с любым другой индекс не кратен трем). Затем вы проверите, существует ли подобная корреляция с более высоким индексом, который является шириной строки, округленной до ближайшего кратного четырем. Для определения начала / остановки строки требуется дополнительный анализ.

Не зная больше о конкретном случае (файловая система, реальный формат растрового изображения, размер растрового изображения, как он был удален / перезаписан , размер изображения dd, причина операции), я не смог бы дать вам больше, чем «возможно» относительно шансы на выздоровление.

LSerni
источник