Phenquestions
Tiesioginiai kompaktiniai arba DVD diskai suteikia galimybę paleisti sistemos diską, taip pat išimamą arba fiksuotą laikmenos diską, leidžiantį failui įkelti naudojant failų tvarkyklę arba programinę įrangą. Disko serveris gali sugadinti šiuos atvejus ir saugoti vertingus ar nuosavybės teise saugomus duomenų failus atskiruose OS failų skyriuose.
Dildžių drožyba yra procedūra, naudojama kompiuterinio nusikaltimo vietos tyrime, norint išgauti informaciją iš standžiojo disko ar kitų atminties įrenginių be failų sistemos lentelės, kuri visų pirma sukūrė originalų failą, pagalbos. Failų drožyba yra strategija, perimanti dokumentų nepaskirstytoje erdvėje be duomenų valdymą ir naudojama informacijai atkurti, norint atlikti kompiuterinį klinikinį tyrimą. Šis procesas iš pradžių buvo vadinamas „dizainu“, kuris yra bendras terminas organizuotai informacijai pašalinti iš neapdorotos informacijos, atsižvelgiant į saugomos informacijos organizavimo modelio ypatumus.
Teismo medicinos metodas, atgaunantis dokumentus, priklauso nuo failų struktūros ir turinio be atitinkamų failų sistemos metaduomenų. Failų drožyba leidžia atkurti failus iš nepaskirtos vietos bet kuriame diske. Disko sritis, kurią rodo failų sistemos struktūra (failų lentelė), kurioje nėra jokios failų sistemos informacijos, vadinama nepaskirta vieta.
Trūkstamos arba pažeistos failų sistemos struktūros gali paveikti visą diską. Paprasčiau tariant, daugelis failų sistemų neištrina duomenų, kai jie ištrinami. Užtat paprasčiausiai pašalina žinias, iš kur ji yra. Neapdorotų baitų nuskaitymas ir jų sutvarkymas yra pagrindinis failų drožybos procesas. Šį procesą atlieka nagrinėjant failo antraštę (pirmieji baitai) ir poraštę (paskutiniai baitai).
Failų drožyba yra puikus būdas atkurti failus ir failų fragmentus, kai tekstas yra pažeistas ar jo trūksta. Profesionalai dažnai naudoja gedimų šalinimo metu, norėdami iš naujo ištirti įrodymus. Draudimo ir galimybės evakuoti žiniasklaidą pavyzdys atsirado, kai informacija buvo pašalinta iš Osamos bin Ladeno stovyklų per JAV antspaudų laivyno išpuolį. Kriminalistai tyrėjai naudojo failų atkūrimo metodus duomenims iš stovyklose naudojamų diskų ir sistemų atkurti.
Failų sistemų apžvalga
A failų sistema is duomenų bazės tipas, naudojamas failams arba keliems failų skaičiams saugoti, atnaujinti ir gauti. Tai būdas, kai failai logiškai archyvuojami ir pavadinami archyvuoti bei atkurti. Žemiau yra įvairių tipų failų sistemos:
„Windows“ failų sistema: „Microsoft Windows“ naudoja tik dviejų tipų FAT ir NTFS.
- RIEBALAI, tai reiškia „failų paskirstymo lentelė“ yra paprasčiausias failų sistemos tipas, kuriame yra įkrovos sektorius, failų paskirstymo lentelė ir paprasta saugojimo vieta failams ir aplankams laikyti. Neseniai FAT pasirodė FAT16, FAT12 ir FAT32. FAT32 yra suderinamas su „Windows“ saugojimo įrenginiais. „Windows“ negali sukurti FAT32 failų sistemos, kurios failas didesnis nei 32 GB.
- NTFS, „Naujosios technologijos failų sistemos“ santrumpa dabar yra numatytoji failų sistema failams, didesniems nei 32 GB. Šifravimas ir prieigos kontrolė yra keletas pagrindinių šios failų sistemos savybių.
„Linux“ failų sistema: „Linux“ yra plačiai naudojama atvirojo kodo operacinė sistema, sukurta bandymams ir tobulinimui. Ši OS buvo skirta naudoti skirtingas failų sistemos koncepcijas. „Linux“ sistemoje yra kelių tipų failų sistemos.
- Ext2, Ext3, Ext4 - Tai yra vietinė arba numatytoji „Linux“ failų sistema. Šakninių failų sistema paprastai priskiriama visam „Linux“ paskirstymui. „Ext3“ failų sistema yra puikus anksčiau naudotos „Ext2“ failų sistemos atnaujinimas; ji naudoja operacijų bylų rašymo operaciją. „Ext4“ yra plėtinio failas, palaikantis „Ext3“ informaciją ir failo priskyrimą.
- „ReiserFS“ - Failų sistemos problema išspręsta išsaugant daugybę mažų failų vienu metu. Failų tvarkyklė juokiasi, o suderinamo failo leidimas, failo kodo saugojimas, failas yra metaduomenys, kai nenaudojama didelė failų sistema dėl savo dydžio.
- XFS - XFS failų sistema veikia gerai ir yra plačiai naudojama failų archyvavimui. Šis failų sistemos tipas yra populiarus IRIX serveriuose.
- JFS - IBM sukūrė šią failų sistemą ir tapo failų sistema, kuri naudojama beveik visuose „Linux“ paskirstymuose
„MacOS“ failų sistema: „Apple Macintosh“ operacinėje sistemoje naudojamas tik HFS + failų sistema be HFS failų sistemos plėtinio. „MacOS“, „iPhone“, „iPad“ ir visi kiti „Apple“ produktai naudoja HFS + Failų sistema. Kai kurie „Apple Server“ produktai naudoja „Hscan“ failų sistemą. Ši garsi failų sistema seka informaciją, susijusią su katalogų rodiniu, „Windows“ vieta ir kt.
Failų drožybos būdai
Skaitmeninio tyrimo metu būtina išanalizuoti skirtingus laikmenų tipus. Taikomos informacijos galima rasti keliuose atminties įrenginiuose ir kompiuterio atmintyje. Gali būti suskirstyta įvairių tipų informacija, pavyzdžiui, el. Paštas, elektroninės ataskaitos, pagrindų žurnalai ir laikmenų įrašai. Failų drožyba yra atkūrimo būdas, kai atsižvelgiama tik į failo turinį ir struktūrą, o ne į failo metaduomenis, naudojamus tvarkant duomenis laikmenoje.
Žemiau yra keletas failų drožybos terminų, kuriuos reikia prisiminti:
- Blokuoti - Mažiausias duomenų rinkinių dydis, kurį galima įrašyti į saugyklą
- Antraštė - Failo pradžios taškas.
- Poraštė - Paskutiniai failo baitai.
- Fragmentas - Vienas ar keli blokai priklauso vienam failui.
- Pagrindas-fragmentas - Pirmasis failo konteinerio fragmentas, failo antraštė.
- Suskaidymo taškas - Paskutinis blokas prieš pat suskaidymą. Keli fragmentai bet kuriame faile sukelia kelis suskaidymo taškus.
Aukščiausios įmonės universaliųjų failų drožybos technikos yra šios:
- Antraštės poraštės technika (arba antraštė - „didžiausias failo dydis“) - Pagrindinė strategija yra raižyti failus pagal pavadinimą, rašyseną arba visus failus.
- JPG arba JPEG plėtinių failai - „\ XFF \ xD8“ ir „\ xFF \ xD9.“
- GIF - pavadinimu „\ x47 \ x49 \ x46 \ x38 \ x37 \ x61“ ir „\ x00 \ x3B“ poraštė.
- PST: „! BDN “antraštė be poraščių.
- Jei failų sistemoje nėra pagrindo, maksimalus failų, naudojamų drožybos programoje, skaičius.
- Failų struktūra pagrįsta drožyba
- Vidinis failo išdėstymas naudojamas kaip pagrindinė technika.
- Antraštė, poraštė, ID eilutės ir dydžio informacija yra pagrindiniai elementai.
- Turinio drožyba
Turinio struktūra nemokama (MBOX, HTML, XML)
- Medžiagos charakteristikos
- Skaičiuokite simbolius
- Teksto / kalbos atpažinimas
- Juodai baltas duomenų sąrašas
- Informacijos entropija
- Statistinės charakteristikos (Chi2)
Failo drožyba (nenaudojant jokio įrankio)
Toliau pamatysime, kaip drožti a .JPEG failas nenaudojant įrankio. Pirma, mes turime žinoti .JPEG failas (antraštė ir poraštė ir kt.). Norėdami tai padaryti, atidarysime a .jpeg vaizdas Hex redaktorius išnagrinėti, ką antraštę ir poraštę .JPEG failas atrodo taip.
Čia radome failo antraštę ( FFD8FFE0). Dabar, norėdami rasti poraštę, panagrinėsime paskutinius failo baitus.
Čia mes turime failo poraštę arba anonsą (FFD9).
Jei turite dokumentą su atvaizdu, jį galite iškirpti žinodami jo antraštę ir poraštę.
Dabar turime žodinį failą su atvaizdu. Mes iškirpsime vaizdą naudodami šią techniką.
Pirmas dalykas, kurį turime padaryti, yra atidaryti šį žodinį dokumentą su Hex redaktorių spustelėdami Failas >> Atidaryti.
Čia galime pamatyti paveikslą, kuriame pavaizduoti žodžio failo duomenys šešioliktainės formos. Kaip mes jau žinome, .JPEG failo antraštės vertė yra FFD8FFE0, taigi ieškosime failo antraštės paspausdami „Ctrl“ + F arba Paieška >> Failas ir įvesti žinomą antraštės vertę (šiame žingsnyje labai svarbu pasirinkti šešioliktainės reikšmės duomenų tipą).
„Offset“ rasime parašo vertę 14FD.
Toliau turime ieškoti poraštės ar priekabos. Mes žinome, kad .JPEG failo poraštės vertė yra FFD9, taigi ieškosime failo poraštės paspausdami „Ctrl“ + F arba Paieška >> Failas ir įvesti žinomą poraštės vertę (labai svarbu pasirinkti šešioliktainės reikšmės duomenų tipą).
„Offset“ rasime poraštės vertę 2ADB.
Šiuo metu mes turime JPEG dokumento antraštę ir poraštę, ir, kaip neseniai nurodėme, tarp antraštės ir poraštės yra JPEG įrašo informacija. Čia mes nukopijuojame visą informacijos kvadratą su antrašte ir porašte ir saugome jį kaip kitą failą.
Eiti į REDAGUOTI >> Pasirinkite Blokuoti ir įveskite abu šiuos terminus:
Failo antraštės poslinkis: 14FD
Failo poraštės poslinkis: 2ADB
Įvedus šias reikšmes, visa .JPEG failas bus pažymėtas mėlyna spalva. Norėdami išsaugoti jį kaip dfile, nukopijuokite jį dešiniuoju pelės mygtuku spustelėdami ir pasirinkdami Kopijuoti, arba paspausdami „Ctrl“ + C. Tada mes įklijuosime informaciją į naują failą. Pasirodys dialogo langas, kurį spustelėsime Gerai. Dabar esame pasirengę išsaugoti failą spustelėdami Failas >> Išsaugoti kaip arba paspaudus „Ctrl“ + S. Jei atidarysite šį nukopijuotą failą, pamatysite tą patį vaizdą, kuris buvo originaliame dokumente. Tai yra pagrindinė medijos failų drožybos technika.
Duomenų drožybos įrankiai
Duomenų atkūrimo priemonės vaidina svarbų vaidmenį atliekant daugumą teismo tyrimų, nes protingi užpuolikai visada bando ištrinti savo nusikaltimų įrodymus. Žemiau yra keletas svarbių duomenų atkūrimo įrankių „Linux“ ir „Windows“.
- Svarbiausia (failų drožybos įrankis)
Norėdami atkurti failus, prarastus dėl jų vidinių duomenų struktūrų, antraščių ir poraščių, pirmiausia, Gali būti naudojamas. Svarbiausia įvestis įvairiais vaizdo formatais, pvz., AFF arba neapdorotų formatų, kuriuos galima sukurti naudojant įvairius įrankius, tokius kaip FTK Imager, DD, encase ir kt. Galite pereiti prie svarbiausio pagalbos puslapio, kad sužinotumėte ir ištirtumėte galingas komandas naudodami šią komandą:
[apsaugotas el. paštu]: ~ $ foremost -h Atkurkite failus iš disko atvaizdo pagal failų tipus, nurodytusvartotojas, naudodamas -t jungiklį.
jpg JFIF ir Exif formatų palaikymas, įskaitant jų įgyvendinimą
naudojamas šiuolaikiniuose skaitmeniniuose fotoaparatuose.
gif
png
bmp palaikymas Windows bmp formatu.
avi
„exe“ palaikymas, skirtas „Windows PE“ dvejetainiams failams, išgaus DLL ir EXE failus
kartu su jų sudarymo laikais.
MPG palaikymas daugeliui MPEG failų (turi prasidėti 0x000001BA)
wav
riff Tai ištrauks AVI ir RIFF, nes jie naudoja tą patį failą
kilimėlis (RIFF). greičiau nei paleisti kiekvieną atskirai.
„wmv Note“ taip pat gali išgauti wma failus, nes jų formatas yra panašus.
ole Tai sugriebs bet kurį failą naudodama OLE failų struktūrą. Tai
apima „PowerPoint“, „Word“, „Excel“, „Access“ ir „StarWriter“
doc Atkreipkite dėmesį, kad efektyviau paleisti OLE, kai gaunate daugiau sprogimo
tavo spardytis. Jei norite ignoruoti visus kitus ole failus, naudokite
tai.
zip Pastaba, ji bus išgauta .stiklainių failus taip pat, nes jie naudoja panašų
formatas. „Open Office“ dokumentai yra tik „zip'd“ XML failai, todėl jie ir yra
taip pat išgaunami. Tai apima „SXW“, „SXC“, „SXI“ ir „SX“? dėl
nenustatyti „OpenOffice“ failai. „Office 2007“ failai taip pat yra XML
pagrindu (PPTX, DOCX, XLSX)
rar
htm
cpp C šaltinio kodo aptikimas, atkreipkite dėmesį, kad tai yra primityvu ir gali generuoti
dokumentus, išskyrus C kodą.
mp4 MP4 failų palaikymas.
visi Paleiskite visus iš anksto nustatytus ištraukimo metodus. [Numatyta, jei nėra -t
nurodyta]
- „BinWalk“
„BinWalk“ yra naudojamas tvarkyti dvejetaines bibliotekas ir išgauti svarbius duomenis iš programinės aparatinės įrangos vaizdų. Šis įrankis puikiai tinka tiems, kurie žino, kaip juo naudotis. „BinWalk“ laikomas vienu iš geriausių prieinamų įrankių atvirkštinei inžinerijai ir firmware vaizdams išgauti. „BinWalk“ yra lengva naudoti ir jis turi milžiniškas galimybes. Galite pereiti į „binwalk“ pagalbos puslapį ir sužinoti daugiau naudodami šią komandą:
[apsaugotas el. paštu]: ~ $ binwalk --help Parašo nuskaitymo parinktys:-B, - signatūra Nuskaitykite tikslinius (-ius) failą (-us) bendriems failų parašams
-R, --raw = Nuskaityti nurodytą baitų sekos failą (-us)
-A, --opcodes Nuskaitykite tikslinį failą (-us) bendriems vykdomiems „opcode“ parašams
-m, --magic = Nurodykite pasirinktinį stebuklingą failą, kurį norite naudoti
-b, --dumb Išjunkite protingo parašo raktinius žodžius
-I, --valvalid Rodyti rezultatus, pažymėtus kaip netinkamus
-x, --exclude = Išskirti atitinkančius rezultatus
-y, --include = Rodyti tik atitinkančius rezultatus
Ištraukimo parinktys:
-e, --extract Automatiškai išskleisti žinomus failų tipus
-D, --dd = Ištraukite parašus, suteikite failams plėtinį ir vykdykite
-M, --matryoshka Rekursyviai nuskaitykite ištrauktus failus
-d, --depth = Ribinis matrjoškos rekursijos gylis (numatytasis: 8 lygių gylis)
-C, --directory = Ištraukite failus / aplankus į pasirinktinį katalogą (numatytasis: dabartinis darbo katalogas)
-j, --size = Apriboti kiekvieno ištraukto failo dydį
-n, --count = Apriboti išgautų failų skaičių
-r, --rm Ištraukus ištrinkite raižytus failus
-z, --arve Iškirpti duomenis iš failų, bet nevykdyti ištraukimo paslaugų
Entropijos analizės parinktys:
-E, --entropy Apskaičiuokite failo entropiją
-F, --fast Naudokite greitesnę, bet mažiau išsamią entropijos analizę
-J, - išsaugokite siužetą kaip PNG
-Q, --nlegendas praleiskite legendą iš entropijos siužeto diagramos
-N, --nplot Nekurkite entropijos diagramos grafiko
-H, --high = Nustatykite kylančio krašto entropijos paleidimo slenkstį (numatytasis: 0.95)
-L, --low = nustatykite krintančio krašto entropijos paleidimo slenkstį (numatytasis: 0.85)
Dvejetainio diferenciacijos parinktys:
-W, --hexdump Atlikite failo ar failų hexdump / diff
-G, --green rodo tik eilutes, kuriose yra vienodi baitai tarp visų failų
-i, --red Rodomos tik eilutės, kuriose yra baitai, kurie skiriasi visuose failuose
-U, --blue rodo tik eilutes su baitais, kurie kai kuriuose failuose skiriasi
-w, --terse Diff visus failus, bet rodo tik pirmojo failo šešioliktainį iškeliavimą
Neapdoroto suspaudimo parinktys:
-X, --deflate Neapdorotų suspaustų srautų nuskaitymas
-Z, --lzma Neapdorotų LZMA suspaudimo srautų paieška
-P, --partial Nuskaitykite paviršutiniškai, bet greičiau
-S, --stop Stop po pirmo rezultato
Bendrosios parinktys:
-l, --length = nuskaitytinų baitų skaičius
-o, --offset = Pradėti nuskaityti šiuo failo poslinkiu
-O, --base = Pridėkite bazinį adresą prie visų atspausdintų poslinkių
-K, --block = Nustatyti failo bloko dydį
-g, --swap = Prieš nuskaitydami apverskite kiekvieną n baitą
-f, --log = Žurnalo rezultatų registravimas faile
-c, --csv Žurnalo rezultatai įrašomi į failą CSV formatu
-t, --term Formatuokite išvestį, kad ji atitiktų terminalo langą
-q, --quiet Nutildyti išvestį į stdout
-v, --verbose Įgalinti daugialypę išvestį
-h, --help Rodyti pagalbos išvestį
-a, --finclude = Nuskaitykite tik tuos failus, kurių vardai atitinka šį įprastą žodį
-p, --fexclude = Nenuskaitykite failų, kurių vardai atitinka šį regex
-s, --status = Įgalinti būsenos serverį nurodytame prievade
Duomenų atkūrimas iš suformatuotų diskų
Duomenų atkūrimo įrankiai turėtų būti kruopščiai parinkti, kad atkurtumėte informaciją iš suformatuotų diskų, USB atmintinių ir atminties kortelių. Įrankiai, skirti įvairiai veiklai užbaigti, gali duoti netikėtų rezultatų. Toliau apžvelgsime keletą skirtumų tarp įvairių duomenų atkūrimo įrankių, skirtų duomenų taisymui suformatuotuose diskuose.
Neformatuotas
Pirmoji lemtinga klaida, kurią daro daugelis kompiuterio vartotojų netyčia formatuodami savo diskus - tai „neformatuotų“ įrankių radimas, įdiegimas ir naudojimas. Rinkoje yra daugybė šių įrankių; vieni yra komerciniai, o kiti - nemokamos prekės. Šių įrankių tikslas - atkurti arba atkurti iš anksto suformatuotą diską atkuriant failų sistemą.
Nors tai gali atrodyti perspektyvus požiūris į nepatyrusius, tai gali būti didesnė klaida nei prarasti failus iš pradžių. Disko formatavimas išvalo originalią failų sistemą, pakeisdamas ją bent iš dalies, paprastai pradžioje. Kai bandote atkurti seną failų sistemą, geriausia, ką galite gauti, yra diskas, kurį galima skaityti su kai kuriais failais. Visko negalima atkurti tiksliai taip, kaip buvo tokiu būdu, o brangiausi failai gali būti pažeisti, o diske gali būti tik atsitiktiniai originalių failų pavyzdžiai. Galvodami apie sistemos disko „formatavimą“, pamirškite jį; nebebus kai kurių sistemos failų. Net jei galite paleisti operacinę sistemą, niekada negausite stabilios sistemos.
Atšaukti
Antroji klaida, kurią padarys daugelis kompiuterio vartotojų, yra naudoti atkūrimo įrankius. Nors šios priemonės egzistuoja ir yra linkusios sąžiningai atlikti savo darbą, jos nėra skirtos diskams su neįtraukta failų sistema tvarkyti. Net naudodami kai kuriuos geriausius atkūrimo įrankius, pvz., „RS File Recovery“, galite ištrinti kelis failus, tačiau viskas.
Disko atkūrimas
Norėdami atkurti failus, turėtumėte ieškoti skaidinio atkūrimo įrankio, pvz., RS disko atkūrimo. Sukurtas tvarkyti paskirstytus, suformatuotus ir pažeistus diskus, šis įrankis gali nuskaityti visą disko ar skaidinio paviršių, kad atkurtų viską, ką tik gali rasti. Net jei failų sistema yra tuščia arba ištrinta, šis įrankis gali atkurti daugelio tipų failus, pvz., Dokumentus, atvaizdus ir vaizdo įrašus, naudodamas savo parašo funkciją. Vis dėlto, nors segmentuoti atkūrimo įrankiai yra aukščiausio lygio duomenų atkūrimas, jie paprastai yra gana brangūs. Jei norite atkurti tik suformatuotą diską, gali būti naudinga ieškoti ir išsaugoti.
FAT ir NTFS atkūrimas
Pasirinkę įrankį, kuris atkuria tik FAT arba NTFS formato diskus, galite sutaupyti iki 40% „Partition RS“ atkūrimo išlaidų. Atminkite, kad jums reikės įsigyti įrankį, kuris tinka originaliai failų sistemai, o ne tai, kas parašyta aukščiau. Jei originalus diskas yra NTFS, gaukite NTFS atkūrimo RS. Jei tai FAT arba FAT32, gaukite FAT Recovery RS. Tokiu būdu gausite tos pačios kokybės įrankius, tačiau apsiribosite FAT arba NTFS formatavimu. Tai yra puikus pasirinkimas unikaliam darbui.
Failų drožyba (naudojant įrankį)
„PhotoRec“ yra nuostabi programinė įranga, naudojama failams, ypač JPEG ar vaizdo failams, iškirpti (todėl jis ir pavadintas „Photo Recovery“). „PhotoRec“ nepaiso dokumentų sistemos ir naudojasi pagrindine informacija, todėl ji veiks nepaisant to, ar jūsų žiniasklaidos įrašų sistema buvo rimtai pakenkta ar performatuota. „Photorec“ yra lengvai pasiekiamas „Windows“ operacinėse sistemose.
Kaip pavyzdį, naudodami šį įrankį atkursime vaizdo failus iš 8 GB atminties.
Pirmiausia paleiskite „PhotoRec“.exe failą ir paleiskite programą. Pamatysime tokį ekraną:
Čia rodomos visos pertvaros. Mes atrinksime / K kaip mūsų norimas tikslas, iš kurio atkurti duomenis.
Čia galime pamatyti, kurią failų sistemą naudoja šis skaidinys, o apačioje yra keturios parinktys.
Paieška - Tai atliks paiešką disko, kuriame yra failai, atkūrimui.
Galimybės - Naudojamas nedideliems parinkčių pakeitimams.
Pasirinkti failą - Naudojamas atkuriamų failų tipams modifikuoti.
Baigti - Išeina iš proceso.
Mes atrinksime Pasirinkti failą (Failo parinktys):
Tai suteiks mums galimybes pasirinkti failus, kuriuos norime atkurti iš norimo skaidinio. Spaudimas S atžymės visas parinktis. Mes atrinksime JPG nuotraukos, nes norime atkurti tik vaizdo failus iš disko. Toliau paspausime B.
Norėdami pasirinkti Failų sistema, grįžkite į pagrindines parinktis ir pasirinkite Kita. Kalbant apie atkūrimo galimybes, turime du pasirinkimus:
- atsigauti po visas skaidinys
- atsigavimas po tik neskirta erdvė (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3 ir kt.). Naudojant šią parinktį, bus atkurti tik ištrinti failai.
Dabar mums tereikia nustatyti vietą, kurioje bus atkurti ištrinti failai. Po to atkūrimo procesas prasidės ir baigsis po tam tikro laiko. Tada mes ieškosime atkurtų failų nustatytoje vietoje. Atkurti vaizdo failai bus ten.
Išvada
Dildžių drožyba yra gerai žinomas teismo kompiuterinis terminas, apibūdinantis failų tipų identifikavimą ir pašalinimą iš nepavaldžių grupių naudojant failų parašus. Failo parašas, dar vadinamas stebuklingu skaičiumi, yra skaitinė arba nuolatinė teksto reikšmė, naudojama failo formatui identifikuoti. Ekstrahavimas bylų ar duomenų yra terminas, naudojamas teismo informatikos srityje. Kompiuterizuotas teismo tyrimas yra įrodymų, esančių kompiuterinėje sistemoje, kompiuterių tinkle ar kitose skaitmeninėse laikmenose, surinkimas, tikrinimas, analizė ir dokumentavimas. Vadinamas prasmingų duomenų išskyrimas iš neapdorotų duomenų drožyba.
Failų lipdymas yra failų identifikavimas ir atkūrimas remiantis formato analize. Kriminalistikos srityje skulptūra yra naudingas būdas rasti paslėptus ar ištrintus failus skaitmeninėje laikmenoje. Failai gali būti paslėpti tokiose srityse kaip pamestos sankaupos, nepaskirstytos grupės ir diskų ar skaitmeninės laikmenos grojimas. Norint naudoti šį ištraukimo metodą, failas turi turėti standartinį parašą, vadinamą a failo antraštė, bylos pradžioje. Norėdami gauti failo antraštę, atkūrimo įrankis tęs užklausas, kol pasieks failo poraštę failo pabaigoje. Duomenys tarp antraštės ir poraštės yra išgaunami ir analizuojami, siekiant užtikrinti vientisumą. Jo algoritmuose naudojami keli lipdymo metodai, atsižvelgiant į failo tipą.
Šiuolaikinės operacinės sistemos neištrina ištrintų failų be vartotojo leidimo. Ištrintus failus galima atkurti naudojant įvairias teismo ekspertizės priemones ir taktiką, jei ištrinti failai nebus pridėti prie kito failo. Pažeistus failus galima atkurti, jei duomenys nebus pažeisti neatpažįstamai.
Yra daug skirtumų tarp failų atkūrimo ir failų drožybos. Failų atkūrimas naudoja informaciją iš failų sistemos; naudojant šią informaciją galima atkurti kelis failus. Jei informacija neteisinga, ji neveiks. Atsiradus bylų drožybai, teisėsaugos, technologijų specialistai ir teismo medicinos specialistai rado kitą įrankį, kurį galima naudoti ištrintiems duomenims atkurti. Nors tai ne visada yra tobula ir rafinuota, įrankiai, pavyzdžiui, Svarbiausia - skalpelis, ir „Photorec“ failų atkūrimas tapo lengvesnis nei bet kada.
