Контакты
Подписка
МЕНЮ
Контакты
Подписка

Криминалистическое восстановление данных

Криминалистическое восстановление данных

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Криминалистическое восстановление данных

Необходимость восстанавливать данные время от времени возникает у всех, кто создает новые файлы, содержащие информацию, утрата которой нежелательна. Это могут быть и фотографии на цифровой фотокамере, и офисные документы, касающиеся работы или полученные по электронной почте, и собственноручно созданные мультимедиапроизведения.
Александр Сорокин
Старший преподаватель кафедры
компьютерной безопасности МИЭМ,
НИУ Высшая школа экономики

Надежным способом избежать этой необходимости является регулярное копирование ценных данных на другие носители, в онлайн-хранилища, в другие директории того же устройства. Даже последний вариант может оказаться полезным в ситуации, если отдельная директория удалена по ошибке, поражена вредоносной программой, либо ее содержимое оказалось перезаписанным. Разумеется, здесь справедливо предположение, что чем более разделены все места хранения данных, тем меньше риск, что они окажутся недоступными одновременно, однако и копии, сделанные в соседней папке, могут иногда избавить от необходимости восстанавливать нужные данные.

Возможность восстановления данных

Если же необходимость восстановить утраченную информацию все-таки возникла, прогноз успеха такой процедуры зависит от того, что произошло с носителем данных, сохранились ли данные на нем хотя бы на уровне устройств, хранящих двоичные значения, а также от того, возможно ли до них добраться. Примерно спрогнозировать, есть ли перспектива возвращения данных пользователю, позволит небольшая схема (рис. 1):


1. Прежде всего следует ответить на вопрос: можно ли подключить носитель данных и получить доступ к его содержимому? Если это так, дальше все зависит от того, не перезаписаны ли искомые данные. В случае когда удаление произошло недавно, повышается вероятность успеха на восстановление. Если же носитель неисправен, становится принципиальным: повреждены ли физические элементы, хранящие данные в виде двоичных значений. Их повреждение (физическая деформация, воздействие электромагнитным полем или током высокого напряжения) почти всегда гарантируют полное удаление информации, и в этом случае восстановление невозможно. Просто потому, что восстанавливать данные не из чего. Если же повреждены части носителя, связанные с его подключением к другим устройствам и их доступом к хранимым данным, во многих случаях возможно провести ремонт носителя или снять при помощи специальных средств (как правило, аппаратно-программных комплексов) образ зафиксированных на нем данных. В любом случае, на данном этапе следует стремиться получить образ данных на носителе. Предпринимая попытки восстановить различными программными средствами, в изобилии представленными в глобальной сети Интернет, нельзя быть уверенным в том, что ситуация не ухудшится. Поэтому общая рекомендация состоит именно в создании образа носителя, с тем чтобы для каждой новой попытки восстановить информацию тем или иным средством использовалась отдельная копия этого образа.

2. При работе с образом носителя многие существующие программы начинают свою деятельность с попытки восстановления его логической структуры – разделов и файловых систем в них.

3. Как правило, успешное восстановление файловой системы со всеми директориями означает полное восстановление всех файлов пользователя, которые не были им удалены на момент повреждения носителя.

4. Файлы, которые были удалены недавно, многие существующие программные средства способны обнаружить и восстановить по служебной информации файловой системы, хранящей логические адреса, по которым данные файлы были размещены.

5. Если искомые пользовательские файлы не удалось восстановить на предыдущем этапе, возможно, относившиеся к ним данные были затерты новыми, записанными по тем же логическим адресам. В таком случае приходится констатировать безвозвратную утрату файлов. Если же это не так и файлы присутствуют на носителе полностью или частично, можно предпринять попытки найти их или их фрагменты в двоичной последовательности данных, хранимых на носителе.

Методы восстановления информации

Для поиска пользовательских файлов в последовательности данных на образе носителя наиболее простым и распространенным является метод копирования или вырезания (carving). Он заключается в поиске известной последовательности байт, характеризующей начало или конец файла определенного типа, в двоичной последовательности образа носителя. После обнаружения последовательность данных между началом и окончанием файла объявляется искомым файлом. Во многих случаях такого простого поиска оказывается достаточно для восстановления большинства файлов, однако при попытке восстановить таким образом фрагментированный файл, можно столкнуться с некорректным результатом восстановления, например таким, как показано на рис. 2 (на примере изображения в формате JPEG).


Для поиска пользовательских файлов в последовательности данных на образе носителя наиболее простым и распространенным является метод копирования или вырезания (carving). Он заключается в поиске известной последовательности байт, характеризующей начало или конец файла определенного типа, в двоичной последовательности образа носителя. После обнаружения последовательность данных между началом и окончанием файла объявляется искомым файлом. Во многих случаях такого простого поиска оказывается достаточно для восстановления большинства файлов, однако при попытке восстановить таким образом фрагментированный файл, можно столкнуться с некорректным результатом восстановления.

Для некоторых типов файлов, в частности для JPEG, существуют специализированные программы, которые рекомендуется применять при проблемах с восстановлением данных универсальными средствами. Некоторые из таких программ распространяются свободно и могут быть легко обнаружены в глобальной сети Интернет. Многие из них основаны на попытках использования внутренней структуры различных файлов для определения начала фрагментации и ее исключения из рассмотрения, некоторые позволяют визуализировать фрагменты восстанавливаемых файлов, например текстовых и графических, не использующих методики сжатия.

Для устранения небольших ошибок восстановления в некоторых случаях можно использовать сами программы, в которых создаются файлы соответствующего типа – например, для устранения нечитаемых символов из текстового документа или файла с гипертекстом. Другим удобным средством для устранения фрагментов других файлов, если их удается обнаружить, может стать шестнадцатеричный редактор, позволяющий манипулировать частями файла. Многие из таких редакторов позволяют отображать содержимое файла в той или иной известной кодировке, что позволяет сразу опознать фрагменты текстовых файлов. Программы, разработанные для восстановления определенных типов файлов, или некоторые универсальные программы для восстановления данных могут аналогичным образом представлять фрагменты изображений или файлов других типов.

Наибольшую сложность представляет восстановление файлов тех типов, которые затруднительно представить в виде, воспринимаемом человеком, в случае когда приходится обнаруживать в последовательности данных их фрагменты, например последовательности кластеров. Такая ситуация справедлива для кодированных файлов, использующих алгоритмы сжатия. В этом случае наилучшим решением станут программы, способные каким-либо способом определять корректность последовательности данных от начала файла и таким образом найти точку фрагментации, после этого можно путем перебора обнаружить корректное продолжение файла среди остальных данных носителя и продолжить восстановление. Сделать это за приемлемое время удается в том случае, если размер самого носителя не слишком велик для многократного полного перебора, необходимость в котором возникает в ситуации, когда файл состоит из большого числа фрагментов.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2014
Посещений: 7152

Приобрести этот номер или подписаться
  Автор

Александр Сорокин

Александр Сорокин

Старший преподаватель кафедры
компьютерной безопасности МИЭМ,
НИУ Высшая школа экономики

Всего статей:  3

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций