Wednesday, April 15, 2015

Digital Forensics:File Carving

Digital Forensics:File Carving

File Carving เป็นกระบวนการที่ใช้ในการพิสูจน์หลักฐานทางคอมพิวเตอร์เพื่อดึงข้อมูลจากดิสก์ไดรฟ์หรืออุปกรณ์เก็บข้อมูลอื่น ๆ   เป็นวิธีการกู้คืนไฟล์ที่กู้คืนไฟล์ตามโครงสร้างไฟล์ ในกรณีที่โครงสร้างระบบไฟล์เสียหายหรือหายไปกับไดรฟ์ทั้งหมด โดยไม่มีข้อมูลจากระบบไฟล์ เช่น วันเวลาสร้างไฟล์ แก้ไขไฟล์ และ ชื่อไฟล์ 

File Carving

ในความเป็นจริง เมื่อมีการลบข้อมูลออก (delete data) ในระบบไฟล์จำนวนมากไม่ได้ลบข้อมูลเมื่อลบออก เพียงแต่ลบที่อยู่ของตำแหน่งข้อมูลออกไป  File Carving เป็นกระบวนการสร้างไฟล์ขึ้นใหม่โดยการสแกนไบต์ของดิสก์และประกอบใหม่อีกครั้ง โดยปกติจะทำโดยตรวจสอบส่วนหัว header (the first few bytes) ( ไบต์แรก) และส่วนท้าย footer (the last few bytes)( ไบต์สุดท้าย) ของไฟล์

 Carving

 Before Deletion
 After Deletion

 Carving Process

 

Digital Forensics:Data Carving using Foremost

Ref:
file-carving

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery

at
Labels: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Digital Forensics:User Access Logging (UAL)

 Digital Forensics:UAL  Log What Is User Access Logging? UAL is a feature included by default in Server editions of Microsoft Windows, start...

  • Digital Forensics: ค่าแฮช (hash value)
    Digital Forensics: ค่าแฮช (hash value) ค่า hash คือ ค่าแฮช (hash value) คือ  เกิดจาก วิธีการที่ทำให้ข้อมูลย่อลงแต่มีลักษณะจำเพาะของข้อ...
  • Digital Forensics: Chain of Custody
    Digital Forensics: Chain of Custody Chain of custody คือ Chain of custody คือขบวนการในการปฏิบัติงานกับพยานหลักฐาน ในกรณีของการพิสูจน์ห...
  • Digital Forensics:Digital Forensic คือ
    Digital Forensics: Digital Forensic คือ What is Digital Forensics ?  What is Digital Forensics การพิสูจน์หลักฐานทางดิจิทัล...