Wednesday, April 15, 2015

Digital Forensics:File Carving

Digital Forensics:File Carving

File Carving เป็นกระบวนการที่ใช้ในการพิสูจน์หลักฐานทางคอมพิวเตอร์เพื่อดึงข้อมูลจากดิสก์ไดรฟ์หรืออุปกรณ์เก็บข้อมูลอื่น ๆ   เป็นวิธีการกู้คืนไฟล์ที่กู้คืนไฟล์ตามโครงสร้างไฟล์ ในกรณีที่โครงสร้างระบบไฟล์เสียหายหรือหายไปกับไดรฟ์ทั้งหมด โดยไม่มีข้อมูลจากระบบไฟล์ เช่น วันเวลาสร้างไฟล์ แก้ไขไฟล์ และ ชื่อไฟล์ 

File Carving

ในความเป็นจริง เมื่อมีการลบข้อมูลออก (delete data) ในระบบไฟล์จำนวนมากไม่ได้ลบข้อมูลเมื่อลบออก เพียงแต่ลบที่อยู่ของตำแหน่งข้อมูลออกไป  File Carving เป็นกระบวนการสร้างไฟล์ขึ้นใหม่โดยการสแกนไบต์ของดิสก์และประกอบใหม่อีกครั้ง โดยปกติจะทำโดยตรวจสอบส่วนหัว header (the first few bytes) ( ไบต์แรก) และส่วนท้าย footer (the last few bytes)( ไบต์สุดท้าย) ของไฟล์

 Carving

 Before Deletion
 After Deletion

 Carving Process

 

Digital Forensics:Data Carving using Foremost

Ref:
file-carving

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery

at
Labels: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

CHFI – Computer Hacking Forensic Investigator (Certification Renewal)

CHFI – Computer Hacking Forensic Investigator (Certification Renewal) การต่ออายุใบรับรอง   Computer Hacking Forensic Investigator (CHFI) เป...

  • DIGITAL FORENSICS:How to analyze WebCacheV01.dat
    DIGITAL FORENSICS:How to analyze WebCacheV01.dat When you visit any website, a web browser writes internet history. In Internet Explorer 10 ...
  • DIGITAL FORENSICS: BINWALK CTF
     DIGITAL FORENSICS: BINWALK CTF วันนี้แอดมาแนะนำหลักสูตร ด้านความมั่นคงปลอดภัยไซเบอร์ (Basic Cyber security) สำหรับผู้เริ่มต้นศึกษามี Lab ให...
  • Digital Forensics:Using FTK Imager on CLI with Mac OS, Macbook
    Digital Forensics: Using FTK Imager on CLI with Mac OS, Macbook การทำสำเนาพยานหลักฐานดิจิทัล โดยใช้โปรแกรม  FTK Imager ผ่านคำสั่ง command li...