Digital Forensics:File Carving

Digital Forensics:File Carving

File Carving เป็นกระบวนการที่ใช้ในการพิสูจน์หลักฐานทางคอมพิวเตอร์เพื่อดึงข้อมูลจากดิสก์ไดรฟ์หรืออุปกรณ์เก็บข้อมูลอื่น ๆ   เป็นวิธีการกู้คืนไฟล์ที่กู้คืนไฟล์ตามโครงสร้างไฟล์ ในกรณีที่โครงสร้างระบบไฟล์เสียหายหรือหายไปกับไดรฟ์ทั้งหมด โดยไม่มีข้อมูลจากระบบไฟล์ เช่น วันเวลาสร้างไฟล์ แก้ไขไฟล์ และ ชื่อไฟล์ 

File Carving

ในความเป็นจริง เมื่อมีการลบข้อมูลออก (delete data) ในระบบไฟล์จำนวนมากไม่ได้ลบข้อมูลเมื่อลบออก เพียงแต่ลบที่อยู่ของตำแหน่งข้อมูลออกไป  File Carving เป็นกระบวนการสร้างไฟล์ขึ้นใหม่โดยการสแกนไบต์ของดิสก์และประกอบใหม่อีกครั้ง โดยปกติจะทำโดยตรวจสอบส่วนหัว header (the first few bytes) ( ไบต์แรก) และส่วนท้าย footer (the last few bytes)( ไบต์สุดท้าย) ของไฟล์

 Carving

 Before Deletion

 After Deletion

 Carving Process

 

Digital Forensics:Data Carving using Foremost

Ref:
file-carving

Autopsy | Training - Autopsy | Digital Forensics

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery