Een kijkje in de wereld van één van de belangrijkste forensische software technieken, geschreven door Jeroen van den Bos.

Op de Devnology-bijeenkomst van gisteravond heb ik een praatje gehouden over file carving, een techniek om bestanden terug te halen die verwijderd, gefragmenteerd of op een andere manier niet meer direct terug te vinden zijn in een bestandssysteem. In plaats van het verspreiden van een presentatie met slechts een paar steekwoorden geef ik liever een lijst met links waar je dezelfde informatie (plus nog veel meer) terug kunt vinden.

Om te beginnen wat achtergrondinformatie over bestandssystemen in het algemeen. Zoals gewoonlijk is Wikipedia hier een goede bron voor, met het artikel File system als startpunt: daarin vind je links naar allerlei specifieke bestandssystemen, lijsten en vergelijkingen, waaronder vrij specifieke artikelen zoals File system fragmentation. Een interessant boek op dit gebied is File System Forensic Analysis van Brian Carrier. Behalve materiaal over specifieke forensische technieken bevat het ook een uitgebreide beschrijving van vrijwel alle moderne bestandssystemen en hoe hiervoor analyse-applicaties te implementeren. Een minder diepgaande maar gratis en direct beschikbare variant hiervan zijn de File Systems beschrijvingen op ForensicWiki.

Het daadwerkelijke carven wordt daar ook beschreven in het artikel File Carving met een lijst van technieken. Zie ook een lijst van tools in Data Recovery Tools/Carving. Uitgebreidere beschrijvingen inclusief implementatiedetails komen aan bod in de scripties van Kloet (Measuring and Improving the Quality of File Carving Methods) en Mikus (An Analysis of Disc Carving Techniques). Cohen beschrijft in zijn paper Advanced Carving techniques de implementatiedetails van een carver voor PDF, ZIP en een aantal andere formaten. Er zijn nog veel meer papers op dit gebied, doe daarvoor een Google Scholar query naar bijvoorbeeld file system carving.

Dan wat exotischere zaken:

• De gisteravond kort genoemde methode om overschreven data terug te halen is beschreven op Wikipedia in Gutmann method (zie ook Peter Gutmann's oorspronkelijke paper Secure Deletion of Data from Magnetic and Solid-State Memory).
• Statistische technieken worden beschreven in Statistical Disk Cluster Classification for File Carving.
• Een voorbeeld van het besproken gebruiken van niet of slecht gedocumenteerde functionaliteit van een bestandssysteem om bijvoorbeeld data te verbergen is beschreven in Data hiding in the NTFS file system.

Mocht je na dit alles nog steeds meer willen weten of doen, dan is de website van de Digital Forensics Research Conference de moeite waard. Daar wordt jaarlijks een Forensic Challenge georganiseerd, regelmatig op het gebied van file carving (zie de archieven voor vorige edities met challenges en resultaten). Daarnaast is er nog een digitale publicatie op het gebied van digitaal forensisch onderzoek genaamd International Journal of Digital Evidence.

Tenslotte, het Nederlands Forensisch Instituut heeft software op dit gebied als open source beschikbaar gemaakt, waaronder de disk imaging tool RDD en de multimedia carver Defraser.

TrackBack URI for this entry

Comments (0)

Subscribe to this comment's feed