在文件松驰中发现数据

Question

今天，在课堂上，我们学习了如何在文件松懈中发现信息。我从理论上理解这一点，考虑到物理和逻辑文件的大小，我可以得出文件的空闲空间。但是，如果我想知道某个文件中是否有任何有价值的内容，如何在空闲空间中发现这些信息呢？我一直在使用十六进制编辑器来查看磁盘和文件，但我不知道从哪里开始。我听说enCase是一个很好的资源，但是我无法找到免费下载到Ubuntu或Mac的链接。

Answer 1

我想你想要文件系统。正如Xaqron所说，您将需要一个能够打开驱动器的十六进制编辑器，因为打开一个文件只会帮助您处理文件碎片，而不是文件系统碎片。

最好使用十六进制编辑器，在显示ASCII字符的同时显示十六进制数据。

使用十六进制编辑器

进行手动检查

一旦你有了这样的编辑，你就得找出你要找的是什么？

让我们想象一下，您正在寻找一个已被删除的Word文档。最好的方法是使用十六进制编辑器查看Word文档，然后在文件的开头找到某种代码，您可能会在所有word文档上看到这些代码。

一旦您找到这样的代码，您将能够在空闲空间中搜索该代码。

您将发现的一个问题是，直接打开一个驱动器将显示所有数据，包括已分配数据和Slack数据。不幸的是，对于一个人来说，很难区分哪个是哪一个。例如，如果有一些真正的Word文档，以及已删除的文档，那么如何区分呢？这将是非常困难的。

也许你需要寻找你感兴趣的关键词或短语。请记住，有些文档将对文本进行不同编码。再一次，您应该比较一下什么是未删除的文件，然后再搜索这个空间。

相同的主体适用于任何文档类型，而不仅仅是Word。例如，图像文件通常在开头有几个字节，您可以使用这些字节来判断它是什么类型的文件。不幸的是，图像被大量编码，所以你不能搜索它们的内容。

一些像txt这样的文件没有这样的标识，但是在编码上也很轻，所以在空闲空间中更容易找到它们。

请记住，Space常常是一团糟，部分覆盖或过期的文件块。去碎片处理或重新分配给其他文件可能会在您能够恢复的文件中引入空白。

Tools

又想到了几件事。

• 可能有一个专门的十六进制编辑器或其他可用的工具，将突出显示和搜索空间与分配空间分开。我不知道是否有，但似乎会有。这将真正帮助您的手动评审过程。
• 有些应用程序设计用于识别和恢复Space之外的文件。这些自动化工具(还原已删除的文件)是容易获得的，也是最简单的方法来完成一些有成效的事情。

Answer 2

你想要做的是法医分析，这个过程相当简单:创建一个包含磁盘映像副本的文件，将图像加载到分析工具中，然后开始搜索。

要在Windows机器上创建硬盘映像，最简单的方法可能是引导到Linux的LiveCD发行版，并使用dd将磁盘映像复制到某个文件中。有免费软件和其他工具，据说可以在Windows下制作磁盘映像，而且它们可以很好地工作在USB卡和可移动驱动器上。(还请注意，加密的磁盘将有效地阻止生成有用的映像。)

为了进行分析，EnCase是许多专业调查人员使用的工具。(我相信有免费版本提供给学生。)但是它都是封闭的，而且完全授权的产品非常昂贵。

有一个很好的开源工具叫做Sleuth，还有一个叫做尸检的Windows版本。解剖使打开磁盘映像文件、在磁盘中搜索、恢复“已删除”文件以及检查空闲空间中的内容变得很容易。有一个模块可以帮助查找删除的图像，这通常是调查的重点。你会发现它有很好的文档，而且网络上有很多好的教程。