Dosya Üstbilgisi / Altbilgisi, İmzası değiştirilmiş / değiştirilmiş veya kaldırılmışsa, bir dosyayı bir disk görüntüsünden (dd görüntüsü) kurtarmak mümkün müdür?
Örneğin, bitmap görüntüsünün imzası (0x42 0x4d) veya ilk 30 bayt bile kaldırılmış veya değiştirilmiş mi?
Hayır ise, bu dosyayı kurtarmanın alternatif yolu, dosya imzasına dayanmayan nedir? Mümkünse nasıl yapılır?
Yanıtlar:
Bunun yerine artık dosya sistemi yapısını analiz edebilirsiniz.
Örneğin, FAT dosya sistemleri ailesi Bir dosyanın, dosya adının ilk baytının 0x3F bayt değerine sahip bir dizin girişinde yazılmasıyla silindiğini gösterir. Meta verilerin geri kalanı (dosya adının çoğu da dahil olmak üzere) silme işleminden hemen sonra orada olacaktır, bu nedenle işletim sistemi aracılığıyla doğrudan diske erişen bir program dosyayı kolayca bulabilir; DOS "undelete" komutu nasıl çalışır? .
Diğer dosya sistemleri benzer, ancak daha az bilgi olmasına rağmen - FAT ailesi dosyaları kurtarmak için özellikle kolaydır.
Ne arayacağınız ve nereye bakacağınız konusunda bir fikriniz varsa, yapabilirsiniz. Bir bitmap (sıkıştırılmamış) belirli istatistiksel özelliklere sahiptir ve onu yeniden yapılandırabilirsiniz.
Görüntü genişliği için önceden muhtemel bir menzili bilmek, örneğin son derece faydalı olacaktır. Yaklaşık renkliliğini bilmek de yardımcı olacaktır.
Asıl sorun, muhtemelen dosyanın bitişik olmayan sektörlere bölünmüş olabileceği ve bir araya getirmek için gereken bilgilerin de silinmiş olabileceğidir. Tek bir dosya sistemi kümesine sığacak kadar küçük bir bitmap en iyi şansı sağlar.
Dikkate alınması gereken bir diğer gerçek olasılık, ilk silinenlerin silinenlerin de kalanları veya bunların yeterince önemli bir kısmını silmeleridir, mümkün olduğunda toparlanmayı telafi etmelerine neden olur.
Sıkıştırılmamış bir DIB bitmapinin kurtarılmasını denemek için, değerlerin üçlü olarak değişkenlik gösterme özelliği olan bayt dizileri ararsınız (yani, bir N bayt dizisi verildiğinde, endeks modulo üç ile alınan pikseller arasındaki korelasyon, herhangi bir değerden anlamlı olarak daha yüksektir). diğer endeks üçten katlanmayan). Ardından, benzer bir korelasyonun, dördüncü en yakın çarpıya yuvarlanmış satır genişliği olan daha yüksek bir indeks ile olup olmadığını kontrol ederdiniz. Satırın başlatılması / durdurulması için daha fazla analiz yapılması gerekir.
Belirli bir durum hakkında daha fazla bilgi olmadan (dosya sistemi, kullanılan gerçek bitmap formatı, bitmap boyutu, nasıl silindi / üzerine yazıldı dd görüntü boyutu, işlemin nedeni), kurtarma şansı konusunda size bir "belki" den daha fazlasını veremedim.