ファイルカービング
ファイルカービング とは何ですか?
ファイルカービングファイルシステムのメタデータに依存せず、シグネチャ・ヘッダー・フッターを認識して未割当領域や生データからファイルを復元するフォレンジック手法。
ファイルカービングは、ディスクイメージ、メモリダンプ、ネットワークキャプチャから、削除済みまたは断片化したファイルを直接再構築します。対応するファイルシステムエントリが失われていたり破損していても適用可能です。カービングツールは JPEG の FFD8FFE0 や PDF の %PDF- などの既知のマジックバイトを探索し、認識可能なフッターまで読み取るか、サイズのヒューリスティクスを用います。代表的なツールは PhotoRec、Scalpel、Foremost、bulk_extractor、Magnet AXIOM などです。高度な SmartCarving は構造を意識して断片化ファイルを再構成します。攻撃者がアーティファクトを削除したり、媒体がフォーマットされた場合に不可欠ですが、誤検出が多いため復元結果は検証が必要です。
● 例
- 01
PhotoRec を用い、消去された USB メモリから削除済み JPEG 画像を復元する。
- 02
bulk_extractor でメモリダンプから Office 文書をカービングする。
● よくある質問
ファイルカービング とは何ですか?
ファイルシステムのメタデータに依存せず、シグネチャ・ヘッダー・フッターを認識して未割当領域や生データからファイルを復元するフォレンジック手法。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
ファイルカービング とはどういう意味ですか?
ファイルシステムのメタデータに依存せず、シグネチャ・ヘッダー・フッターを認識して未割当領域や生データからファイルを復元するフォレンジック手法。
ファイルカービング からどのように防御しますか?
ファイルカービング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ファイルカービング の別名は何ですか?
一般的な別名: データカービング, シグネチャベース復元。