Карвинг файлов
Что такое Карвинг файлов?
Карвинг файловКриминалистический метод восстановления файлов из неразмеченной области или сырых данных по сигнатурам, заголовкам и колонтитулам, без использования метаданных файловой системы.
Карвинг восстанавливает удалённые или фрагментированные файлы непосредственно из образа диска, дампа памяти или сетевого трафика, даже когда записи файловой системы отсутствуют или повреждены. Инструменты карвинга ищут известные магические байты (JPEG FFD8FFE0, PDF %PDF-) и читают до распознаваемого хвоста либо применяют эвристики размера. Распространены PhotoRec, Scalpel, Foremost, bulk_extractor и Magnet AXIOM. Продвинутые методы (SmartCarving) собирают фрагментированные файлы с учётом их структуры. Метод необходим, когда злоумышленник удаляет артефакты или носитель был отформатирован, но из-за частых ложных срабатываний восстановленные файлы требуют верификации.
● Примеры
- 01
Восстановление удалённых JPEG-изображений со стёртой USB-флэшки с помощью PhotoRec.
- 02
Карвинг Office-документов из дампа памяти с помощью bulk_extractor.
● Частые вопросы
Что такое Карвинг файлов?
Криминалистический метод восстановления файлов из неразмеченной области или сырых данных по сигнатурам, заголовкам и колонтитулам, без использования метаданных файловой системы. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Карвинг файлов?
Криминалистический метод восстановления файлов из неразмеченной области или сырых данных по сигнатурам, заголовкам и колонтитулам, без использования метаданных файловой системы.
Как защититься от Карвинг файлов?
Защита от Карвинг файлов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Карвинг файлов?
Распространённые альтернативные названия: Карвинг данных, Восстановление по сигнатуре.