文件雕刻

Q: 文件雕刻 是什么?

一种不依赖文件系统元数据,通过识别文件特征码、头部和尾部,从未分配空间或原始数据中恢复文件的取证技术。 它属于网络安全的 取证与应急响应 分类。

Q: 如何防御 文件雕刻?

针对 文件雕刻 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

文件雕刻是什么?

文件雕刻一种不依赖文件系统元数据,通过识别文件特征码、头部和尾部,从未分配空间或原始数据中恢复文件的取证技术。

文件雕刻可直接从磁盘镜像、内存转储或网络抓包中重建被删除或碎片化的文件,即便其文件系统记录已丢失或损坏。雕刻工具通过扫描已知的魔数(如 JPEG 的 FFD8FFE0、PDF 的 %PDF-)识别候选文件,再读取到可识别的尾部或采用大小启发式。常用工具包括 PhotoRec、Scalpel、Foremost、bulk_extractor 和 Magnet AXIOM。高级雕刻工具(SmartCarving)利用结构感知逻辑重组碎片化文件。当攻击者删除工件或介质已被格式化时,文件雕刻不可或缺,但由于误报常见,恢复的文件需进行验证。

● 示例

01
使用 PhotoRec 从被擦除的 USB 中恢复已删除的 JPEG 图像。
02
使用 bulk_extractor 从内存转储中雕刻出 Office 文档。

● 常见问题

文件雕刻是什么?

一种不依赖文件系统元数据,通过识别文件特征码、头部和尾部,从未分配空间或原始数据中恢复文件的取证技术。它属于网络安全的取证与应急响应分类。

文件雕刻是什么意思?

一种不依赖文件系统元数据,通过识别文件特征码、头部和尾部,从未分配空间或原始数据中恢复文件的取证技术。

如何防御文件雕刻?

针对文件雕刻的防御通常结合技术控制与运营实践,详见上方完整定义。

文件雕刻还有哪些其他名称?

常见的别称包括: 数据雕刻, 基于特征码的恢复。

● 相关术语

● 另见

The Sleuth Kit

文件雕刻 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

文件雕刻是什么?