file carving

11
WINDOWS FILE SYSTEM - NON ENCRYPTED DISK File Carving H P F S NTFS NTFS e xt1 FAT12 NTFS FAT32 ext2 e xt3 ext4 reiserf N TFS F AT 12 ext4 ext4 NTFS

Upload: ansvialab

Post on 06-Aug-2015

61 views

Category:

Technology


0 download

TRANSCRIPT

Page 1: File carving

WINDOWS FILE SYSTEM - NON ENCRYPTED DISK

File Carving

HPFS

NTFS NTFS

ext1

FAT12

NTF

S

FAT32

ext2

ext3 ext4

reiserf

NTF

S

FAT12

ext4

ext4

NTFS

Page 2: File carving

Y O Y O N

Page 3: File carving

File Carving, apa ta kuwi sejatine, Gan?

Page 4: File carving

File Carving adalah suatu metode yang digunakan untuk mengambil data dari disk drive atau perangkat penyimpanan lainnya dengan tanpa bantuan dari sistim file, berarti pula melakukan recovery dokumen dari satu unallocated space (raw data) tanpa satu informasi sistim file tentang dokumen tersebut yang tersisa.

Page 5: File carving

Trik ini meliputi pencocokan meta-data yang spesifik dari berkas yang hendak di-carving dengan data pada fisik file di media penyimpan yang sebelumnya telah kehilangan strukturnya karena suatu sebab (mis: drive failure, file deletion, dsb).

Satu hal pasti yang dapat menjadi petunjuk posisi awal dari sebuah file di dalam sistim file adalah letak dari meta-data yaitu diawal sektor dan awal sebuah cluster!

Kenapa meta-data?

Page 6: File carving

Physical, mengacu pada ciri-ciri fisik sebuah disk-drive (hardware), contoh : sebuah harddrive memiliki ciri-ciri fisik yang dilambangkan dengan cylinder, head dan sector (CHS)

Logical, mengacu pada struktur (nalar) sistim file didalam sebuah disk-drive contoh : secara umum sebuah sistim file (FAT32) disusun berupa :

• Master Boot Record, berisi ciri2 umum drive seperti : bootstrap loader, jumlah, posisi dan ukuran partisi

• Boot Record, berisi ciri-ciri umum partisi seperti, BPB, label

• Root, memuat FDE yang berisi ciri-ciri umum file seperti : nama (LFN), first cluster, file size

• FAT#1 & FAT#2, memuat file map (berupa nomor cluster, yang di-encoded)

• Data Area

Meta-data, adalah satu bagian dari sebuah file yang berisi informasi karakteristik sebuah file sebagai contoh : pada semua file *.jpeg memiliki identifier FFD8FFE0 yang berada di awal file yang disebut juga header

Terminologi

Page 7: File carving

Cylinder (dimulai 0), disebut juga dengan track mengindikasikan jumlah media baca dan tulis (lingkaran imajiner) didalam plater/fisik disk. Jaman dulu jumlah track yang tertulis 40 maka sebanyak itu pula lingkaran nalar yang dibuat pada plater, namun sekarang teknologi single-track membuat kinerja hardisk semakin gegas.

Head (dimulai 0), mengindikasikan jumlah head baca

Sector (dimulai 1), satuan penyimpanan data terkecil secara physical

Cluster (dimulai 2 data) satuan penyimpanan data terkecil secara logical, berupa pengelompokan alamat berurutan (contiguous) secara fisik berbasis CHS menjadi bilangan yang mudah dipahami secara nalar, contoh : lokasi data dalam diskdrive diwakili dengan contiguous : C=0, H=0, S=1 - C=max, H=max, S=max. Jumlah sector dalam satu cluster disimpan dalam BPB di boot record. Misalkan 1 cluster terdiri dari 5 sector dan max sector 9, maka cluster 1 terdiri dari contiguous sbb:

• Cluster 0, C(0)-H(0)-S(1), C(0)-H(0)-S(2), C(0)-H(0)-S(3), C(0)-H(0)-S(4), C(0)-H(0)-S(5)

• Cluster 1, C(0)-H(0)-S(6), C(0)-H(0)-S(7), C(0)-H(0)-S(8), C(0)-H(0)-S(9), C(1)-H(0)-S(1)

• Cluster 2, C(1)-H(0)-S(2), C(1)-H(0)-S(3), C(1)-H(0)-S(4), C(1)-H(0)-S(5), C(1)-H(0)-S(6) dst

Page 8: File carving

Beberapa Model Teknik Carving yang Umum :

1. Header-footer or header-“maximum file size” carving, teknik pulih file dengan basis header dan footer jenis file yang umum kemudian menentukan ukuran file tersebut, contoh: JPEG—”\xFF\xD8″ header and “\xFF\xD9″ footer

GIF—”\x47\x49\x46\x38\x37\x61″ header and “\x00\x3B” footer

PST—”!BDN” header and no footer

Jika dalam format file tersebut tidak ditemukan footer maka maximum file size dipakai sebagai acuan oleh carving program.

2. File Structure-based Carving Memanfaatkan layout internal file tersebut

Elemen yang dipakai header, footer, string identifier, size information 

3. Content-based Carving Content structure is loose (MBOX, HTML, XML)

Content characteristics

- Character count

- Text/language recognition

- White and black listing of data

- Statistical attributes (Chi^2)

- Information entropy

Page 9: File carving

Untuk dapat melakukan carving, tentu saja kita harus memahami dulu bagaimana cara data itu disimpan!

Pada sistim file berbasis Windows, secara umum pengambilan physical datum dapat dilambangkan dengan rute R – F – C.

• R (Root), berisi LFN FDE (Long File Name File Directory Entry), first cluster, file size. Pada bagian ini kita telah dapat menentukan : nama (LFN), dimana posisi awal file (first cluster), serta ukuran dari file tersebut

• F (FAT #1, FAT #2/mirror), berisi entri-entri sambungan dari nilai first cluster.

• C(Cluster/Block), di bagian inilah letak data sebenarnya dari file. Seperti telah diutarakan sebelumnya. Penomoran cluster ini sesuai dengan urutan fisik sektor/contiguous.

Sebagai contoh jika satu file terletak pada folder : c:/user/documents/anu.docx

maka kita harus melakukan parsing untuk mencari FDE masing-masing folder serta untuk mendapatkan cluster awal file anu.docx.

• FDE c:/user (kita mendapat cluster awal FDE documents)

• LFN FDE /documents kita mendapat FDE dari /anu.docx

Page 10: File carving

Question?

Page 11: File carving

Thanks for watchingTo be continued