文件雕刻：不依赖文件系统元数据的文件恢复方法

摘要：天津鸿萌科贸发展有限公司从事数据安全服务二十余年，致力于为各领域客户提供专业的数据恢复、数据备份、数据取证、数据迁移、网络安全、数据清除等解决方案，并针对企业面临的数据安全风险，提供专业的相关数据安全培训。

天津鸿萌科贸发展有限公司从事数据安全服务二十余年，致力于为各领域客户提供专业的数据恢复、数据备份、数据取证、数据迁移、网络安全、数据清除等解决方案，并针对企业面临的数据安全风险，提供专业的相关数据安全培训。

文件雕刻是计算机取证中使用的一种过程，用于从硬盘或其他存储设备中提取数据，而无需创建文件时所用的原始文件系统的帮助。这是一种在没有任何文件信息的情况下在未分配空间中恢复文件的方法，用于恢复数据和执行数字取证调查。雕刻是一个通用术语，用于根据结构化数据中存在的特定格式特征从原始数据中提取结构化数据。

作为一种仅根据文件结构和内容而没有任何匹配的文件系统元数据来恢复文件的取证技术，文件雕刻最常用于从驱动器中未分配的空间中恢复文件。未分配空间是指驱动器中不再包含任何文件信息的区域，如文件系统结构（如文件表）所示。如果文件系统结构损坏或缺失，这可能涉及整个驱动器。简而言之，许多文件系统在删除数据时不会将数据归零。相反，他们只是删除了关于它在哪里的信息。文件雕刻是通过扫描磁盘的原始字节并重新组合来重建文件的过程。这通常是通过检查文件的 header（文件头，前几个字节）和 footer（文件尾，最后几个字节）来完成的。

文件雕刻是在目录损坏或丢失时恢复文件和文件片段的好方法。刑事案件中的取证专家专门使用它来恢复证据。在某些案件中，执法人员通常能够通过使用雕刻技术从嫌疑人的硬盘中恢复更多图像。取证专家使用文件雕刻技术从存储介质中“榨取”每一点信息。

看完以上内容，我想你可能会感到困惑：如果文件雕刻是文件恢复的一种方法，那么文件恢复和文件雕刻有什么区别呢？

现代操作系统不会在不提示用户确认的情况下自动擦除已删除的文件。如果已删除文件的空间未被其他文件覆盖，则可以使用某些取证程序恢复已删除的文件。损坏的文件只有在其数据损坏程度不超过最低程度的情况下才能恢复。文件恢复与文件还原不同，在文件还原过程中，以压缩（编码）形式存储的备份文件将被恢复为可用（解码）形式。所以技术之间存在差异。而文件恢复技术则是利用文件系统信息，恢复许多文件。如果系统信息不正确，则文件恢复将无法起作用。

文件雕刻仅针对介质上的原始数据，不与文件系统结构产生关联。文件雕刻不关心存储文件时使用的任何文件系统。例如，在 FAT 文件系统中，删除文件时，该文件的目录条目将更改为未分配的空间。文件名的第一个字符将替换为标记，但文件数据本身保持不变。在覆盖之前，数据仍然存在。

在数字调查期间，必须分析各种类型的介质。相关数据可以在各种存储和网络设备以及计算机内存中找到。必须分析各种类型的数据，例如电子邮件、电子文档、系统日志和多媒体文件。在本文中，我们重点介绍使用文件雕刻方法恢复存储在存储设备或计算机内存中的多媒体文件。文件雕刻是一种恢复技术，它只考虑文件的内容和结构，而不是文件系统结构或其他用于在存储介质上组织数据的元数据。

最常见的常规文件雕刻技术是：

1. 文件头-文件尾、或文件头-最大文件大小雕刻法。根据已知的文件头和文件尾或最大文件大小恢复文件。

JPEG - “xFFxD8” 文件头和 “xFFxD9” 文件尾GIF — “x47x49x46x38x37x61” 文件头和 “x00x3B”文件尾PST——“！BDN“ 文件头且无文件尾如果文件格式没有文件尾，则在雕刻过程中使用最大文件大小。

2. 基于文件结构的雕刻

此方法根据文件的内部布局元素包括文件头、文件尾、标识符字符串和文件大小信息

3. 基于内容的雕刻

内容结构松散（MBOX、HTML、XML）内容特征字符计数文本/语言识别数据的白名单和黑名单统计属性信息熵

本节展示如何在不使用雕刻工具的情况下雕刻文件。

首先，我们将看到文件雕刻是如何发生的。在开始之前，我们将先看一下 jpeg 文件结构。例如，我在十六进制编辑器中打开一个图像。

基本上，JPEG 文件以 FFD8FFE0 开头，这称为文件头。

它以 FFD9结尾，称为文件尾。

因此，如果我们有任何类型的、内部包含图片的文档文件，如果我们能找到文件头和文件尾，我们就可以从文档中恢复该图片。