Tương tự như vậy, dữ liệu khác trên các thiết bị Android trong đó lưu trữ dữ liệu trong các tập tin SQLite có thể được phục hồi bằng cách phân tích cho nội dung đã bị xóa.
3.3.7.2 Phục hồi tập tin sử dụng các kỹ thuật file-carving
File-carving là một phương pháp cực kỳ hữu ích trong pháp y vì nó cho phép các dữ liệu đã bị xóa hoặc ẩn được phục hồi lại để phân tích. Trong thuật ngữ đơn giản, File- carving là quá trình ghép nối lại các mảnh dữ liệu trong hệ thống tập tin. Trong kỹ thuật file-carving, các loại tập tin cụ thể được tìm kiếm và trích xuất trên các dữ liệu nhị phân để tạo ra một hình ảnh pháp y của một phân vùng hoặc toàn bộ ổ đĩa. File-carving phục hồi tập tin từ các không gian chưa phân bổ trong một ổ đĩa chỉ đơn thuần dựa trên cấu trúc tập tin và nội dung mà không cần bất kỳ siêu dữ liệu hệ thống tập tin phù hợp..
Tập tin có thể được phục hồi hoặc tái tạo bằng cách quét các byte thô của đĩa và ghép chúng lại. Điều này có thể được thực hiện bằng cách kiểm tra các tiêu đề (vài byte đầu tiên) và chân trang (vài byte cuối cùng) của một tập tin. Phương pháp File-carving được phân loại dựa trên các kỹ thuật cơ bản trong sử dụng. Phương pháp Header-Footer- Carvingdựa vào việc khôi phục các tập tin dựa trên các thông tin header và footer. Ví
110
dụ, các tập tin JPEG bắt đầu với 0xffd8 và kết thúc bằng 0xffd9. Vị trí của các header và footer được xác định và tất cả mọi thứ giữa hai đầu.
Một khi điện thoại được chụp lại, nó có thể được phân tích bằng các công cụ như
Scalpel. Scalpel là một tiện ích mã nguồn mở mạnh mẽ để tìm kiếm tập tin. Công cụ
này phân tích các khối lưu trữ cơ sở dữ liệu và xác định các tập tin đã bị xóa và phục hồi chúng. Scalpel là hệ thống tập tin độc lập và được biết đến để làm việc trên các hệ thống tập tin khác nhau bao gồm FAT, NTFS, EXT2, EXT3, HFS, và nhiều hơn nữa. Các bước sau đây giải thích làm thế nào để sử dụng Scalpel trên một máy trạm Ubuntu:
Bước 1: Cài đặt Scalpel trên máy trạm Ubuntu bằng cách sử dụng lệnh sudo apt-get
install scalpel.
Bước 2: scalpel.conf hiện dưới thư mục / etc /scalpel có chứa thông tin về các loại tập
tin được hỗ trợ, như thể hiện trong hình bên dưới: