File carving
- 1. WINDOWS FILE SYSTEM - NON ENCRYPTED DISK FAT12 ext2 reiserf NTFS
- 2. Y O Y O N
- 3. File Carving, apa ta kuwi sejatine, Gan?
- 4. File Carving adalah suatu metode yang digunakan untuk mengambil data dari disk drive atau perangkat penyimpanan lainnya dengan tanpa bantuan dari sistim file, berarti pula melakukan recovery dokumen dari satu unallocated space (raw data) tanpa satu informasi sistim file tentang dokumen tersebut yang tersisa.
- 5. Trik ini meliputi pencocokan meta-data yang spesifik dari berkas yang hendak di-carving dengan data pada fisik file di media penyimpan yang sebelumnya telah kehilangan strukturnya karena suatu sebab (mis: drive failure, file deletion, dsb). Satu hal pasti yang dapat menjadi petunjuk posisi awal dari sebuah file di dalam sistim file adalah letak dari meta-data yaitu diawal sektor dan awal sebuah cluster! Kenapa meta-data?
- 6. Physical, mengacu pada ciri-ciri fisik sebuah disk-drive (hardware), contoh : sebuah harddrive memiliki ciri-ciri fisik yang dilambangkan dengan cylinder, head dan sector (CHS) Logical, mengacu pada struktur (nalar) sistim file didalam sebuah disk-drive contoh : secara umum sebuah sistim file (FAT32) disusun berupa : Master Boot Record, berisi ciri2 umum drive seperti : bootstrap loader, jumlah, posisi dan ukuran partisi Boot Record, berisi ciri-ciri umum partisi seperti, BPB, label Root, memuat FDE yang berisi ciri-ciri umum file seperti : nama (LFN), first cluster, file size FAT#1 & FAT#2, memuat file map (berupa nomor cluster, yang di-encoded) Data Area Meta-data, adalah satu bagian dari sebuah file yang berisi informasi karakteristik sebuah file sebagai contoh : pada semua file *.jpeg memiliki identifier FFD8FFE0 yang berada di awal file yang disebut juga header Terminologi
- 7. Cylinder (dimulai 0), disebut juga dengan track mengindikasikan jumlah media baca dan tulis (lingkaran imajiner) didalam plater/fisik disk. Jaman dulu jumlah track yang tertulis 40 maka sebanyak itu pula lingkaran nalar yang dibuat pada plater, namun sekarang teknologi single-track membuat kinerja hardisk semakin gegas. Head (dimulai 0), mengindikasikan jumlah head baca Sector (dimulai 1), satuan penyimpanan data terkecil secara physical Cluster (dimulai 2 data) satuan penyimpanan data terkecil secara logical, berupa pengelompokan alamat berurutan (contiguous) secara fisik berbasis CHS menjadi bilangan yang mudah dipahami secara nalar, contoh : lokasi data dalam diskdrive diwakili dengan contiguous : C=0, H=0, S=1 - C=max, H=max, S=max. Jumlah sector dalam satu cluster disimpan dalam BPB di boot record. Misalkan 1 cluster terdiri dari 5 sector dan max sector 9, maka cluster 1 terdiri dari contiguous sbb: Cluster 0, C(0)-H(0)-S(1), C(0)-H(0)-S(2), C(0)-H(0)-S(3), C(0)-H(0)-S(4), C(0)-H(0)-S(5) Cluster 1, C(0)-H(0)-S(6), C(0)-H(0)-S(7), C(0)-H(0)-S(8), C(0)-H(0)-S(9), C(1)-H(0)-S(1) Cluster 2, C(1)-H(0)-S(2), C(1)-H(0)-S(3), C(1)-H(0)-S(4), C(1)-H(0)-S(5), C(1)-H(0)-S(6) dst
- 8. Beberapa Model Teknik Carving yang Umum : 1. Header-footer or header-maximum file size carving, teknik pulih file dengan basis header dan footer jenis file yang umum kemudian menentukan ukuran file tersebut, contoh: JPEGxFFxD8 header and xFFxD9 footer GIFx47x49x46x38x37x61 header and x00x3B footer PST!BDN header and no footer Jika dalam format file tersebut tidak ditemukan footer maka maximum file size dipakai sebagai acuan oleh carving program. 2. File Structure-based Carving Memanfaatkan layout internal file tersebut Elemen yang dipakai header, footer, string identifier, size information 3. Content-based Carving Content structure is loose (MBOX, HTML, XML) Content characteristics - Character count - Text/language recognition - White and black listing of data - Statistical attributes (Chi^2) - Information entropy
- 9. Untuk dapat melakukan carving, tentu saja kita harus memahami dulu bagaimana cara data itu disimpan! Pada sistim file berbasis Windows, secara umum pengambilan physical datum dapat dilambangkan dengan rute R F C. R (Root), berisi LFN FDE (Long File Name File Directory Entry), first cluster, file size. Pada bagian ini kita telah dapat menentukan : nama (LFN), dimana posisi awal file (first cluster), serta ukuran dari file tersebut F (FAT #1, FAT #2/mirror), berisi entri-entri sambungan dari nilai first cluster. C(Cluster/Block), di bagian inilah letak data sebenarnya dari file. Seperti telah diutarakan sebelumnya. Penomoran cluster ini sesuai dengan urutan fisik sektor/contiguous. Sebagai contoh jika satu file terletak pada folder : c:/user/documents/anu.docx maka kita harus melakukan parsing untuk mencari FDE masing-masing folder serta untuk mendapatkan cluster awal file anu.docx. FDE c:/user (kita mendapat cluster awal FDE documents) LFN FDE /documents kita mendapat FDE dari /anu.docx
- 10. Question?
- 11. Thanks for watching To be continued