Computer Forensics investigations have become more and more common while investigating IT-related issues. From experience, hard disks, USB thumb, memory sticks contains information that might be useful. Computer Forensics is regulary conducted by Police, Customs, Tax investigators but also within private companies and organisations. However, there are areas within the storage device that are not part of the organisied structure that a file system gives. The reason for that might be that the information has been erased by intention, a virus destroyed the file system and so on. Areas without this structure are referred to as Unallocated Space and there are issues to locate specific file information within Unallocated Space. Today, two methods are used. The first is to use specific keywords to locate a specific file. The other method is to search for file signatures, such as file header or file footer. However, these methods are not especially successful. During 2006-2007 the organisation DFRWS arranged two challenges to try to overcome these shortcomings. The results from the challenges gave interesting aspects and might be possible to work further with. Most of the specific forensic software available do not incorperate good methods for file extraction and basically they rely on the two methods mentioned above. / IT-forensiska undersökningar, sk Computer Forensics, har idag blivit mer och mer vanligt i samband med IT-relaterade ärenden. Erfarenhetsmässigt har det visat sig att hårddiskar, USB-minnen, minneskort m.m. ofta innehåller information av betydelse och IT-undersökningar görs idag regelmässigt av bl a polis, tull, skattemyndigheter men också inom privata företag och organisationer. Emellertid finns det områden på ett lagringsmedia som inte omfattas av någon filstruktur. Det kan ha sin orsak i att filer medvetet raderats från mediet, att ett virusangrepp förstört tillgänglig struktur osv. De områden på lagringsmediat som saknar nämnda struktur benämns som oallokerat utrymme och det medför avsevärda svårigheter att hitta de filer som trots allt finns där. I dag används i huvudsak två metoder för uppgiften. Den ena baseras sig på vissa specifika nyckelord som kan återfinnas i filer. Den andra använder en metod där filer extraheras baserat på viss information i filens specifika signatur. Det är ofta en sekvens tecken som återfinns i filens huvud men i förekommande fall kan det också finnas sådana typiska sekvenser i filens slut. Metodiken är emellertid inte särskilt effektiv och därför pågår arbete för att hitta nya metoder. I ett öppet forum på Internet, http://www.dfrws.org, har under åren 2006-2007 anordnats sk utmaningar på temat. De metoder som diskuterats och framkommit via DFRWS bygger på alternativa sökningar och kombinationer av dessa, vilka visat sig ge ett gott resultat. Många av de metoder som inkommit har innehållit intressanta aspekter som sannolikt kommer att vidareutvecklas. I stort sett alla av de tillgängliga analysprogramvarorna som i dag finns på marknaden har begränsade möjligheter att återskapa filer från oallokerat utrymme och framförallt förlitar de sig på signatur- och nyckelordssökningar.
Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:bth-1301 |
Date | January 2007 |
Creators | Keyzer, Jim |
Publisher | Blekinge Tekniska Högskola, Avdelningen för programvarusystem |
Source Sets | DiVA Archive at Upsalla University |
Language | Swedish |
Detected Language | Swedish |
Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
Format | application/pdf |
Rights | info:eu-repo/semantics/openAccess |
Page generated in 0.002 seconds