eCDFP Module (5) File System Analysis (Part-12) (NTFS File System Analysis)

 File Carving 

• File Content တွေက ဖျက်ထားပေမဲ့ သူ့နေရာကို အခြား File တစ်ခုက Over Written မဖြစ်ခင်အထိရှိနေပါတယ်။
• File တွေကသူ့ရဲ့  Original File Structure အတိုင်းမဖြစ်ရင် ဖွင်လို့ရမှာ မဟုတ်ပါဘူး။ PDF ဆို PDF Word File ဆို Word File ဆိုပြီး သူတို့ရဲ့ File Structure တွေရှိပါတယ်။ 
• Data Recovery Software တွေက ဖျက်လိုက်တဲ့ File ရဲ့  File System Structure (File Table)  တွေကိုကြည့်ပြီး Recovery ပြုလုပ်ပါတယ်။ 
• File Content တွေရဲ့ File Structure တွေပျက်စီးသွားခဲ့ရင် File တွေကိုကြည့်လို့ ဖွင့်လို့ မရတော့ပါဘူး။

What Is File Carving?

File Carving ဆိုတာက File System Metadata  ပျောက်နေပြီး Raw Data  ဖြစ်နေတဲ့ File တွေကနေ File Structure, File Content တွေကို  Recovery ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ တစ်နည်းအားဖြင့် Raw Data တွေကနေ အချက်အလက် ရရှိအောင်ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ Example – Unlocated Space ကနေ Deleted File တွေကိုပြန်လည်ရယူခြင်း။ 

Why Need File Carving?

File System Corruption

Formatted Device

Unknown File Formats 

File Deleted ဖြစ်တဲ့အချိန်တွေမှာ File Content က Storage ပေါ်မှာရှိပေမဲ့ File Metadata ပျောက်တာ ပျက်တာတွေကြောင့် File ကဖွင့်မရတာတွေဖြစ်နိုင်ပါတယ်။ 

File Carving ပြုလုပ်တာက File System, Storage Media တွေမှာတင်ပြုလုပ်တာမဟုတ်ပါဘူး။ Network Traffic, Memory Dump ကနေ String တွေရယူတာ၊ Malware တွေကနေ Codes တွေကိုရယူတာတွေကိုပါပြုလုပ်တာဖြစ်ပါတယ်။ 

Types of File Carving

 

Fragmented  ဖြစ်နေတဲ့ JPEG File တွေကို Recovery လုပ်ဖို့အတွက် JPEG ရဲ့ File Structure နဲ့ သူ့ရဲ့ Thumbnail အပေါ်မှာတူတည်ပြီးပြလုပ်ရမှာဖြစ်ပါတယ်။ Image Pattern Matching ကိုအသုံးပြုပြီးတော့ Recovery လုပ်ဆောင်နိုင်ပါတယ်။ Commercial Forensics Tools တွေမှာ File Carving အတွက် Support ပေးပါတယ်။ ဒါပေမဲ့ File က ဘယ်လောက်အထိပျက်စီးနေလဲဆိုတဲ့အပေါ်မူတည်ပြီး Result ကရရှိမှာ ဖြစ်ပါတယ်။ 

Carving Concepts: Basic

အခုပုံမှာဆိုရင် First Sector ( File Content ပထမဆုံးစတဲ့ Sector) မှာ အခြား File က Over Written မဖြစ်သေးပါဘူး။  File Content တွေက မပျက်စီးသေးပဲ မူရင်းအတိုင်းပဲရှိနေပါသေးတယ်။ 

Carving Concepts: Advanced

အခုပုံမှာဆိုရင် File Content တွေကိုသိမ်းထားတဲ့ Sector တွေက တစ်ဆက်တည်းမဟုတ်တော့ပါဘူး။ File Content တွေဖြစ်တဲ့ File A,B,C တစ်ခုနဲ့တစ်ခုရောနေပါတယ်။ အခုအနေအထားမှာ File A,B,C Contents တွေက  မူရင်းအတိုင်းမပျက်စီးပဲရှိနေပါသေးတယ်။ ဒါပေမဲ့  ဥပမာအနေနဲ့ File A ပျက်သွားတယ်ဆိုရင် File Content  A ကိုသိမ်းထားတဲ့ Sector/ Cluster က တစ်ဆက်တည်းမဟုတ်တဲ့အတွက် File A ကို ဘယ် Cluster/ Sector တွေမှာသိမ်းထားတယ်ဆိုတာ မသိနိုင်ပါ။ ဒါကြောင့် Carving လုပ်ရာမှာ အမှားတွေဖြစ်နိုင်ပါတယ်။ 

Carving Techniques 

• Header-Footer or Header-Maximum File Size Carving 

• File Structure Based Carving

 • Content Based Carving

PNG  File Structure 

JPEG File Structure 

အခုပုံကတော့ JPEG File တစ်ခုရဲ့ Structure ပဲဖြစ်ပါတယ်။ Header ဖြစ်တဲ့ 0xFF-D8-FF-E0  ဆိုတာက Standard JPEG/JFIF File ကဆိုလိုတာ ဖြစ်ပါတယ်။ E0 အပြင် E1, E2,E8 ဆိုပြီသူ့ရဲ့ အဓိပ္ပာယ်အလိုက်ရှိပါတယ်။ 0xFF-D9 ကတော့ JPEG File ရဲ့အဆုံးကို ပြသတာဖြစ်ပါတယ်။  File တွေရဲ့ Signature ကိုအသေးစိတ်ကြည့်ချင်ရင် File Signatures (garykessler.net) မှာကြည့်နိုင်ပါတယ်။ သတ်မှတ်ထားတဲ့ File Header တွေအလိုက် Carving လုပ်တာ Recovery လုပ်တာတွေ ကိုပြုလုပ်နိုင်ပါတယ်။ အောက်ကပုံမှာ  X-Ways Forensics နဲ့  JPEG File ရဲ့ Header တွေကိုရှာပြီး Recovery ပြုလုပ်တာကိုပြသထားပါတယ်။ Header တွေကတော့ X-Ways Forensics က ဒီမှာ သတ်မှတ်ပြီးသားဖြစ်ပါတယ်။ တစ်ကယ်လို့ File Signature ကမပါခဲ့ရင်လဲ သီးသန်ထည့်လို့ရပါတယ်။

FAT FILE SYSTEM BEFORE DELETE ပုံမှာဆိုရင် Office.doc File ကို Delete မလုပ်ခင်အခြေအနေဖြစ်ပါတယ်။  FAT File System ကိုပြန်နွှေးရင် Office.doc File က Cluster 7 မှာစတင်ပါတယ်။ Cluster 7 ကနေ Office.doc File က Cluster 8 မှာလဲရှိသေးကြောင်းထပ်ပြီးညွှန်ပြပါတယ်။ Cluster 8 ကလဲ Office.doc က Cluster 93 မှာရှိနေကြောင်းထပ်ပြီး ညွှန်ပြပါတယ်။ Cluster 93 ကလဲ Office.doc က Cluster 94 မှာရှိနေကြောင်းထပ်ပြီးညွှန်ပြပါတယ်။ Cluster 94 မှာတော့ Office.doc သိမ်ဆည်းတာ နောက်ဆုံး Cluster ဖြစ်တဲ့အတွက် End Of File (EOF) Signature ရှိပါတယ်။ 

FAT FILE SYSTEM AFTER DELETED ပုံမှာဆိုရင် Office.doc File ကိုဖျက်လိုက်တဲ့အခါမှာ Cluster တွေထဲမှာ Content တွေက Free ဖြစ်သွားပါတယ်။ ဒါပေမဲ့ Root Directory မှာ Office.doc File အနေနဲ့ကရှိနေဆဲဖြစ်ပါတယ်။ မဖျက်ခင် အခြေအနေကလို Office.doc က  Cluster ဘယ်နေရာတွေမှာ ရှိနေတယ်ဆိုတာကိုတော့ မညွှန်ပြတော့ပါဘူး။ Carving ပြုလုပ်တဲ့နေရာမှာ File Type အမျိုးအစားခွဲခြားဖို့ ခက်ခဲခြင်း၊ အချိန်ယူရခြင်း၊ File Content ရှိတဲ့နေရာတွေ သိမ်းဆည်းထားတဲနေရာတွေကို သိရှိဖို့ခက်ခဲ ခြင်းစတဲ့ အခက်အခဲတွေရှိပါတယ်။ 

အခုတစ်ခါမှာတော့ USB Image File တစ်ခုကို Open Source ဖြစ်တဲ့ PhotoRec နဲ့ Commercial Tools ဖြစ်တဲ့ X-Ways  တစ်ခုစီသုံးပြီး Carving ပြုလုပ်ထားပါတယ်။ PhotoRec က Command Line, GUI ဆိုပြီး 2 မျိုးလုံးအသုံးပြုနိုင်ပါတယ်။ အခုတစ်ခါမှာတော့ Command Line ကိုပဲအသုံးပြုထားပါတယ်။ 

PhotoREC Command Line 

X-Ways Forensics