Failide nikerdamine ja andmete taastamine

Käivitamatute, vormindatud või kahjustatud või rikutud andmete allalaadimise protsessi salvestusmeediumilt, kui see pole tavapäraste meetoditega ligipääsetav, nimetatakse Andmete taastamine. Informatsioon taastatakse tavaliselt andmekandjatelt; näiteks sisemised ja välised kõvakettad (HDD); pooljuhtkettad (SSD); mälupulgad; magnetmälu, näiteks CD-d ja DVD-d; RAID-alamsüsteemid; ja muud elektroonilised vidinad. Taastamine võib olla vajalik mäluseadmete füüsilise kahjustamise või failisüsteemi õiguspärase kahjustamise tõttu, mis takistab süsteemi ühendamist hosti töötava operatsioonisüsteemi (OS) poolt. Lõplik eesmärk on dubleerida kõik põhilised dokumendid kahjustatud meediumist uuele draivile. Teavet saab kiiresti varundada, kasutades Live CD-d või DVD-d, käivitades seaduspäraselt ROM-ilt, selle asemel et kasutada rikutud draivi või seadet teabe hankimiseks süsteemist.

Live-CD-d või DVD-d pakuvad nii süsteemidraivi kui ka eemaldatava või fikseeritud meediumiseadme käivitamiseks võimalust, mis võimaldab faili laadimiseks kasutada failihaldurit või tarkvara. Kettaserver võib neid juhtumeid rikkuda ja väärtuslikke või varalisi andmefaile salvestada OS-failide eraldi lahtritesse.

Viil nikerdamine on protseduur, mida kasutatakse arvuti kuriteopaigal uurimisel kõvakettalt või muudelt salvestusseadmetelt teabe väljavõtmiseks ilma algse faili loonud failisüsteemi tabeli abita. File Carving on strateegia, mis võtab kontrolli dokumentide üle jaotamata ruumis ilma andmeteta ja seda kasutatakse teabe taastamiseks kliinilise kliinilise uuringu esitamiseks. Seda protsessi nimetati algselt kujunduseks, mis on üldtermin organiseeritud teabe eemaldamiseks toorainfost, pidades silmas salvestatud teabe korralduse mustri konkreetseid atribuute.

Kohtuekspertiisi meetod, mis dokumente taastab, sõltub failide struktuurist ja sisust ilma sobivate failisüsteemi metaandmeteta. Faili nikerdamine võimaldab teil faile taastada mis tahes draivi eraldamata ruumist. Failisüsteemi struktuuriga (failitabel) tähistatud draivi piirkonda, mis ei sisalda failisüsteemi teavet, nimetatakse eraldamata ruumiks.

Puuduvad või kahjustatud failisüsteemi struktuurid võivad mõjutada kogu draivi. Lihtsamalt öeldes ei kustuta paljud failisüsteemid andmeid nende kustutamisel. Selle asemel kaob lihtsalt teadmine, kust see pärineb. Tooresaitide skaneerimine ja nende korrastamine on faili nikerdamise põhiprotsess. Selle protsessi viib läbi faili päise (esimesed baidid) ja jalus (viimased baidid) uurimine.

Faili nikerdamine on suurepärane viis failide ja failifragmentide taastamiseks, kui tekst on kahjustatud või puudub. Spetsialistid kasutavad seda tõendite uuesti uurimiseks tõrkeotsingus. Näide keelust ja võimest meediumist evakueeruda ilmnes siis, kui teave eemaldati Osama bin Ladeni laagritest USA pitserlaevastiku rünnaku ajal. Kohtuekspertiisi uurijad kasutasid laagrites kasutatavatest draividest ja süsteemidest andmete taastamiseks failide taastamise meetodeid.

Failisüsteemide ülevaade

A failisüsteem is teatud tüüpi andmebaas, mida kasutatakse failide või mitme faili arvu salvestamiseks, värskendamiseks ja hankimiseks. See on viis, kuidas faile arhiveeritakse loogiliselt ja nimetatakse arhiveerimiseks ja taastamiseks. Allpool on erinevat tüüpi failisüsteeme:

Windowsi failisüsteem: Microsoft Windows kasutab ainult kahte tüüpi FAT ja NTFS.

• PAKS, mis tähendab 'failide eraldamise tabelit', on lihtsaim failisüsteemi tüüp, mis sisaldab alglaadimissektorit, failide eraldamise tabelit ning lihtsat salvestusruumi failide ja kaustade hoidmiseks. Hiljuti tuli FAT versioonidesse FAT16, FAT12 ja FAT32. FAT32 ühildub Windowsi-põhiste salvestusseadmetega. Windows ei saa luua FAT32-failisüsteemi, mille fail on suurem kui 32 GB.
• NTFS, Lühend „New Technology File System” on nüüd vaikefailisüsteem failidele, mis on suuremad kui 32 GB. Krüptimine ja juurdepääsu kontroll on selle failisüsteemi mõned peamised omadused.

Linuxi failisüsteem: Linux on laialdaselt kasutatav avatud lähtekoodiga operatsioonisüsteem ning see töötati välja testimiseks ja arendamiseks. Selle operatsioonisüsteemi eesmärk oli kasutada erinevaid failisüsteemi mõisteid. Linuxis on mitut tüüpi failisüsteeme.

• Ext2, Ext3, Ext4 - See on kohalik või vaikimisi Linuxi failisüsteem. Juurfailisüsteem on tavaliselt kaardistatud kogu Linuxi jaotusega. Ext3-failisüsteem on varem kasutatud Ext2-failisüsteemi suurepärane värskendus; see kasutab tehingufailide kirjutamise operatsiooni.  Ext4 on laiendusfail, mis toetab Ext3 teavet ja faili omistamist.
• ReiserFS - Failisüsteemi probleem lahendatakse korraga paljude väikeste failide salvestamisega. Failihaldur naerab hästi ja ühilduva faili luba, failikoodi salvestamine, fail sisaldab metaandmeid režiimis, kus selle suuruse tõttu ei kasutata suurt failisüsteemi.
•  XFS - XFS-failisüsteem töötab hästi ja seda kasutatakse laialdaselt failide arhiveerimiseks. See failisüsteemi tüüp on IRIX-serverites populaarne.
• JFS - IBM töötas selle failisüsteemi välja ja sellest on saanud failisüsteem, mida kasutatakse peaaegu kõigis Linuxi distributsioonides

macOS-failisüsteem: Apple Macintoshi operatsioonisüsteem kasutab ainult HFS + failisüsteem ilma HFS-failisüsteemi laiendita. MacOS, iPhone, iPad ja kõik muud Apple'i tooted kasutavad seda HFS + failisüsteem. Mõni Apple Serveri toode kasutab Hscani failisüsteemi. See tuntud failisüsteem peab teavet kataloogide vaate, Windowsi asukoha jms kohta.

Viilide nikerdamise tehnikad

Digitaalse uurimise käigus on vaja analüüsida eri tüüpi meediume. Rakendatavat teavet leiate mitmest mäluseadmest ja arvuti mälust. Erinevat tüüpi teavet võib jagada, näiteks e-post, elektroonilised aruanded, raamistiku logid ja meediumikirjed. Faili nikerdamine on taastamistehnika, kus arvestatakse ainult faili sisu ja struktuuri, mitte andmekandjal andmete korraldamisel kasutatud faili metaandmetega.

Allpool on mõned failide nikerdamise terminoloogiad, mida meeles pidada:

• Blokeeri - Väikseim andmeühikute suurus, mida saab salvestusruumi kirjutada
• Päis - Faili alguspunkt.
• Jalus - Faili viimased baidid.
• Fragment - Üks või mitu plokki kuuluvad ühte faili.
• Alus-fragment - Esimene failikonteineri fragment, faili päis.
• Killustumispunkt - Viimane plokk vahetult enne killustumist. Mitu fragmenti mis tahes failis toob kaasa mitu killustumispunkti.

Kõrgeimad ettevõtte universaalsed failide nikerdamise tehnikad on järgmised:

• Päise-jalus tehnika (või päis - "maksimaalne failisuurus") - Põhistrateegia on siin failide nikerdamine pealkirja ja käekirja või kogufailide põhjal.

1. JPG- või JPEG-laiendifailid - „\ XFF \ xD8“ ja „\ xFF \ xD9.”
2. GIF - pealkirjadega "\ x47 \ x49 \ x46 \ x38 \ x37 \ x61" ja "\ x00 \ x3B" jalus.
3. PST: “! BDN ”jaluseta pealkiri.
4. Kui failisüsteemil pole alust, on maksimaalne nikerdamisprogrammis kasutatud failide arv.

• Failistruktuuripõhine nikerdamine

1. Faili sisemist paigutust kasutatakse põhitehnikana.
2. Päise, jaluse, ID-stringide ja suuruse teave on põhielemendid.

• Sisupõhine nikerdamine

Sisu struktuur on tasuta (MBOX, HTML, XML)

• Materjali omadused

1. Loe märke
2. Teksti / keele tuvastamine
3. Mustvalge andmete loend
4. Informatsiooni entroopia
5. Statistilised omadused (Chi²)

Faili nikerdamine (tööriista kasutamata)

Järgmisena näeme, kuidas nikerdada .JPEG-fail tööriista kasutamata. Esiteks peame teadma .JPEG-fail (päis ja jalus jne.). Selleks avame a .JPEG-pilt Hex toimetaja uurida, mida päise ja jalus .JPEG-fail näeb välja.

Siit leidsime faili päise ( FFD8FFE0). Jaluse leidmiseks uurime failis viimaseid baite.

Siin on meil failijalus või treiler (FFD9).

Kui teil on dokument, milles on pilt, saate selle nikerdada, teades selle päist ja jalust.

Nüüd on meil pildifail sõnafail. Selle tehnika abil nikerdame pildi.

Esimene asi, mida me peame tegema, on selle Wordi dokumendi avamine Hex redaktorile klõpsates Fail >> Ava.

Siin näeme joonist, mis näitab sõnafaili andmeid kuueteistkümnendsüsteemis. Nagu me juba teame, .JPEG-faili päise väärtus on FFD8FFE0, nii et otsime faili päise vajutades Ctrl + F või Otsing >> Fail ja teadaoleva päiseväärtuse sisestamine (selles etapis on hex-väärtusega andmetüübi valimine väga oluline).

Allkirja väärtuse leiame Offsetist 14FD.

Järgmisena peame otsima jaluse või treileri. Me teame, et .JPEG-faili jaluse väärtus on FFD9, nii et otsime failijalust vajutades Ctrl + F või Otsing >> Fail ja teadaoleva jalusväärtuse sisestamine (kuuskantväärtuse andmetüübi valimine on väga oluline.

Jaluse väärtuse leiame Offsetist 2ADB.

Praegu on meil JPEG-dokumendi päis ja jalus ning nagu me hiljuti väitsime, on päise ja jaluse vahel JPEG-kirje teave. Siin dubleerime kogu teabe ruudu päise ja jalusega ning salvestame selle teise failina.

Minema MUUDA >> Valige Blokeeri ja sisestage mõlemad järgmised terminid:

Faili päise nihe: 14FD

Faili jalus nihe:  2ADB

Pärast nende väärtuste sisestamist kogu .JPEG-fail märgitakse sinisega. Selle failina salvestamiseks kopeerige see paremklõpsates ja valides Kopeeri, või vajutades Ctrl + C. Järgmisena kleepime teabe uude faili. Ilmub dialoogiboks ja me klõpsame Okei. Nüüd oleme valmis faili klõpsates salvestama Fail >> Salvesta nimega või vajutades Ctrl + S. Kui avate selle kopeeritud faili, näete sama pilti, mis oli originaaldokumendis. See on meediumifailide nikerdamise põhitehnika.

Andmete nikerdamise tööriistad

Andmete taastamise tööriistadel on enamikus kohtuekspertiisides oluline roll, kuna nutikad ründajad üritavad alati oma kuritegude tõendeid kustutada. Allpool on loetletud mõned olulised andmete taastamise tööriistad Linux ja Windows.

• Eelkõige (faili nikerdamise tööriist)

Sisemiste andmestruktuuride, päiste ja jaluste tõttu kaotatud failide taastamiseks, ennekõike, saab kasutada. Eelkõige toimub sisend erinevates pildivormingutes, näiteks AFF või toores vormingus, mida saab genereerida mitmesuguste tööriistade abil, näiteks FTK Imager, DD, encase jne.  Selle võimsate käskude õppimiseks ja uurimiseks võite navigeerida kõige olulisemale abilehele järgmise käsu abil:

[meiliga kaitstud]: ~ $ foremost -h Taastage failid kettapildilt faili tüüpide põhjal, mille on määranud
kasutaja, kasutades lülitit -t.
jpg JFIF- ja Exif-vormingute tugi, sealhulgas rakendused
kasutatakse tänapäevastes digikaamerates.
gif
png
bmp Windowsi bmp-vormingu tugi.
avi
exe Windowsi PE kahendfailide tugi eraldab DLL- ja EXE-failid
koos nende koostamisaegadega.
mpg tugi enamiku MPEG-failide jaoks (peab algama 0x000001BA)
wav
riff See eraldab AVI ja RIFF, kuna nad kasutavad sama faili
matt (RIFF). märkmeid kiiremini kui igaüks eraldi käivitades.
wmv Note võib ka wma-faile välja tõmmata, kuna neil on sarnane formaat.
ole See haarab OLE-failistruktuuri abil kõik failid. See
sisaldab PowerPointi, Wordi, Exceli, Accessi ja StarWriterit
doc Pange tähele, et OLE-i käivitamine on tõhusam, kui saate rohkem pauku
sinu punn. Kui soovite ignoreerida kõiki muid ole-faile, siis kasutage
seda.
zip Märkus .purgifaile ka seetõttu, et nad kasutavad sarnast
vormingus. Open Office'i dokumendid on lihtsalt ZIP-XML-failid, nii et nad ka
ekstraheeritakse samuti. Nende hulka kuuluvad SXW, SXC, SXI ja SX? eest
määratlemata OpenOffice-failid. Office 2007 failid on ka XML-failid
põhine (PPTX, DOCX, XLSX)
rar
htm
cpp C lähtekoodi tuvastamine, pange tähele, et see on primitiivne ja võib genereerida
muud dokumendid kui C-kood.
mp4 MP4-failide tugi.
kõik Käivitage kõik eelnevalt määratletud ekstraktimismeetodid. [Vaikimisi, kui ei ole -t
täpsustatud]

• BinWalk

BinWalk kasutatakse binaarkogude haldamiseks ja püsivara piltidest oluliste andmete väljavõtmiseks. See tööriist sobib suurepäraselt neile, kes teavad, kuidas seda kasutada. BinWalkit peetakse üheks parimaks kättesaadavaks tööriistaks pöördprojekteerimiseks ja püsivara piltide väljavõtmiseks. BinWalk on hõlpsasti kasutatav ja sellel on tohutud võimalused. Järgmise käsu abil saate lisateabe saamiseks navigeerida binwalki abilehele:

[meiliga kaitstud]: ~ $ binwalk --help Allkirja skannimise valikud:
-B, --signature Skaneerige ühiste failiallkirjade sihtfail (id)
-R, --raw = Skannige määratud baitide jada sihtfail (id)
-A, --opcodes Skannige sihtfaili (faile) ühiste käivitatavate opcode-allkirjade jaoks
-m, --magic = Määrake kasutatav kohandatud maagifail
-b, --dumb Keela nutika allkirja märksõnad
-I, --valvalid Kehtetuks märgitud tulemused
-x, --exclude = Välista sobivad tulemused
-y, --include = Näita ainult vastavaid tulemusi
Ekstraheerimisvalikud:
-e, --extract Ekstraheerib tuntud failitüübid automaatselt
-D, --dd = Eemaldage allkirjad, andke failidele laiend ja käivitage
-M, --matryoshka Skannib rekursiivselt väljavõetud faile
-d, --depth = Matrjoška rekursiooni sügavuse piiramine (vaikimisi: 8 taset sügav)
-C, --directory = Failide / kaustade ekstraktimine kohandatud kataloogi (vaikimisi: praegune töökataloog)
-j, --size = Piirake iga eraldatud faili suurust
-n, --count = Piirake eraldatud failide arvu
-r, --rm Kustuta nikerdatud failid pärast ekstraheerimist
-z, --carve Nikerdage failidest andmed, kuid ärge käivitage ekstraktimisutiliite
Entroopia analüüsi valikud:
-E, --entropy Arvuta faili entroopia
-F, --fast Kasutage entroopia analüüsi kiiremini, kuid vähem üksikasjalikult
-J, --salvesta graafik PNG-na
-Q, --legegend Jätke legend entroopia graafiku graafikust välja
-N, --nplot Ärge genereerige entroopia graafiku graafikut
-H, --high = Määra tõusva serva entroopia käivitamise künnis (vaikimisi: 0.95)
-L, --low = Määra langeva serva entroopia käivituslävi (vaikimisi: 0.85)
Binaarse diferentseerimise valikud:
-W, --hexdump Tehke faili või failide hexdump / diff
-G, --green kuvatakse ainult read, mis sisaldavad kõigi failide seas ühesuguseid baite
-i, --red Näidavad ainult ridu, mis sisaldavad kõigi failide erinevaid baite
-U, --blue Näita ainult ridu, mis sisaldavad baite, mis on mõne faili puhul erinevad
-w, --terse Kõigi failide diferentseerimine, kuid kuvatakse ainult esimese faili hex-dump
Toores tihendamise valikud:
-X, --deflate Toore deflate-tihendusvoo otsimine
-Z, --lzma Toore LZMA tihendusvoo otsimine
-P, --partial Tehke pindmine, kuid kiirem skannimine
-S, --peatus pärast esimest tulemust
Üldised valikud:
-l, --length = skaneeritavate baitide arv
-o, --offset = Alusta skannimist selle faili nihkega
-O, --base = Lisage kõigile prinditud nihkedele põhiaadress
-K, --block = Määra failiploki suurus
-g, --swap = Enne skannimist pöörake iga n-bait tagasi
-f, --log = Logi tulemused faili
-c, --csv Logi tulemused CSV-vormingus faili
-t, --term Formateeri väljund terminaliaknasse sobivaks
-q, --quiet Tühjenda väljund standardile
-v, --verbose Lubab paljusõnalise väljundi
-h, --help Kuva abi väljund
-a, --finclude = Skannige ainult neid faile, mille nimed vastavad sellele regexile
-p, --fexclude = Ärge skannige faile, mille nimed vastavad sellele regexile
-s, --status = Olekuserveri lubamine määratud pordis

Andmete taastamine vormindatud ketastelt

Andmete taastamise tööriistad tuleks vormindatud ketastelt, USB-mälupulgalt ja mälukaartidelt teabe taastamiseks hoolikalt valida. Erinevate tegevuste lõpuleviimiseks mõeldud tööriistad võivad anda ootamatuid tulemusi. Allpool vaatleme mõningaid erinevusi erinevate andmete taastamise tööriistade vahel andmete parandamiseks vormindatud draivides.

Vormindamata

Esimene saatuslik viga, mida paljud arvutikasutajad oma draivide kogemata vormindamisel teevad, on vormindamata tööriistade leidmine, installimine ja kasutamine. Neid tööriistu on turul palju; mõned on kaubanduslikud ja teised on tasuta kaubad. Nende tööriistade eesmärk on eelvormindatud ketta taastamine või uuesti loomine, taastades failisüsteemi.

Kuigi see võib tunduda elujõulise lähenemisena kogenematule, võib see lõpuks olla suurem viga kui failide kaotamine. Ketta vormindamine loputab algse failisüsteemi, asendades selle vähemalt osaliselt, tavaliselt alguses. Kui proovite oma vana failisüsteemi taastada, on parim, mida saate, ketta, mis on mõne teie failiga loetav. Kõike ei saa taastada täpselt nii, nagu see oli sel viisil, ja kõige kallimad failid võivad olla ohustatud, kettal on ainult juhuslikud näidised algsetest failidest. Kui mõtlete süsteemidraivi vormindamisele, unustage see; vähemalt mõned süsteemifailid kaovad. Isegi kui saate operatsioonisüsteemi käivitada, ei saa te kunagi stabiilset süsteemi.

Kustuta

Teine viga, mida paljud arvutikasutajad teevad, on taastetööriistade kasutamine. Kuigi need tööriistad on olemas ja kipuvad oma tööd tegema heauskselt, ei ole need mõeldud välistatud failisüsteemiga ketaste käsitsemiseks. Isegi mõnede parimate taastamistööriistade, näiteks RS-failide taastamise abil saate kustutada mitu faili, kuid see on ka kõik.

Partitsiooni taastamine

Failide taastamiseks peaksite otsima sektsiooni taastamise tööriista nagu RS partitsioonide taastamine. See tööriist on loodud laialijagatud, vormindatud ja kahjustatud ketaste käitlemiseks. See tööriist suudab skannida kogu ketta või sektsiooni pinna, et taastada kõik võimalik. Isegi kui failisüsteem on tühi või kustutatud, saab see tööriist allkirjafunktsiooni abil taastada mitut tüüpi faile, nagu dokumendid, pildid ja videod. Ehkki segmenteeritud taastetööriistad on andmete taastamiseks tipptasemel, on need tavaliselt üsna kallid. Kui soovite taastada ainult vormindatud ketta, võib olla kasulik selle asemel otsida ja salvestada.

FAT ja NTFS taastamine

Valides tööriista, mis taastab ainult FAT- või NTFS-vormingus kettad, saate säästa kuni 40% partitsiooni RS taastamise kuludest. Pidage meeles, et peate ostma tööriista, mis sobib algsele failisüsteemile, mitte ülaltoodule. Kui algne draiv on NTFS, hankige NTFS Recovery RS. Kui see on FAT või FAT32, hankige FAT Recovery RS. Nii saate sama kvaliteediga tööriistu, kuid piirdute FAT või NTFS vormindusega. See on ideaalne valik ainulaadse töö jaoks.

Failide nikerdamine (tööriista abil)

PhotoRec on vinge tarkvara, mida kasutatakse failide ja eriti JPEG- või pildifailide nikerdamiseks (sellepärast nimetatakse seda ka fotode taastamiseks). PhotoRec vaatab dokumendiraamistikku ja jälgib põhiteavet, nii et see töötab sõltumata sellest, kas teie meedia dokumendiraamistikku on tõsiselt kahjustatud või ümber vormindatud. Photorec on Windowsi opsüsteemides hõlpsasti juurdepääsetav.

Näiteks taastame selle tööriista abil 8-GB mälupulgalt pildifailid.

Kõigepealt käivitage PhotoRec.exe fail ja käivitage rakendus. Näeme sellist ekraani:

Siin on kõik vaheseinad kuvatud. Valime välja / K kui meie soovitud sihtmärk, kust andmeid taastada.

Näeme, millist failisüsteemi see partitsioon kasutab, ja allpool on neli võimalust.

Otsing - See otsib failide hoidmiseks partitsiooni taastamiseks.
Valikud - Kasutatakse valikute väiksemate muudatuste jaoks.
Faili valik - Kasutatakse taastatavate failitüüpide muutmiseks.
Lõpeta - Väljub protsessist.

Valime välja Faili valik (Failivalikud):

See annab meile võimalused soovitud sektsioonist taastatavate failide valimiseks. Vajutamine S tühistab kõik valikud. Valime välja JPG pildid, kuna tahame ainult draivist pildifailid taastada. Järgmisena vajutame B.

Valimiseks Failisüsteem, minge tagasi põhivalikute juurde ja valige Muu. Taastamisvõimaluste osas on meil kaks valikut:

• taastuda kogu partitsioon
• taastumine ainult eraldamata ruum (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3 jne.). Selle suvandi abil taastatakse ainult kustutatud failid.

Nüüd peame vaid määrama kustutatud failide taastamise koha. Pärast seda algab taastamisprotsess ja lõpeb pärast mõne aja möödumist.  Seejärel otsime taastatud failid määratud asukohast. Taastatud pildifailid on seal.

Järeldus

Viil nikerdamine on tuntud kohtuekspertiisi termin, mis kirjeldab failitüüpide tuvastamist ja nende eemaldamist allumatutest klastritest failiallkirjade abil. Faili allkiri, mida nimetatakse ka maagia numbriks, on arvuline või püsiv tekstiväärtus, mida kasutatakse failivormingu tuvastamiseks. Ekstraheerimine failide või andmete kasutamine on kohtuekspertiisi valdkonnas kasutatav termin. Arvutiga kohtuekspertiis on arvutisüsteemis, arvutivõrgus või muus digitaalses meediumis sisalduvate tõendite hankimine, kontrollimine, analüüsimine ja dokumenteerimine. Tähenduslike andmete eraldamist algandmetest nimetatakse nikerdus.

Failikujundus on failianalüüsil põhinev failide tuvastamine ja taastamine. Kohtuekspertiisi andmetel on kujundamine kasulik viis peidetud või kustutatud failide leidmiseks digitaalsest meediumist. Faile saab peita sellistes kohtades nagu kadunud klastrid, jaotamata klastrid ning plaatide või digitaalse meedia esitamine. Selle ekstraktimismeetodi kasutamiseks peab failil olema tavaline allkiri, mida nimetatakse a faili päis, faili alguses. Faili päise saamiseks jätkab taastamistööriist päringuid, kuni see jõuab faili jalusesse faili lõpus. Päise ja jaluse vahelised andmed ekstraheeritakse ja analüüsitakse terviklikkuse tagamiseks. Selle algoritmides kasutatakse olenevalt failitüübist mitmeid skulptuurimeetodeid.

Kaasaegsed operatsioonisüsteemid ei kustuta kustutatud faile täielikult ilma kasutaja loata. Kustutatud faile saab taastada erinevate kohtuekspertiisi tööriistade ja taktikate abil, kui kustutatud faile ei lisata mõnda teise faili. Kahjustatud faile saab taastada, kui andmeid ei kahjustata tundmatuseni.

Failide taastamisel ja nikerdamisel on palju erinevusi. Failide taastamine kasutab failisüsteemist saadud teavet; selle teabe abil saab taastada mitu faili. Kui teave on vale, siis see ei toimi. Failide nikerdamise ilmnemisega on õiguskaitse, tehnoloogia spetsialistid ja kohtuekspertiisi spetsialistid leidnud veel ühe tööriista, mida saab kasutada kustutatud andmete taastamiseks. Kuigi see pole alati täiuslik ja rafineeritud, meeldivad tööriistad Eelkõige skalpell, ja Photorec on teinud failide taastamise lihtsamaks kui kunagi varem.