Streszczenie
Praca inżynierska skupia się na analizie i ocenie skuteczności narzędzi do odzyskiwania
danych w różnych systemach plików oraz w zróżnicowanych scenariuszach. W badaniach
wykorzystano systemy plików FAT32, NTFS i EXT4, które różnią się sposobem zarządzania
danymi, oraz przeprowadzono testy na nośnikach pamięci USB oraz dysku SSD. Dodatkowo
uwzględniono próby odzyskiwania danych z partycji zaszyfrowanych za pomocą BitLockera,
co pozwoliło ocenić wpływ szyfrowania na skuteczność procesu odzyskiwania.
Eksperymenty obejmowały scenariusze takie jak odzyskiwanie plików po usunięciu,
fragmentacji, nadpisaniu, szybkim formatowaniu oraz pełnym formatowaniu. W pracy
porównano efektywność kilku narzędzi, w tym DMDE, PhotoRec, TestDisk, Foremost, Recuva
i R-Studio, analizując ich zdolność do odtwarzania plików oraz eliminowania wyników
fałszywie pozytywnych. W przypadku zaszyfrowanych dysków wykazano, że narzędzia mogły
odzyskać jedynie pliki systemowe i pomocnicze, co wynikało z ograniczonego dostępu
do danych zaszyfrowanych.
Wyniki badań potwierdziły, że skuteczność odzyskiwania danych jest silnie uzależniona od
używanego systemu plików oraz rodzaju narzędzi. System NTFS, dzięki zaawansowanej
obsłudze metadanych, wypadł najlepiej w większości scenariuszy. FAT32, choć prostszy
w analizie, okazał się najbardziej podatny na fragmentację. System EXT4, z bardziej złożonym
dziennikowaniem, był trudniejszy do analizy przez prostsze narzędzia.
Abstract
The engineering thesis focuses on the analysis and evaluation of the effectiveness of data
recovery tools in various file systems and scenarios. The study utilized FAT32, NTFS,
and EXT4 file systems, which differ in their data management methods, and tests were
conducted on USB storage devices and an SSD. Additionally, attempts to recover data from
BitLocker-encrypted partitions were included, allowing for an assessment of the impact
of encryption on the recovery process.
The experiments covered scenarios such as recovering files after deletion, fragmentation,
overwriting, quick formatting, and full formatting. The thesis compared the efficiency
of several tools, including DMDE, PhotoRec, TestDisk, Foremost, Recuva, and R-Studio,
analyzing their ability to restore files and eliminate false-positive results. For encrypted disks,
it was demonstrated that the tools could only recover system and auxiliary files, which is due
to limited access to encrypted data.
The study results confirmed that the effectiveness of data recovery is strongly dependent
on the file system used and the type of tools applied. NTFS, with its advanced metadata
handling, performed the best in most scenarios. FAT32, although simpler to analyze, proved
to be the most susceptible to fragmentation. EXT4, with its more complex journaling
mechanism, was more challenging for simpler tools to analyze.
Lista skrótów i definicji.
7z 7-Zip Archive – format kompresji plików
ACL Access Control List – lista kontroli dostępu
ADS Alternate Data Streams – alternatywne strumienie danych
APFS Apple File System – system plików dla macOS
CD Compact Disc – dysk optyczny
CSV Comma-Separated Values – plik wartości oddzielonych przecinkami
DOCX Microsoft Word Open XML Document – format dokumentu tekstowego
DVD Digital Versatile Disc – cyfrowy dysk optyczny
EFS Encrypting File System – system szyfrowania plików
exFAT Extended File Allocation Table – ulepszony FAT bez ograniczeń wielkości pliku
EXT4 Fourth Extended File System – czwarty rozszerzony system plików
FAT File Allocation Table – tabela alokacji plików
GIF Graphics Interchange Format – format obrazu GIF
HDD Hard Disk Drive – dysk twardy
HFS+ Hierarchical File System Plus – starszy system plików dla macOS
JPG JPEG Image – format obrazu JPEG
MFT Master File Table – główna tabela plików
MP3 MPEG-1 or MPEG-2 Audio Layer III – format kompresji dźwięku
MP4 MPEG-4 Part 14 – format multimedialny
NTFS New Technology File System – nowoczesny system plików
PDF Portable Document Format – przenośny format dokumentu
PNG Portable Network Graphics – format obrazu PNG
PPTX Microsoft PowerPoint Open XML Presentation – format prezentacji
RAW Raw Image Format – format surowych danych
SD Secure Digital – karta pamięci SD
SSD Solid State Drive – dysk półprzewodnikowy
TRIM – polecenie zwiększające wydajność dysków SSD
TXT Plain Text – format pliku tekstowego
USB Universal Serial Bus – uniwersalna magistrala szeregowa
WAV Waveform Audio File Format – format pliku dźwiękowego
XLSX Microsoft Excel Open XML Spreadsheet – format arkusza kalkulacyjnego
ZFS Zettabyte File System – system plików do przechowywania dużych plików
ZIP ZIP Archive – skompresowany format plików
Wprowadzenie.
W dobie dynamicznego rozwoju technologii informacyjnych dane cyfrowe stały
się kluczowym zasobem zarówno w sferze prywatnej, jak i biznesowej. Każdego dnia miliardy
plików są tworzone, przetwarzane i przechowywane na różnego rodzaju nośnikach danych,
takich jak dyski twarde, SSD, pamięci USB czy chmury obliczeniowe. Z uwagi
na różnorodność technologii i konfiguracji stosowanych przez użytkowników oraz
przedsiębiorstwa, scenariusze utraty danych są niezwykle zróżnicowane, a skuteczność
ich odzyskiwania zależy od wielu czynników, takich jak rodzaj nośnika, system plików, poziom
szyfrowania czy natura samego problemu.
Wśród głównych wyzwań związanych z przechowywaniem danych kluczową rolę odgrywa
szyfrowanie, które zapewnia ich bezpieczeństwo przed nieautoryzowanym dostępem.
Niemniej jednak, w przypadku utraty zaszyfrowanych danych, ich odzyskanie jest uzależnione
od dostępu do klucza szyfrującego. Nawet najbardziej zaawansowane narzędzia nie są w stanie
przywrócić danych, jeśli klucz został nadpisany lub utracony, co czyni odzyskiwanie takich
informacji szczególnie trudnym.
Znacznie większym problemem niż przypadkowe usunięcie plików jest ich całkowita utrata
spowodowana uszkodzeniem nośnika, błędami logicznymi w systemie plików lub awariami
sprzętowymi. Jak wskazują źródła [Kaleron, SecurityMagazine], dyski twarde są szczególnie
narażone na mechaniczne awarie głowicy czy talerzy, natomiast dyski SSD mogą ulec
degradacji z powodu wyczerpania cykli zapisu i odczytu. Dodatkowo, nośniki takie jak pamięci
USB czy karty SD są podatne na uszkodzenia wynikające z niewłaściwego użytkowania,
np. nagłego odłączenia od urządzenia. Tego typu problemy często prowadzą do całkowitego
braku dostępu do danych i wymagają zaawansowanych technik odzyskiwania.
W kontekście przedsiębiorstw największe ryzyko wiąże się z konsekwencjami utraty
danych, które mogą objąć nie tylko przestoje operacyjne, ale również utratę reputacji, kary
finansowe czy naruszenia zgodności z regulacjami prawnymi. Dlatego też priorytetem jest
nie tylko zapobieganie takim sytuacjom poprzez odpowiednie strategie tworzenia kopii
zapasowych, ale również skuteczne narzędzia i metody odzyskiwania danych w przypadku ich
utraty.
Częstym problemem związanym z brakiem możliwości pełnego odzyskania danych jest
uszkodzenie samego nośnika. Każde urządzenie przechowujące dane może zostać uszkodzone
na różne sposoby.
Dyski twarde mogą doznać zarówno uszkodzeń mechanicznych,
jak i elektronicznych. Częściami podatnymi na uszkodzenia są głowica – dane mogą nie być
w prawidłowy sposób odczytywane i zapisywane, talerze, silnik obrotowy oraz elektronika,
która odpowiada za komunikację dysku z komputerem. W przypadku dysków SSD istnieje
możliwość wyczerpania wszystkich cykli zapisu i odczytu, a komórki pamięci z czasem ulegają
degradacji. Jednocześnie problematyczne stają się również awarie oprogramowania
układowego (firmware). Firmware odpowiada za zarządzanie komórkami pamięci,
komunikację z komputerem oraz realizację funkcji takich jak TRIM.
Karty pamięci oraz pamięci USB są dodatkowo podatne na nieprawidłowe korzystanie
z nich przez użytkownika, takie jak nagłe odłączenie od urządzenia, co może powodować
nie tylko problemy z danymi, ale również ze strukturą systemów plików.
Poza fizycznymi uszkodzeniami nośników danych istotne są również awarie logiczne, które
mogą skutkować utratą dostępu do danych, mimo że same nośniki są fizycznie sprawne.
Awarie logiczne obejmują problemy z systemem plików, błędy oprogramowania, usunięcie
lub nadpisanie plików oraz uszkodzenie struktury danych, które mogą uniemożliwić dostęp do ważnych informacji. W takich przypadkach odzyskiwanie danych wymaga narzędzi
i technik dostosowanych do naprawy lub rekonstrukcji logicznej struktury nośnika,
aby przywrócić dostęp do danych bez fizycznej ingerencji w sprzęt.
Cel pracy.
Celem pracy jest analiza i ocena skuteczności narzędzi do odzyskiwania usuniętych danych
z różnych systemów plików. Badany zostanie również wpływ szyfrowania na wynik procesu
odzyskiwania. Dostępne narzędzia mogą rożnić się swoją skutecznością w zależności
od użytego dysku lub nośnika przenośnego, potencjalnie od używanego systemu plików oraz
od formatu plików, które chcemy odzyskać. Przeanalizowany zostanie również wpływ
szyfrowania sprzętowego oraz programowego na uzyskane wyniki.
Celem eksperymentów jest:
• ocena skuteczności narzędzi do odzyskiwania plików w różnych scenariuszach,
• porównanie dostępnych narzędzi pod kątem ich efektywności i uniwersalności,
• badanie wpływu szyfrowania i identyfikacja wprowadzonych przez to ograniczeń.
Wyniki mogą być szczególnie przydatne dla użytkowników indywidualnych, którzy chcą
zrozumieć jak zwiększyć swoje szanse na prawidłowe odzyskanie usuniętych bądź utraconych
plików.
Zakres pracy.
Zakres pracy obejmuje analizę i ocenę różnych narzędzi do odzyskiwania plików
w zależności od typu nośnika, systemu plików i formatów plików. Zawarte zostanie również
porównanie wszystkich wyników testów. W pracy zostaną uwzględnione takie elementy jak:
1. Typy nośników:
• dyski twarde HDD,
• dyski SSD,
• nośniki przenośne pamięci USB.
2. Systemy plików:
• FAT 32,
• NTFS,
• EXT4.
3. Szyfrowanie danych:
• szyfrowanie programowe – BitLocker,
• szyfrowanie sprzętowe (np. nośnik pamięci USB).
4. Narzędzia do odzyskiwania danych:
• narzędzia open-source oraz inne dostępne w Internecie (DMDE, PhotoRec, Foremost,
TestDisk, Recuva, Disk Drill),
• analiza funkcjonalności narzędzi.
5. Scenariusze testowe:
• odzyskiwanie danych po ich teoretycznie przypadkowym usunięciu,
• odzyskiwanie danych pofragmentowanych,
• próba odzyskania nadpisanych plików,
• sprawdzenie skuteczności szybkiego formatowania nośnika,
• próby odzyskiwania danych zaszyfrowanych.
Wstęp teoretyczny.
W tym rozdziale zostały omówione fundamentalne aspekty związane z nośnikami danych, ich utratą, szyfrowaniem danych oraz opisane zostały programy służące do ich odzyskiwania, które będą użyte w dalszych etapach pracy.
Podstawowe pojęcia związane z danymi i ich przechowywaniem.
Definicja danych cyfrowych.
Dane cyfrowe możemy określić jako informacje zapisane w postaci bitów (zer i jedynek). Same w sobie pliki składają się z ciągu bajtów, które są odpowiednio uporządkowane i zapisane na nośniku zgodnie z systemem plików jakim dany nośnik się posługuje. Bity, z których składają się dane są przechowywane i przetwarzane na nośnikach cyfrowych, komputerach i innych urządzeniach elektronicznych, mogą być przesyłane i mają możliwość reprezentowania dowolnej formy informacji w postaci liczbowej. Głównymi formatami danych są dane liczbowe, tekstowe (dokumenty, wiadomości, wpisy w bazach danych), multimedialne (obrazy, filmy, pliki dźwiękowe), strukturalne (bazy danych). Same w sobie dane jednak nie są równoznaczne z pojęciem informacji i mogą nie mieć wartości bez ich analizy.
Nośniki danych.
Nośniki danych różnią się między sobą między innymi sposobem zapisu danych, pojemnością, technologią zapisu oraz tym do czego dany nośnik ma służyć użytkownikowi. Najczęściej używane nośniki to: (...)
Systemy plików.
Systemy plików możemy podzielić względem różnych kryteriów, między innymi względem kompatybilności z systemami operacyjnymi. Poniżej opisane zostały systemy dla trzech najczęściej używanych systemów.(...)
Mechanizmy utraty danych.
Przypadkowe usunięcie.
Przypadek, w którym dane zostały usunięte przez użytkownika przez przypadek jest jednym z najczęstszych powodów potrzeby ich odzyskania, a jednocześnie wydaje się być optymalnym scenariuszem. W rzeczywistości pliki nie są usuwane z nośnika, a jedynie miejsce, w którym się znajdowały zostaje określone jako gotowe do nadpisania. Dopóki nie dojdzie do nadpisania danych w tych miejscach na dysku, utracone pliki można z łatwością odzyskać korzystając z przeznaczonych do tego celu programów, szczególnie na dyskach magnetycznych. Dyski SSD dodają pewne utrudnienia, które mogą usprawnić nadpisanie usuniętych segmentów. Mowa tu o mechanizmach o nazwach Garbage Collection oraz TRIM. Te mechanizmy są przydatne na dyskach typu SSD przez ich ograniczenia dotyczące liczby cykli zapisu i użycie pamięci flash. Mechanizm Garbage Collection działa w tle i identyfikuje bloki, które zawierają "nieaktualne" lub usunięte dane, a następnie "oczyszcza" te bloki, robiąc miejsce na nowe dane. Ponieważ pamięć flash nie może bezpośrednio nadpisywać starych danych, cała zawartość bloku musi zostać skopiowana do innego miejsca, a następnie blok zostaje wyczyszczony, aby mógł być ponownie użyty. Polecenie TRIM współpracuje z Garbage Collection i wysyła informację do SSD, aby wskazać, które bloki danych są nieużywane i mogą zostać bezpiecznie usunięte. Dzięki temu dysk SSD może od razu zacząć proces czyszczenia tych bloków.
Uszkodzenie nośników.
Uszkodzenia nośników danych mogą znacznie utrudnić lub wręcz uniemożliwić odzyskanie plików. Każdy typ nośnika charakteryzuje się inną podatnością na awarie, co wynika z ich budowy i technologii zapisu. (...)
Złośliwe oprogramowanie i ataki.
Największym wyzwaniem może być próba odzyskania danych po coraz częstszej przyczynie ich utraty jaką jest atak. Atakiem bezpośrednio związanym z utratą dostępu do danych jest ransomware. Nawet w sytuacji opłacenia zażądanego okupu nie ma gwarancji odzyskania danych. Warto jednak zwrócić uwagę, że nie wszystkie ataki ograniczają się do szyfrowania danych – niektóre z nich mają na celu ich trwałe zniszczenie poprzez nadpisywanie zawartości plików, co uniemożliwia ich odzyskanie.
Szyfrowanie danych.
Wprowadzenie do szyfrowania.
Szyfrowanie to proces przekształcania danych w formę nieczytelną dla osób nieuprawnionych, zapewniając ich poufność i bezpieczeństwo. Dane w formie jawnej (tekst jawny) są przekształcane w tekst zaszyfrowany, który można odczytać jedynie przy użyciu właściwego klucza. Szyfrowanie jest podstawą ochrony informacji w systemach komputerowych, komunikacji i przechowywaniu danych.
Advanced Encryption Standard (AES).
AES został opracowany przez Joana Daemena i Vincenta Rijmena i zatwierdzony przez Narodowy Instytut Standaryzacji i Technologii (NIST) w 2001 roku jako standard szyfrowania danych. Jest algorytmem symetrycznym, co oznacza, że ten sam klucz jest używany zarówno do szyfrowania, jak i deszyfrowania danych.(...)
Proces szyfrowania w AES.
AES wykonuje operacje szyfrowania na danych zorganizowanych w postaci macierzy 4x4 bajtów (128 bitów). Proces szyfrowania dzieli się na kilka kluczowych etapów, powtarzanych w ramach każdej rundy.(...)
Generowanie kluczy rundowych.
AES wykorzystuje algorytm ekspansji klucza (key schedule), który przekształca klucz główny w zestaw kluczy rundowych:(...)
Bezpieczeństwo AES.
Odporność na ataki – AES został zaprojektowany tak, aby być odpornym na ataki kryptograficzne, takie jak ataki różnicowe, liniowe czy brute-force.(...)
Implementacja AES.
Algorytm AES może być implementowany zarówno w formie oprogramowania, jak i dedykowanego sprzętu. W przypadku implementacji programowej, szyfrowanie realizowane jest za pomocą procesorów komputerowych lub urządzeń mobilnych. Takie podejście oferuje dużą elastyczność, umożliwiając łatwą aktualizację i dostosowanie algorytmu do specyficznych potrzeb użytkownika. Implementacja sprzętowa polega na wykorzystaniu dedykowanych układów kryptograficznych, takich jak moduły TPM (Trusted Platform Module) czy procesory szyfrujące. Rozwiązanie to zapewnia wyższą wydajność operacji szyfrowania oraz większe bezpieczeństwo, ponieważ procesy kryptograficzne są realizowane w odizolowanych, specjalizowanych układach, co ogranicza ryzyko ataków na poziomie systemowym.
Zastosowania AES.
AES jest powszechnie używany w:
• Szyfrowaniu transmisji internetowej (np. SSL/TLS).
• Zabezpieczaniu sieci Wi-Fi (WPA2, WPA3).
• Szyfrowaniu plików i danych na nośnikach (np. BitLocker).
• Ochronie danych w chmurze.
Analiza i opis użytego oprogramowania.
W części projektowej pracy zostaną wykorzystane narzędzia open-source oraz inne ogólnodostępne. W procesie odzyskiwania danych kluczowe znaczenie ma dobór odpowiednich narzędzi, które umożliwią skuteczne przywracanie informacji z usuniętych lub uszkodzonych nośników. W niniejszym rozdziale zostaną szczegółowo opisane programy wykorzystane w eksperymentach, ich funkcjonalności oraz sposób, w jaki przyczyniają się do osiągnięcia pożądanych rezultatów.
DMDE
Program należy do grona najbardziej skutecznych i niezawodnych narzędzi tego typu, umożliwia użytkownikom skanowanie, analizę i przywracanie danych z różnorodnych nośników w wielu kryzysowych sytuacjach.(...)
TestDisk i PhotoRec.
TestDisk to darmowe narzędzie do odzyskiwania partycji i naprawy systemów plików, jest popularne w środowisku odzyskiwania danych. Opracowany przez Christophe Greniera. TestDisk jest ceniony za swoją skuteczność w odzyskiwaniu utraconych partycji, przywracaniu sektorów startowych i naprawianiu systemów plików.(...)
Foremost.
Foremost to darmowe, open-source’owe narzędzie do odzyskiwania danych, które początkowo zostało opracowane przez amerykańskie siły powietrzne oraz Narodowy Instytut Wymiaru Sprawiedliwości (NIJ) do celów kryminalistycznych i śledczych. Program działa w trybie tekstowym i również specjalizuje się w odzyskiwaniu danych poprzez wyszukiwanie sygnatur plików.(...)
Recuva.
Recuva to popularne narzędzie do odzyskiwania danych, stworzone przez firmę Piriform (obecnie należącą do firmy Avast). Recuva działa na systemie operacyjnym Windows i jest dostępna w wersji darmowej oraz płatnej.(...)
R-Studio.
R-Studio to zaawansowane komercyjne oprogramowanie do odzyskiwania danych, zaprojektowane z myślą o kompleksowym odzyskiwaniu danych w różnych scenariuszach.(...)
HxD.
HxD to zaawansowany edytor heksadecymalny przeznaczony do analizy i edycji danych zapisanych na dyskach, w plikach oraz w pamięci RAM. Stworzony przez Maëla Hörza, program jest dostępny w wersji darmowej dla systemów Windows. (...)
BitLocker.
BitLocker to narzędzie szyfrowania pełnodyskowego opracowane przez firmę Microsoft, dostępne w systemach operacyjnych Windows w wersjach Professional, Enterprise i Education. Umożliwia ono zabezpieczenie danych przechowywanych na dyskach twardych, SSD oraz nośnikach wymiennych, takich jak pendrive’y, przed nieautoryzowanym dostępem.(...)
Założenia projektowe.
Wybór nośników danych.
W celu realizacji eksperymentów związanych z analizą i oceną skuteczności narzędzi do odzyskiwania danych wykorzystano nowy nośnik USB o pojemności 32 GB. Aby ułatwić przeprowadzenie testów, takich jak zapełnianie przestrzeni dyskowej w badaniu fragmentacji plików, na nośniku utworzona została partycja o wielkości 2 GB. Taki podział umożliwił bardziej precyzyjną kontrolę nad zapełnieniem oraz dostępnością przestrzeni podczas eksperymentów. Pendrive został sformatowany kolejno do trzech systemów plików: FAT32, NTFS i EXT4, co pozwoliło na ocenę narzędzi do odzyskiwania danych w kontekście ich skuteczności w różnorodnych środowiskach plikowych.
Założenia dotyczące systemów plików.
W przeprowadzonych eksperymentach wykorzystano trzy różne systemy plików: FAT32, NTFS oraz EXT4. Każdy z tych systemów charakteryzuje się odmienną strukturą i sposobem zarządzania danymi, co pozwoliło na zróżnicowaną analizę skuteczności narzędzi do odzyskiwania danych w różnych warunkach.
FAT32
Pierwszym testowanym systemem plików jest FAT32 (File Allocation Table 32). Jest to system plików opracowany przez firmę Microsoft, który zyskał popularność szczególnie na przenośnych nośnikach danych, takich jak pendrive’y, karty pamięci czy dyski zewnętrzne. Ze względu na swoją prostotę i szeroką kompatybilność z różnymi systemami operacyjnymi, FAT32 jest szeroko stosowany w urządzeniach przenośnych i multimedialnych, takich jak telewizory, konsole do gier oraz kamery. Mimo licznych zalet, system ten ma także ograniczenia, które sprawiają, że jest mniej odpowiedni do bardziej zaawansowanych zastosowań.(...)
NTFS
NTFS (New Technology File System) to kolejny testowany system plików stworzony przez firmę Microsoft, wprowadzony z systemem operacyjnym Windows NT, który stopniowo zastąpił starszy system FAT i obecnie jest domyślnym systemem plików w systemach Windows. NTFS wyróżnia się elastycznością, wydajnością oraz wysokim poziomem zabezpieczeń, co sprawia, że jest szeroko stosowany na dyskach twardych, SSD oraz innych nośnikach, które wymagają niezawodnego zarządzania dużymi wolumenami danych.(...)
Ext4
Ostatnim testowanym systemem jest EXT4 (Fourth Extended Filesystem), używany głównie w systemach Linux, będący następcą EXT3. Zapewnia wysoką wydajność, skalowalność i niezawodność, dzięki czemu jest często wybierany do przechowywania danych na różnych nośnikach – od dysków twardych po nowoczesne dyski SSD. EXT4, zaprojektowany z myślą o pracy z dużymi wolumenami, pozwala na tworzenie partycji o rozmiarze do 1 EB (eksabajta) i plików o maksymalnym rozmiarze 16 TB, co czyni go elastycznym i odpornym na ograniczenia związane z wielkością plików.(...)
ZFS
ZFS to system plików opracowany przez Sun Microsystems, który łączy funkcje systemu plików i menedżera wolumenów. Dzięki swojej skalowalności i niezawodności jest szeroko stosowany w serwerach i systemach przechowywania danych. Obsługuje ogromne wolumeny, co czyni go odpowiednim rozwiązaniem do przechowywania dużych obrazów dysków o rozmiarze terabajtów.(...)
Przeprowadzenie eksperymentów.
Środowisko testowe.
W środowisku testowym do eksperymentów wykorzystano pendrive o pojemności 32 GB, jednak w celu uproszczenia przeprowadzanych testów oraz uzyskania większej kontroli nad przestrzenią dyskową, używana była jedynie partycja o wielkości 2 GB. W folderze testowym znajdowało się łącznie 39 plików różnych typów, które były odzyskiwane w trakcie testów dla każdego systemu plików i każdego scenariusza. Testowy zestaw plików obejmował: 5 plików JPG, 3 PNG, 3 GIF, 2 MP3, 2 MP4, 2 WAV, 3 DOCX, 3 PDF, 3 CSV, 3 XLSX, 3 TXT, 3 PPTX, 2 ZIP i 2 7z. Pliki te zostały umieszczone w strukturze folderów widocznej na rysunku 7. Cały folder miał rozmiar 90,5 MB.(...)
FAT32
Usuwanie plików.
W tym doświadczeniu pliki zostały najpierw skopiowane z komputera na pendrive sformatowany w systemie plików FAT32 za pomocą polecenia terminalowego: cp -rp /ścieżka/do/folderu_testowego /ścieżka/do/nośnika (...)
Częściowe nadpisanie plików.
W tym doświadczeniu pliki zostały skopiowane na nośnik i usunięte w taki sam sposób jak w poprzednim eksperymencie, za pomocą poleceń terminalowych. Po usunięciu plików na nośniku zapisano nowy plik tekstowy o rozmiarze 40 MB. Plik został pobrany ze strony https://examplefile.com i umieszczony na pendrive’ie. Działanie to miało na celu częściowe nadpisanie przestrzeni zajmowanej wcześniej przez usunięty folder testowy. (...)
Fragmentacja plików.
Aby doprowadzić do fragmentacji plików znajdujących się w folderze testowym, na przygotowanej partycji o rozmiarze 2 GB wykonano następujące kroki:(...)
Szybkie formatowanie nośnika w systemie Windows.
W ramach badań po skopiowaniu na nośnik testowego folderu z plikami przeprowadzono formatowanie pendrive’a w systemie Windows, aby zbadać wpływ szybkiego formatowania na możliwość odzyskiwania danych. Pendrive o pojemności 32 GB został podłączony do portu USB komputera z systemem operacyjnym Windows 10. Po podłączeniu otwarto Eksplorator plików, klikając ikonę „Ten komputer” znajdującą się na pulpicie lub w menu Start. (...)
NTFS
Usuwanie plików.
W ramach tego badania pendrive został sformatowany do systemu plików NTFS,
a następnie na nośnik skopiowano folder testowy. Proces kopiowania przeprowadzono przy
użyciu polecenia Robocopy w wierszu poleceń systemu Windows (cmd). Wykorzystano
następujące polecenie:
Robocopy „C:\ścieżka\do\folderu_testowego” „E:\ścieżka\do\pendrive” /E /COPYALL (...)
Częściowe nadpisanie plików.
W tym eksperymencie powtórzono wszystkie kroki opisane w poprzednim punkcie (3.3.1), tj. pendrive został sformatowany do systemu plików NTFS, folder testowy skopiowano za pomocą polecenia Robocopy, a następnie cały folder został usunięty za pomocą kombinacji klawiszy SHIFT + DELETE.(...)
Fragmentacja plików.
Proces fragmentacji plików w systemie plików NTFS przebiegał w sposób analogiczny
do przypadku opisanego dla systemu FAT32. Folder testowy ponownie został skopiowany
na nośnik przy użyciu polecenia Robocopy, aby zachować strukturę katalogów oraz metadane.
Poziom fragmentacji plików znajdujących się w folderze testowym został sprawdzony
w systemie Kali Linux za pomocą polecenia:
find /media/kali/USB/test\ 1 -type f -exec filefrag {} \;.
Szybkie formatowanie nośnika w systemie Windows.
Eksperyment przeprowadzono analogicznie do szybkiego formatowania nośnika dla systemu FAT32. Pendrive został sformatowany w systemie NTFS przy użyciu opcji „Szybkie formatowanie” w systemie Windows. Szczegóły procesu opisano w sekcji 3.2.5 dla systemu FAT32.
Zwykłe formatowanie w systemie Windows.
Dla pełnego formatowania w systemie NTFS wykonano te same kroki co przy szybkich formatach opisanych w sekcji 3.2.5, jednak odznaczono opcję „Szybkie formatowanie” w oknie dialogowym formatowania. Pełne formatowanie oznacza, że wszystkie sektory na nośniku zostały sprawdzone pod kątem błędów, co znacząco wydłużyło czas operacji w porównaniu z szybkim formatowaniem.
EXT4
Usuwanie plików.
Aby przygotować pendrive do odzyskiwania plików, został on sformatowany do systemu plików EXT4. Proces ten wymagał odmontowania nośnika, sformatowania go poleceniem mkfs.ext4 i ponownego zamontowania.(...)
Częściowe nadpisanie plików.
Proces częściowego nadpisania plików był przeprowadzony analogicznie jak dla systemu plików FAT32. Po usunięciu folderu testowego, na nośnik został zapisany plik tekstowy o rozmiarze 40 MB, co spowodowało nadpisanie części danych. Operację zweryfikowano za pomocą programu HxD, który pozwolił na analizę zmodyfikowanych bloków danych.
Fragmentacja plików.
W celu zbadania wpływu fragmentacji na proces odzyskiwania danych w systemie plików EXT4, przeprowadzono eksperyment, w którym celowo wprowadzono fragmentację do pięciu plików znajdujących się na nośniku. Spośród tych plików, dwa pliki graficzne w formacie JPG – butterfly.jpg oraz landscape.jpg – zostały fragmentowane ręcznie. Proces fragmentacji polegał na zamianie miejscami dwóch bloków danych w strukturze każdego z tych plików, co wprowadziło nieciągłość logiczną.
Szybkie formatowanie.
Szybkie formatowanie nośnika w systemie EXT4 wykonano za pomocą polecenia sudo mkfs.ext4 /dev/sdX1. To samo polecenie zostało użyte do pierwotnego formatowania nośnika. mkfs.ext4 nadpisuje struktury metadanych systemu plików, ale nie usuwa danych fizycznie zapisanych na dysku, dzięki czemu mogą one być możliwe do odzyskania.
Formatowanie poleceniem shred.
Narzędzie shred służy do nadpisywania danych na nośniku w celu ich trwałego usunięcia.
W przeciwieństwie do standardowego formatowania, shred nie tworzy systemu plików,
lecz nadpisuje cały nośnik określoną liczbę razy, co skutecznie uniemożliwia odzyskanie
danych. Jest to narzędzie często stosowane w celach bezpieczeństwa, aby trwale usunąć dane
z nośnika. Wykonano następujące polecenie:
sudo shred -v -n 1 /dev/sdX (...)
Odzyskiwanie plików zaszyfrowanych.
Eksperyment dotyczy próby odzyskiwania danych z dysku twardego zaszyfrowanego za pomocą technologii BitLocker, jednego z najpopularniejszych narzędzi szyfrujących dostępnych w systemach Windows. Celem doświadczenia jest zbadanie czy dane zaszyfrowane przy użyciu BitLockera mogą zostać skutecznie odzyskane po ich usunięciu lub w przypadku utraty dostępu do klucza szyfrującego.(...)
Analiza i wnioski.
Testy przeprowadzone w ramach pracy pozwoliły ocenić skuteczność narzędzi do odzyskiwania danych w różnych sytuacjach oraz na różnych systemach plików (FAT32, NTFS, EXT4). Analiza wyników uwzględniała zarówno ilość odzyskanych plików, ich integralność, jak i wpływ wybranych operacji (np. nadpisywania, fragmentacji, formatowania) na możliwość odzyskania danych.
Porównanie wyników i programów.
Tabela 2 przedstawia liczbę plików odzyskanych po ich usunięciu w różnych systemach plików (FAT32, NTFS, EXT4). Wyniki wskazują, że systemy FAT32 i NTFS umożliwiają odzyskanie większej liczby plików w porównaniu do EXT4, co wynika z prostszej struktury i większej liczby narzędzi zoptymalizowanych pod kątem tych systemów. Najlepsze narzędzia odzyskały od 100% do 82% plików w FAT32, podczas gdy dla EXT4 skuteczność spadła nawet do 51%.(...)
Wyniki niestandardowe i analiza wyników fałszywie pozytywnych.
Podczas przeprowadzania eksperymentów w niektórych przypadkach zaobserwowano wyniki niestandardowe, które odbiegały od oczekiwanych.(...)
Wyniki dla dysku zaszyfrowanego.
Analiza dysku.
W przedstawionym na rysunku 10 sektorze możemy zaobserwować charakterystyczne dane wskazujące na zaszyfrowaną partycję. Analiza ujawnia kilka kluczowych elementów, które jednoznacznie identyfikują partycję jako zaszyfrowaną przy użyciu narzędzia BitLocker.(...)
Wyniki odzyskiwania plików.
Eksperyment dotyczący odzyskiwania danych z zaszyfrowanego dysku chronionego BitLockerem wykazał, że narzędzie DMDE nie generowało wyników fałszywie pozytywnych. Odzyskane dane ograniczały się jedynie do plików systemowych i dokumentów pomocniczych, takich jak „User Guide” dostępnych w wielu wersjach językowych. Jest to zrozumiałe, ponieważ takie pliki mogą być przechowywane poza szyfrowaną partycją lub nie były pierwotnie objęte szyfrowaniem. Zjawisko to bywa związane z domyślnymi ustawieniami stosowanymi przez niektórych producentów sprzętu.(...)
Podsumowanie.
Przeprowadzone badania oraz analiza uzyskanych wyników pozwoliły na dokładne
porównanie skuteczności narzędzi do odzyskiwania danych w zróżnicowanych scenariuszach
utraty danych oraz w kontekście różnych systemów plików: FAT32, NTFS i EXT4.
Praca wykazała, że skuteczność narzędzi zależy zarówno od typu systemu plików,
jak i specyfiki scenariusza, w którym dane zostały utracone. Dodatkowo uwzględniono
odzyskiwanie danych z zaszyfrowanych nośników zabezpieczonych BitLockerem,
co pozwoliło na ocenę wpływu szyfrowania na możliwość przywrócenia plików.
W przypadku scenariuszy takich jak odzyskiwanie danych po usunięciu czy szybkim
formatowaniu, najlepsze wyniki uzyskano w systemie NTFS, który dzięki zaawansowanym
mechanizmom zarządzania metadanymi umożliwia lepsze odtworzenie danych. FAT32, mimo
swojej prostoty, wykazał się podatnością na utratę danych w sytuacjach związanych
z fragmentacją oraz częściowym nadpisaniem plików, co skutkowało niższą skutecznością
narzędzi w porównaniu do NTFS i EXT4. System EXT4, choć zaawansowany technologicznie,
okazał się trudniejszy do analizy przez proste narzędzia z uwagi na mechanizmy
dziennikowania.
Badania z zaszyfrowanymi nośnikami potwierdziły skuteczność BitLockera w ochronie
danych w przypadku braku dostępności klucza – odzyskane zostały jedynie pliki systemowe
i pomocnicze, które najczęściej nie były objęte szyfrowaniem. Wyniki te podkreślają znaczenie
szyfrowania w zabezpieczeniu danych przed nieautoryzowanym dostępem, jednocześnie
wskazując na ograniczenia w ich przywracaniu w przypadku utraty kluczy szyfrujących.
Porównanie narzędzi takich jak DMDE, PhotoRec, TestDisk, Foremost, Recuva i R-Studio
wykazało znaczące różnice w ich funkcjonalności oraz zdolności do odtwarzania danych.
Narzędzia profesjonalne, takie jak DMDE (wersja darmowa) i R-Studio (program płatny),
wykazały się znacznie wyższą skutecznością w bardziej skomplikowanych scenariuszach,
podczas gdy prostsze narzędzia, takie jak Recuva, PhotoRec czy Foremost, były skuteczne
głównie w podstawowych przypadkach.
Praca potwierdziła znaczenie odpowiedniego doboru narzędzi do specyfiki problemu oraz
konieczność zrozumienia struktury systemów plików i mechanizmów zarządzania danymi.
Zalącznik techniczny.
W załączniku technicznym przedstawiono wyniki badań nad odzyskiwaniem plików w trzech systemach plików: FAT32, NTFS oraz EXT4. Dane zostały zaprezentowane w formie tabel 2-8, z których każda została zapisana jako osobny załącznik.(...)
Bibliografia.
[1] Altheide C., Carvey H.: "Informatyka śledcza. Przewodnik po narzędziach open-source",
Helion, Gliwice.
[2] Altheide C., Carvey H.: „Digital Forensics with Open Source Tools”, Wyd. 1, Syngress,
2011.
[3] Dokumentacja programu DMDE, dostęp
online: [11 października 2024].
[4] Elektroda.pl: Wyrzucamy algorytm Gutmanna do kosza dostęp
online: [23 listopada 2024].
[5] Gruber J., Jóźwiak I.J., Kowalczyk D.: „Metody odzyskiwania i kasowania danych z
nośników magnetycznych i nośników pamięci flash”, Wydział Informatyki i
Zarządzania, Politechnika Wrocławska.
[6] Hörz M.: HxD Hex Editor, dostęp online: [17 listopada
2024].
[7] Kaleron:Awarie SSD – przyczyny, objawy i rozwiązania dostęp
online: [23 listopada 2024].
[8] National Institute of Standards and Technology: FIPS PUB 197: Advanced Encryption
Standard (AES) dostęp online: [19 listopada 2024].
[9] PC-3000 Data Extractor, dokumentacja oprogramowania do odzyskiwania danych PC-
3000.
[10] R-Studio Recovery Manual, dokumentacja oprogramowania do odzyskiwania danych
R-Studio.
[11] SecurityMagazine: Najczęstsze przyczyny awarii SSD dostęp
online: [30
listopada 2024].
[12] SecurityMagazine: Najczęściej spotykane usterki dysków twardych dostęp
online: [30 listopada 2024].
[13] SecurityMagazine: Przewagi i problemy zapisu SMR dostęp
online: [30
listopada 2024].