Korisnički alati
studenti:zad_deljkic:usporedba_file_carving_programa
Razlike
Slijede razlike između dviju inačica stranice
| Novija izmjena | Starija izmjena | ||
|
studenti:zad_deljkic:usporedba_file_carving_programa [2014/12/16 21:18] zdeljkic stvoreno |
studenti:zad_deljkic:usporedba_file_carving_programa [2023/06/19 16:21] (trenutno) |
||
|---|---|---|---|
| Redak 10: | Redak 10: | ||
| === Foremost === | === Foremost === | ||
| + | |||
| Foremost je jedan od najstarijih //file carving// programa. On koristi konfiguracijsku datoteku u kojoj su zapisani //headeri//, //footeri// i maksimalne duljine različitih vrsta datoteka pomoću kojih identificira datoteke u slobodnom prostoru diska. | Foremost je jedan od najstarijih //file carving// programa. On koristi konfiguracijsku datoteku u kojoj su zapisani //headeri//, //footeri// i maksimalne duljine različitih vrsta datoteka pomoću kojih identificira datoteke u slobodnom prostoru diska. | ||
| - | |||
| === Scalpel === | === Scalpel === | ||
| - | Scalpel je //file carving// program napravljen na temelju verzije foremosta verzije 0.69. On je često brži od foremost-a i ostalih programa no uz to donosi i veliki broj beskorisnih (//false postive//) datoteka, čime je konačna veličina njegovog izlaza često i do nekoliko redova veličine veća od izlaza drugih programa. Takvi rezultati su dobiveni jer Scalpel za svaki pronađeni //header// konstruira novu datoteku ni najmanje ne gledajući je li ona ispravna. | ||
| + | Scalpel je //file carving// program napravljen na temelju verzije foremosta verzije 0.69. On je često brži od foremost-a i ostalih programa no uz to donosi i veliki broj beskorisnih (//false postive//) datoteka, čime je konačna veličina njegovog izlaza često i do nekoliko redova veličine veća od izlaza drugih programa. Takvi rezultati su dobiveni jer Scalpel za svaki pronađeni //header// konstruira novu datoteku ni najmanje ne gledajući je li ona ispravna. | ||
| === PhotoRec === | === PhotoRec === | ||
| - | PhotoRec je //file carving// program originalno napravljen za povrat obrisanih slika, no danas podržava sve česte vrste datoteka. On koristi tehnike //carvinga// kao i foremost, no uz nešto sofisticiraniju implementaciju, tražeći više vrsta uzoraka koji uključuju i uzorke iz sredine datoteka a ne samo //headere// i //footere//. | ||
| + | PhotoRec je //file carving// program originalno napravljen za povrat obrisanih slika, no danas podržava sve česte vrste datoteka. On koristi tehnike //carvinga// kao i foremost, no uz nešto sofisticiraniju implementaciju, tražeći više vrsta uzoraka koji uključuju i uzorke iz sredine datoteka a ne samo //headere// i //footere//. | ||
| ==== Analize programa ==== | ==== Analize programa ==== | ||
| + | |||
| Dva izvora<sup>[1][2]</sup> su napravila analizu različitih //carving// programa, oba uključujući foremost, scalpel i PhotoRec. Glavna tema analize je preciznost pronađenih datoteka, no analizirano je i vrijeme potrebno za obradu slike diska i ukupna veličina izlaza. | Dva izvora<sup>[1][2]</sup> su napravila analizu različitih //carving// programa, oba uključujući foremost, scalpel i PhotoRec. Glavna tema analize je preciznost pronađenih datoteka, no analizirano je i vrijeme potrebno za obradu slike diska i ukupna veličina izlaza. | ||
| Analiza se vršila pokretanjem programa nad različitim slikama diska te provjeravanjem koliko se pronađenih datoteka poklapa sa originalnim datotekama. | Analiza se vršila pokretanjem programa nad različitim slikama diska te provjeravanjem koliko se pronađenih datoteka poklapa sa originalnim datotekama. | ||
| - | U oba izvora je PhotoRec bio na samom vrhu po preciznošću. Nije bio najbolji jedino u 1/4 slike diska u drugom izvoru<sup>[2]</sup> te u prvom izvoru<sup>[1]</sup> u analizi slike gdje je prvi bio program specifično napravljen za taj izazov (sliku diska). U oba slučaja je bio drugi po preciznošću, ne daleko od prvog. | + | U oba izvora je PhotoRec bio na samom vrhu po preciznošću. Nije bio najbolji jedino u jednoj od četiri slike diska u drugom izvoru<sup>[2]</sup> te u prvom izvoru<sup>[1]</sup> u analizi slike gdje je najbolji program bio specifično napravljen za taj izazov (sliku diska). U oba slučaja je bio drugi po preciznošću, ne daleko od prvog. |
| Što se tiče relativnog poretka ova tri programa po preciznošću, konzistentno je PhotoRec bio prvi, foremost drugi te scalpel treći. | Što se tiče relativnog poretka ova tri programa po preciznošću, konzistentno je PhotoRec bio prvi, foremost drugi te scalpel treći. | ||
| - | Što se tiče relativnog poretka po brzini, scalpel je najčešće bio najbrži, PhotoRec drugi najbrži, a foremost najsporiji. | + | Gledajući relativan poredak po brzini, scalpel je najčešće bio najbrži, PhotoRec drugi najbrži, a foremost najsporiji. |
| ==== Osobna iskustva ==== | ==== Osobna iskustva ==== | ||
| - | Koristio sam sva tri programa u praktičnom slučaju na slici diska od 500GB. Ni jedan program nije savršen. | + | |
| + | Koristio sam sva tri programa u praktičnom slučaju na slici diska od 500GB, koristeći operacijski sustav Kali Linux. Ni jedan program nije u potpunosti savršen, no PhotoRec se bez sumnje čini najbolji. | ||
| + | |||
| + | Sva tri programa su bila jednostavna za koristiti. PhotoRec ima najdetaljnije i najjednostavnije sučelje koje vodi korisnika kroz korake, te omogućava jednostavno zaustavljanje i nastavljanje analize. | ||
| Foremost je u nekom trenutku zapeo na slici, i nakon više pokretanja je svaki put zapeo na istome mjestu i nije nastavljao. Podaci nađeni do tog trenutka su se činili dobro sastavljeni. | Foremost je u nekom trenutku zapeo na slici, i nakon više pokretanja je svaki put zapeo na istome mjestu i nije nastavljao. Podaci nađeni do tog trenutka su se činili dobro sastavljeni. | ||
| Redak 44: | Redak 48: | ||
| ==== Zaključak ==== | ==== Zaključak ==== | ||
| - | Rezultati analize iz dva izvora se poklapaju sa mojim osobnim iskustvom - PhotoRec je jedan od najboljih, ako ne i najbolji alat za generalni //file carving//. Obavlja analizu slike u | + | Rezultati analize iz dva izvora se poklapaju sa mojim osobnim iskustvom - PhotoRec je jedan od najboljih, ako ne i najbolji alat za generalni //file carving//. Obavlja analizu slike u usporedivom vremenu sa ostalim alatima, te daje najbolje rezultate. |
| ==== Izvori ==== | ==== Izvori ==== | ||
| - | - https://digital-forensics.sans.org/summit-archives/2010/eu-digital-forensics-incident-response-summit-bas-kloet-advanced-file-carving.pdf - "Advanced file carving - How much evidence are you ignoring?", Bas Kloet, Hoffmann Investigations, rujan 2010. | + | |
| - | - http://www.dtic.mil/dtic/tr/fulltext/u2/a550119.pdf - "A Comparative Analysis Of File Carving - Software", Timothy Courrejou, Simson L. Garfinkel, 12.9.2011. | + | - [[https://digital-forensics.sans.org/summit-archives/2010/eu-digital-forensics-incident-response-summit-bas-kloet-advanced-file-carving.pdf|https://digital-forensics.sans.org/summit-archives/2010/eu-digital-forensics-incident-response-summit-bas-kloet-advanced-file-carving.pdf]] - "Advanced file carving - How much evidence are you ignoring?", Bas Kloet, Hoffmann Investigations, rujan 2010. |
| - | - http://foremost.sourceforge.net/ - Foremost | + | - [[http://www.dtic.mil/dtic/tr/fulltext/u2/a550119.pdf|http://www.dtic.mil/dtic/tr/fulltext/u2/a550119.pdf]] - "A Comparative Analysis Of File Carving - Software", Timothy Courrejou, Simson L. Garfinkel, 12.9.2011. |
| - | - https://github.com/sleuthkit/scalpel - Scalpel | + | - [[http://foremost.sourceforge.net/|http://foremost.sourceforge.net/]] - Foremost |
| - | - http://www.cgsecurity.org/wiki/PhotoRec - PhotoRec | + | - [[https://github.com/sleuthkit/scalpel|https://github.com/sleuthkit/scalpel]] - Scalpel |
| + | - [[http://www.cgsecurity.org/wiki/PhotoRec|http://www.cgsecurity.org/wiki/PhotoRec]] - PhotoRec | ||
studenti/zad_deljkic/usporedba_file_carving_programa.1418764696.txt.gz · Zadnja izmjena: 2023/06/19 16:20 (vanjsko uređivanje)
Osim na mjestima gdje je naznačeno drugačije, sadržaj ovog wikija je licenciran sljedećom licencom: CC Attribution-Share Alike 4.0 International
