===== Tutorial za brisanje metapodataka file system-a sa slike diska ===== ==== Uvod ==== Imamo sliku diska na kojemu se između ostaloga nalaze neke obrisane datoteke. Te obrisane datoteke je moguće rekonstruirati na dva načina: - "brzo", pomoću metapodataka //file system//-a koji nam olakšavaju pronalazak - "sporo", pretraživajući cijelu sliku za otiscima (//file signature//) traženih datoteka (obično povezanih uz format datoteke) Ta druga metoda je poznata pod nazivom //file carving//. Mi želimo sa slike izbrisati sve podatke osim čistih podataka obrisanih datoteka kako bi samo taj način rekonstrukcije bio moguć. ==== Postupak ==== Tutorial je objašnjen na primjeru u kojem imamo: * Sliku diska (//slika_sa_metapodacima.img//) * Tražene obrisane datoteke (//dokument1.docx//, //dokument2.pdf//, //slika.jpeg//, //tekst.txt//) Postupak se provodi na //Windows// OS-u uz hex editor //HxD//, no svi koraci su slični i na drugim sustavima sa drugim hex editorom. Ovaj postupak pretpostavlja da datoteke nisu fragmentirane. U slučaju da postoje fragmentirane datoteke, potrebno je naći njene fragmente u slici i tretirati ih kao odvojene datoteke u ovom postupku. === 1. Otvori kopiju slike i sve datoteke u hex editoru === - Napravi kopiju slike (//slika_bez_metapodataka.img//) - Otvori nju i sve datoteke u hex editoru {{:studenti:zad_deljkic:tutorial-brisanje-metapodataka-1.png?nolink&800|Slika 1. - Otvorena slika i datoteke}} //Slika 1. - Otvorena slika i datoteke// === 2. Pronađi koje byte-ove na slici zauzimaju datoteke === - Otvori prvu datoteku u hex editoru - Označi i kopiraj cijeli njen hex sadržaj - Otvori sliku u hex editoru - Pretraži ju pomoću upravo kopiranog hex sadržaja. Za //HxD//: - Pozicioniraj se na početak slike klikom na prvi //byte// - Odaberi //Search// -> //Find// - Zaljepi kopiran hex sadržaj u //Search for// polje (ako je sadržaj prevelik polje će izgledati prazno no sve će normalno funkcionirati) - Odaberi //Hex-values// u //Datatype// polju - Odaberi //Forward// u //Search direction// polju - Stisni //OK// - Zapiši koje //byte//-ove zauzima ta datoteka u slici, i ponovi postupak od koraka 1 sa sljedećom datotekom - U //HxD//-u je to označeno u donjem dijelu prozora (prikazano na slici) {{:studenti:zad_deljkic:tutorial-brisanje-metapodataka-2.png?nolink&800|Slika 2. - Pozicija dokument1.docx datoteke je od 2400 do 25295}} //Slika 2. - Pozicija dokument1.docx datoteke je od 2400 do 25295// U mojem slučaju, datoteke sadržavaju ove //byte//-ove na slici: ^ Ime datoteke ^ Prvi byte ^ Zadnji byte ^ | dokument1.docx | 24000 | 25295 | | dokument2.pdf | 28A6000 | 28AC304 | | slika.jpg | 28AD000 | 28C3C7C | | tekst.txt | 295E920 | 295E982 | === 3. Popuni prostor između datoteka sa nulama === - Pronađi prvi prostor između datoteka - On se nalazi između 0. //byte//-a i početka prve datoteke na slici - U mojem slučaju prva datoteka je dokument1.docx (prvi //byte// se nalazi na 24000. poziciji) - Dakle prvi prostor mi se nalazi od 0. do 23FFF. //byte//-a - Prebriši taj prostor nulama. U //HxD//-u: - //Edit// -> //Select block// - Provjeri da je odabran //Hex// na kraju prozora - //Start-offset// - početak prostora (za moj prvi prostor 0) - //End-offset// - kraj prostora (za moj prvi prostor 23FFF) - Stisni //OK//, sad je prostor označen - Desni klik bilogdje na označenom prostoru -> //Fill Selection// - //Passes// -> izbriši sve osim "1. pass" tipkom //Delete// - Stisni //Zerobytes// - Stisni //OK//, označeni prostor je prebrisan nulama - Pronađi novi prostor između datoteka i ponovi prošli korak - Sljedeći prostor počinje nakon kraja trenutne datoteke do početka sljedeće, odnosno do kraja slike ako nema sljedeće datoteke - Primjerice, moj sljedeći prostor je od 25296. do 28A5FFFF. pozicije {{:studenti:zad_deljkic:tutorial-brisanje-metapodataka-3.png?nolink&800|Slika 3. - prvi prostor između datoteka je prebrisan nulama}} //Slika 3. - prvi prostor između datoteka je prebrisan nulama// === 4. Slika je gotova === Spremi sliku pritiskom na //File// -> //Save//. //slika_bez_metapodataka.img// sada sadrži čiste podatke svih datoteka koje želimo bez ikakvih drugih podataka.