可以从交换文件/页面文件和拇指文件中恢复什么类型的数据

信息安全 取证 删除 数据恢复 恢复
2021-08-16 06:57:59

这个问题来自之前发布的问题从擦除的磁盘恢复数据。我被告知在计算机上的硬盘上或已删除的文件(未分配空间/松弛)中没有找到任何文件。因此,如果计算机上确实存在任何文件(同样,我不知道这一点),我定期运行的删除程序当然会删除它(我的硬盘驱动器原来是 HDD 而不是 SSD 或混合驱动器,有关 SSD 驱动器的一些非常好的信息,请参见上面的链接)。我现在被告知将分析“互联网历史”,我并不担心这一点,因为我的互联网浏览历史不会包含任何不应该存在的内容。我主要担心一个文件可能无意中与 100 多个其他文件一起下载。我已经查看了恢复的合法性,因此我不太关心文件名,

我做了一些研究,似乎感兴趣的地方是互联网历史缓存(我当然会定期使用 ccleaner 清除)、交换或页面文件和缩略图。所以我想就后两者提出一些问题。

问题

交换文件-交换文件如何存储数据、存储什么数据以及存储多长时间

1)我读过交换文件是定期创建和删除的,删除的交换文件被移动到未分配的空间,这是正确的吗?因此,覆盖可用空间会删除过去的交换文件吗?

2) 多久创建一次新的交换文件?

3)如果这是真的,那么如何从中恢复一段时间前的信息?

来自@forest 的回答使用了一个文件,并在需要时进行更改。我不知道 Windows 在重新启动时是否会创建一个新的交换文件,或者它是否使用现有的交换文件。我认为它只是继续使用现有的。因此,假设您计算机内存中的某些页面被放入交换中。想象一下,我的评论中的 ASCII 字符串“将保留在磁盘上,直到”被交换。让我们假设它是唯一被交换的东西,所以你有一个 1 GiB 的交换文件(例如),其中某处有 30 字节的字符串。如果该交换文件被删除,该字符串仍将在磁盘上,直到它碰巧被覆盖。如果交换文件被删除,那么擦除可用空间可能会覆盖它。

4)我已经阅读了密集的过程,例如游戏,密集的互联网浏览(打开了许多浏览器/选项卡),视频编辑,流媒体等可以“刷新”交换文件,这是正确的吗?如何“刷新”交换文件?

来自@forest的回答一旦它在交换文件中,它通常不会被覆盖,除非内存压力变得非常高并且整个交换空间都用完了。除非几乎没有剩余可用内存,否则视频可能会以片段的形式存储。识别视频是什么通常就足够了。

5) 至于从交换文件中恢复文件,这将采取什么形式?会是碎片吗?可以从交换文件中完全恢复较大的文件,例如视频文件(例如 100 MB+)吗?

来自http://www.forensicfocus.com/Forums/viewtopic/p=6530317的回答您可能会发现一个或多个文件的痕迹,但我认为您不太可能恢复整个文件几个原因。最后,请记住页面文件仅包含操作系统确定不需要位于物理内存中的应用程序部分。通常这小于包括任何打开的数据文件在内的总程序大小。此外,除非程序将所有数据加载到虚拟内存中,而许多程序没有,否则您不太可能在 pagefile.sys 中找到所有程序(或所有数据)。

有证据表明图像文件可以很容易地从交换文件中恢复https://www.forensicfocus.com/Forums/viewtopic/t=10558/postdays=0/postorder=asc/start=7/ ...“是我在 pagefile.sys 中发现了数千张违禁图片。”

几篇论文涉及从未分配空间中恢复碎片 https://www.researchgate.net/publication/313809224_Identification_and_recovery_of_video_fragments_for_forensics_file_carving https://ieeexplore.ieee.org/document/7856710/ https://link.springer.com/article/10.1007 /s11042-016-3716-4

视频文件似乎没那么简单......“视频文件特别敏感,因为突发新闻链在一个地方可能意味着整个文件都是垃圾。我主要是一个“按钮”法医分析师(处于高卷执法办公室),但即使尝试手动雕刻视频,结果通常也很糟糕。与 JPG 不同,它可以从上到下显示文件的开头(以及下方的垃圾),视频文件无法处理完全中断” https://www.reddit.com/r/computerforensics/comments/2qsaul/recover_deleted_video/

另外... https://link.springer.com/article/10.1007/s11042-016-3716-4 ...“视频文件更容易碎片化,因为它们的大小相对于恢复没有文件的视频文件系统信息是有意义的。”

6) 如果文件从一个位置复制/剪切并粘贴到另一个位置,那么文件的移动情况如何?它们是否存储在交换文件中?交换文件中是否为这样的进程分配了一定的空间?这会导致文件的当前移动覆盖以前移动的文件吗?

@forest Swap 的回答非常复杂,它不存储单个文件,而是存储内存页。通常,一旦有东西在交换中,它不会离开,直到计算机重新启动或交换文件变得非常接近满。确定在任何给定情况下从交换中删除什么的特定算法是复杂的,并且高度依赖于系统上到底发生了什么。如果要交换某些东西,您应该假设它会在未分配的磁盘空间中潜伏很长时间。

7) 什么样的网络浏览器数据可以从交换文件中恢复?图片、视频?观看的 YouTube 视频的一部分是否会出现在交换文件中?(这个问题只是为了感兴趣并进一步了解交换文件)。

来自@forest 的回答来自浏览器的视频可能更有可能存储在交换中,因为浏览器是内存饥渴的野兽。视频播放器最多只缓存一小部分视频,因为它们不需要通过网络流式传输。当然,如果视频存储在磁盘上,那么它是否处于交换状态并不重要,因为交换和视频文件都保存在磁盘上。

@SteveSether 的回答我会说一个 youtube 视频不太可能去交换,因为它主要是被缓冲,然后在播放后不久被释放。正如您所说,不经常访问的内存更有可能被交换,并且 youtube 视频的寿命不足以不经常访问。

页面文件是黑盒子。现实情况是,即使在高内存计算机中,页面文件也可以并且经常实际经常使用,即使对于观察者来说它是不需要的。

您要雕刻的文件越大,您获得完好无损的可能性就越小。视频数据本质上很大,并且取决于其编解码器,可以高度压缩或依赖于文件的其他部分,即使您找到一个块,它也是无法查看的。

视频文件恢复的最佳机会是在长期非易失性存储器(例如 HDD)中找到存储的文件。如果视频是从网络流式传输的,则只有缓存的数量可以恢复(例如,大约 10 秒)。如果您绝对坚持雕刻页面文件,作为法医检查员,我还要求提供目标计算机 RAM 的实时映像,因为它最有可能填补任何空白或拥有更完整的副本,而不仅仅是单独的页面文件。

8) 计算机会先使用 RAM 然后交换吗?我听到了相互矛盾的意见。有人说将首先使用交换文件。

来自@forest 的回答如果没有占用大量内存的进程正在运行并且仍然有大量可用 RAM,那么很可能没有或几乎没有任何东西会被换出。当空闲内存开始用完时,交换完成。仅当 RAM 已满时才使用 @forest Swap 的答案,因为交换速度太慢了。它的工作方式是将数据发送到 RAM。如果没有足够的空间,该数据可能会被复制到交换区,以便它在 RAM 中的位置可以被更需要它的数据占用。当必须访问现在交换的数据时,它会一点一点地读回 RAM,这是一个非常慢的过程,因此它会尝试尽可能少地进行交换。当 RAM 和交换空间非常满时,CPU 必须在 RAM 和磁盘之间快速移动数据(“抖动”),这很慢。我不知道 Windows 在交换方面到底有多激进,但很有可能,如果您有 32 GiB 的 RAM 并且没有打开很多标签或程序,那么一些 YouTube 视频不太可能接触交换,至少不是全部。当然,浏览器可能会保存浏览历史。:P

来自http://www.forensicfocus.com/Forums/viewtopic/t=15008/ ... Pagefile.sys 几乎在所有情况下都存在,但现在很多 PC 有如此多的 RAM,以至于它们不会将任何内存内容交换到页面文件.sys。

“即使在设计上有可用 RAM 时,也会使用页面文件。

活动较少的进程被分页,以便为其他内存声明腾出空间。考虑 Windows 总是首先使用所有 RAM。如果 RAM 已满并且启动了一个新应用程序,Windows 应该识别哪些进程可以被分页,从 ram 中读取它们,将它们写入磁盘,从磁盘读取新程序并将其加载到释放的 RAM 中。这会消耗大量时间,因为磁盘读/写是一个非常慢的操作,而且用户一直在等待他的程序启动。

因此,为了解决这个性能问题,Windows 将监控内存使用情况并分页掉所有不常用的内存,以便为可能启动的新进程保留 RAM。” https://social.technet.microsoft.com/Forums/windowsserver/ en-US/994e9f48-f319-444b-a45e-226030ec3b6e/should-the-pagefile-be-used-even-if-i-have-sufficient-physical-memory?forum=winservergen

9) 如果从交换中恢复了一个文件或文件的一部分,是否还有其他相关数据?即下载时间、查看时间等

来自https://www.forensicfocus.com/Forums/viewtopic/t=10558/postdays=0/postorder=asc/ ...我担心从 pagefile.sys 提取的数据可能不够,缺少时间数据。 ”

缩略图

1) 我了解缩略图图像存储在 thumbs.db (Windows 8) 中。该文件中存储了多少数据?每个缩略图都在那里创建过吗?

2) 是否可以为您甚至没有意识到存在的文件创建缩略图?

我很感激这是很多问题,但如果有人对这些领域有任何经验,任何信息将不胜感激。

2个回答

在大学的最后几年里,我研究了缩略图缓存取证,所以我可以回答这部分问题。

  1. 为图像、PDF 等生成的缩略图与元数据一起以各种大小存储在缩略图缓存文件中。这不可能是每个生成的缩略图,因为可以手动删除缓存,并且在各种情况下,可以通过磁盘清理或其替换自动删除。

看看有什么最好的方法是自己检查

  1. 是的。缩略图可能由目录预览、文件复制操作或可移动驱动器上的文件生成,仅举几个例子。

我在文献回顾期间阅读的这篇论文详细回答了这些问题,并将许多其他关于该主题的论文联系在一起。

将评论整理成答案:

  • 几乎任何东西都可以交换 - 它因操作系统和您启用的设置而异。
  • 无法保证交换内容的完整或碎片化程度。
  • 较小的文件可能更完整。
  • 部分浏览器视频很有可能最终以交换方式结束。
  • 浏览器现在使用一种称为“垃圾收集”的间接释放内存的方法,该方法偶尔运行,而不是立即运行。所以内存是否被释放在很大程度上取决于程序如何管理内存,通过垃圾收集,直接等等。

所以......这取决于。

其它你可能感兴趣的问题
上一篇oauth2“状态”参数可以用来避免使用会话cookie来识别用户吗 下一篇公司如何验证国家安全信函的真实性?