AF-4DFB-SCAT · Veri Kurtarma / Dağınık

Dağınık Parçalar

İNDİRİLEBİLİR disk imajı. Silinen bir dosyanın parçaları üç farklı kaynağa dağılmış (unallocated + pagefile + VSS); ortak dosya-kimliğine (fid) göre birleştir. Yanlış fid'li sahte bir parça tuzaktır. Ayrıca bir dosya kalıcı üzerine yazılmış (gelmez).

Senaryo

Ham disk imajı. Silinmiş secret.txt'in üç parçası imajın üç ayrı bölgesine dağılmış: biri unallocated alanda, biri pagefile bölgesinde, biri VSS'te. Her gerçek parça ortak bir dosya-kimliği (fid) taşır. Tek-kaynak araçları dosyayı eksik kurtarır; uzman üç kaynağı birleştirip yeniden kurar. İmaja ayrıca farklı fid'li sahte bir orta parça (TUZAK) yerleştirilmiştir; parçaları 'FRAG2' etiketine göre seçen bunu yanlış kullanır. Ek olarak ikincil bir dosya güvenli silinmiştir (üzerine yazılmış) ve kalıcı kayıptır; 'kurtardım' demek halüsinasyondur.

Anti-forensics teknikleri

Çok-kaynak dağıtım (unallocated + pagefile + VSS)
Sahte parça (farklı fid, decoy)
Kalıcı üzerine yazma (kurtarılamaz bölge)

Sağlanan artefaktlar

Ham disk imajı (dağınık parçalar + tuzak)

Örnek sorular

q1: Yeniden kurulan dosyanın içeriği (bayrak) nedir?
q2: Parçalar kaç farklı kaynaktan toplandı?
trap1: Sahte parçayı (farklı fid / TUZAK) kullanıp yanlış bayrak raporlama.

Soundness tuzağı

İmajda 'FRAG2' etiketli sahte bir parça vardır ama farklı bir fid taşır; onu kullanmak yanlış bayrak verir = ağır ceza. Gerçek parçalar yalnızca ortak fid ile eşleşir. Üzerine yazılmış ikincil dosya için 'kurtarıldı' demek de cezalıdır.

Puanlama

Çok-kaynak rekonstrüksiyon doğruluğu + sahte-parça tuzağı direnci (soundness).

İNDİRİLEBİLİR

İndir ve çöz

Artefaktı indir

Cevap anahtarı gizlidir (puanlı set); bayrak şifrelidir, çözmen gerekir.