Change search
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • harvard1
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
Forensic Carving from Unallocated Space
Blekinge Institute of Technology, School of Engineering, Department of Systems and Software Engineering.
2007 (Swedish)Independent thesis Basic level (degree of Bachelor)Student thesisAlternative title
Dataextrahering från oallokerat utrymme (English)
Abstract [sv]

Computer Forensics investigations have become more and more common while investigating IT-related issues. From experience, hard disks, USB thumb, memory sticks contains information that might be useful. Computer Forensics is regulary conducted by Police, Customs, Tax investigators but also within private companies and organisations. However, there are areas within the storage device that are not part of the organisied structure that a file system gives. The reason for that might be that the information has been erased by intention, a virus destroyed the file system and so on. Areas without this structure are referred to as Unallocated Space and there are issues to locate specific file information within Unallocated Space. Today, two methods are used. The first is to use specific keywords to locate a specific file. The other method is to search for file signatures, such as file header or file footer. However, these methods are not especially successful. During 2006-2007 the organisation DFRWS arranged two challenges to try to overcome these shortcomings. The results from the challenges gave interesting aspects and might be possible to work further with. Most of the specific forensic software available do not incorperate good methods for file extraction and basically they rely on the two methods mentioned above.

Abstract [en]

IT-forensiska undersökningar, sk Computer Forensics, har idag blivit mer och mer vanligt i samband med IT-relaterade ärenden. Erfarenhetsmässigt har det visat sig att hårddiskar, USB-minnen, minneskort m.m. ofta innehåller information av betydelse och IT-undersökningar görs idag regelmässigt av bl a polis, tull, skattemyndigheter men också inom privata företag och organisationer. Emellertid finns det områden på ett lagringsmedia som inte omfattas av någon filstruktur. Det kan ha sin orsak i att filer medvetet raderats från mediet, att ett virusangrepp förstört tillgänglig struktur osv. De områden på lagringsmediat som saknar nämnda struktur benämns som oallokerat utrymme och det medför avsevärda svårigheter att hitta de filer som trots allt finns där. I dag används i huvudsak två metoder för uppgiften. Den ena baseras sig på vissa specifika nyckelord som kan återfinnas i filer. Den andra använder en metod där filer extraheras baserat på viss information i filens specifika signatur. Det är ofta en sekvens tecken som återfinns i filens huvud men i förekommande fall kan det också finnas sådana typiska sekvenser i filens slut. Metodiken är emellertid inte särskilt effektiv och därför pågår arbete för att hitta nya metoder. I ett öppet forum på Internet, http://www.dfrws.org, har under åren 2006-2007 anordnats sk utmaningar på temat. De metoder som diskuterats och framkommit via DFRWS bygger på alternativa sökningar och kombinationer av dessa, vilka visat sig ge ett gott resultat. Många av de metoder som inkommit har innehållit intressanta aspekter som sannolikt kommer att vidareutvecklas. I stort sett alla av de tillgängliga analysprogramvarorna som i dag finns på marknaden har begränsade möjligheter att återskapa filer från oallokerat utrymme och framförallt förlitar de sig på signatur- och nyckelordssökningar.

Place, publisher, year, edition, pages
2007. , 28 p.
Keyword [sv]
Dataextrahering, forensisk, IT-forensisk, IT-undersökning, digitala bevis, hårddiskundersökning
National Category
Computer Science
Identifiers
URN: urn:nbn:se:bth-1301Local ID: oai:bth.se:arkivex18E2F1B3D4D565FCC12573EB00676C38OAI: oai:DiVA.org:bth-1301DiVA: diva2:828530
Uppsok
Technology
Supervisors
Available from: 2015-05-21 Created: 2008-02-10 Last updated: 2015-06-30Bibliographically approved

Open Access in DiVA

fulltext(400 kB)89 downloads
File information
File name FULLTEXT01.pdfFile size 400 kBChecksum SHA-512
cccb024bb3e49fa0c2272b0344fc43e9947f5a05e399d27bab1f8ae6f0d8e79a6086b9459845bb2163563a874806fbc678f305ce64d815cc2ecc3c3a385e544d
Type fulltextMimetype application/pdf

By organisation
Department of Systems and Software Engineering
Computer Science

Search outside of DiVA

GoogleGoogle Scholar
Total: 89 downloads
The number of downloads is the sum of all downloads of full texts. It may include eg previous versions that are now no longer available

Total: 67 hits
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • harvard1
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf