Phenquestions
Live CD atau DVD menawarkan cara untuk mem-boot drive sistem, serta drive media yang dapat dilepas atau diperbaiki, memungkinkan Anda menggunakan pengelola file atau perangkat lunak untuk memuat file. Server disk dapat merusak kasus ini dan menyimpan file data berharga atau kepemilikan di kompartemen terpisah di file OS.
Ukiran File adalah prosedur yang digunakan dalam investigasi TKP PC untuk mengekstrak informasi dari hard drive atau perangkat penyimpanan lain tanpa bantuan tabel sistem file yang membuat file asli di tempat pertama. File Carving adalah strategi yang mengasumsikan kontrol atas dokumen di ruang yang tidak terisi tanpa data dan digunakan untuk memulihkan informasi untuk memainkan pemeriksaan klinis terkomputerisasi. Proses ini awalnya disebut "desain", yang merupakan istilah umum untuk menghilangkan informasi terorganisir dari informasi mentah, mengingat atribut khusus dari pola organisasi informasi yang disimpan.
Metode forensik yang memulihkan dokumen bergantung pada struktur dan isi file tanpa metadata sistem file yang sesuai. Ukiran file memungkinkan Anda memulihkan file dari ruang yang tidak terisi di drive mana pun. Area drive yang ditunjukkan oleh struktur sistem file (tabel file) yang tidak menyimpan informasi sistem file apa pun disebut ruang yang tidak terisi.
Struktur sistem file yang hilang atau rusak dapat memengaruhi seluruh drive. Sederhananya, banyak sistem file tidak menghapus data saat dihapus. Sebaliknya, itu hanya menghilangkan pengetahuan dari mana asalnya. Memindai byte mentah dan mengaturnya adalah proses dasar File Carving. Proses ini dilakukan oleh memeriksa header (byte pertama) dan footer (byte terakhir) dari sebuah file.
Ukiran file adalah cara terbaik untuk memulihkan file dan fragmen file saat teks rusak atau hilang. Ini sering digunakan oleh para profesional dalam pemecahan masalah untuk memeriksa kembali bukti. Contoh larangan dan kemampuan untuk mengevakuasi media terjadi ketika informasi dihapus dari kamp Osama Bin Laden selama serangan oleh US Seals Navy. Penyelidik Forensik menggunakan metode pemulihan file untuk memulihkan data dari drive dan sistem yang digunakan di kamp.
Ikhtisar Sistem File
SEBUAH sistem file sayas jenis database yang digunakan untuk menyimpan, memperbarui, dan mengambil file atau beberapa nomor file. Ini adalah cara file diarsipkan secara logis dan diberi nama untuk pengarsipan dan pemulihan. Ada berbagai jenis sistem File yang disebutkan di bawah ini:
Sistem file Windows: Microsoft Windows hanya menggunakan dua jenis FAT dan NTFS.
- LEMAK, yang berarti 'tabel alokasi file', adalah jenis sistem file paling sederhana yang berisi sektor boot, tabel alokasi file, dan ruang penyimpanan sederhana untuk menyimpan file dan folder. Baru-baru ini, FAT datang dalam FAT16, FAT12, dan FAT32. FAT32 kompatibel dengan perangkat penyimpanan berbasis Windows. Windows tidak dapat membuat sistem file FAT32 dengan file yang lebih besar dari 32 GB.
- NTFS, singkatan dari "Sistem File Teknologi Baru", sekarang menjadi sistem file default untuk file yang lebih besar dari 32 GB. Enkripsi dan Kontrol akses adalah beberapa properti utama dari sistem file ini.
Sistem file Linux: Linux adalah sistem operasi open-source yang banyak digunakan, dan dikembangkan untuk pengujian dan pengembangan. OS ini dimaksudkan untuk menggunakan konsep sistem file yang berbeda. Di Linux, ada beberapa jenis sistem file:.
- Ext2, Ext3, Ext4 - Ini adalah sistem file Linux lokal, atau default. Sistem file root umumnya di-mcap ke seluruh distribusi Linux. Sistem file Ext3 adalah pembaruan yang sangat baik dari sistem file Ext2 yang digunakan sebelumnya; itu menggunakan operasi penulisan file transaksional. Ext4 adalah file ekstensi yang mendukung informasi Ext3 dan atribusi file.
- ReiserFS - Masalah sistem file diselesaikan dengan menyimpan banyak file kecil sekaligus. Ada tawa yang bagus oleh pengelola file, dan izin file yang kompatibel, penyimpanan kode file, file berisi metadata dalam mode tidak menggunakan sistem file besar karena ukurannya.
- XFS - Sistem file XFS bekerja dengan baik dan banyak digunakan untuk pengarsipan file. Jenis sistem file ini populer di server IRIX.
- JFS - IBM mengembangkan sistem file ini, dan telah menjadi sistem file yang digunakan di hampir semua distribusi Linux
sistem file macOS: Sistem operasi Apple Macintosh hanya menggunakan HFS + sistem file tanpa ekstensi sistem file HFS. MacOS, iPhone, iPad, dan semua produk Apple lainnya menggunakan HFS + berkas sistem. Beberapa produk Apple Server memang menggunakan sistem file Hscan. Sistem file terkenal ini melacak informasi yang terkait dengan tampilan direktori, lokasi windows, dll.
Teknik Ukiran File
Selama investigasi digital, perlu untuk menganalisis berbagai jenis media. Informasi yang berlaku dapat ditemukan di beberapa perangkat penyimpanan dan di memori PC. Berbagai jenis informasi dapat dipecah, misalnya, email, laporan elektronik, log kerangka kerja, dan catatan media. Ukiran file adalah teknik pemulihan di mana hanya konten dan struktur file yang dipertimbangkan daripada metadata file yang digunakan dalam organisasi data pada media penyimpanan.
Di bawah ini adalah beberapa terminologi ukiran file yang perlu diingat:
- Blok - Ukuran unit data terkecil yang dapat ditulis ke penyimpanan
- Tajuk - Titik awal file.
- catatan kaki - Byte terakhir dari file.
- Pecahan - Satu atau beberapa blok milik satu file.
- Fragmen dasar - Fragmen pertama dari wadah file, header file.
- Titik fragmentasi - Blok terakhir tepat sebelum fragmentasi terjadi. Beberapa fragmen dalam file apa pun menghasilkan beberapa titik fragmentasi.
Teknik ukiran file universal perusahaan tertinggi adalah sebagai berikut:
- Teknik header-footer (atau header-"ukuran file maksimum") - Strategi dasar di sini adalah mengukir file berdasarkan judul dan tulisan tangan atau total file.
- File ekstensi JPG atau JPEG - “\ xFF \ xD8” dan “\ xFF \ xD9.”
- GIF - berjudul “\ x47 \ x49 \ x46 \ x38 \ x37 \ x61” dan footer “\ x00 \ x3B”.
- PST: “! Judul BDN” tanpa footer.
- Jika sistem file tidak memiliki basis, jumlah maksimum file yang digunakan dalam program ukiran.
- Ukiran berbasis struktur file
- Tata letak internal file digunakan sebagai teknik dasar.
- Informasi header, footer, ID string, dan ukuran adalah elemen dasar.
- Ukiran berbasis konten
Struktur konten gratis (MBOX, HTML, XML)
- Karakteristik bahan
- Hitung karakter
- Pengenalan teks / bahasa
- Daftar data hitam putih
- Entropi informasi
- Karakteristik statistik (Chi2)
Mengukir File (tanpa menggunakan alat apa pun)
Selanjutnya, kita akan melihat cara mengukir .file jpeg tanpa menggunakan alat. Pertama, kita perlu mengetahui struktur .file jpeg (header dan footer, dll.). Untuk melakukan ini, kami akan membuka .gambar jpeg di Hex editor untuk memeriksa apa header dan footer dari .file jpeg terlihat seperti.
Di sini, kami menemukan file header ( FFD8FFE0). Sekarang, untuk menemukan footer, kita akan memeriksa byte terakhir dalam file.
Di sini, kami memiliki file footer atau trailer (FFD9).
Jika Anda memiliki dokumen dengan gambar di dalamnya, Anda dapat mengukir gambar dengan mengetahui header dan footernya.
Sekarang, kami memiliki file kata dengan gambar di dalamnya. Kami akan mengukir gambar menggunakan teknik ini.
Hal pertama yang perlu kita lakukan adalah membuka dokumen kata ini dengan Hex editor dengan mengklik File >> Buka.
Di sini, kita dapat melihat gambar yang menunjukkan data file kata dalam bentuk Heksadesimal. Seperti yang sudah kita ketahui, .File jpeg memiliki nilai header sebesar FFD8FFE0, jadi kita akan mencari file header dengan menekan Ctrl + F atau Cari >> File dan memasukkan nilai header yang diketahui (memilih tipe data nilai hex sangat penting dalam langkah ini).
Kami akan menemukan nilai tanda tangan di Offset 14FD.
Selanjutnya, kita harus mencari footer atau trailer. Kita tahu bahwa .File jpeg memiliki nilai footer FFD9, jadi kita akan mencari file footer dengan menekan Ctrl + F atau Cari >> File dan memasukkan nilai footer yang diketahui (memilih tipe data nilai hex sangat penting.
Kami akan menemukan nilai footer di Offset 2ADB.
Saat ini kami memiliki header dan footer dari dokumen jpeg, dan, seperti yang baru-baru ini kami nyatakan, antara header dan footer adalah informasi dari catatan jpeg. Di sini kita menduplikasi seluruh kotak informasi dengan header dan footer dan menyimpannya sebagai file lain.
Pergi ke EDIT >> Pilih Blokir dan masukkan kedua istilah berikut:
Offset Tajuk Berkas: 14FD
Offset Footer Berkas: 2ADB
Setelah memasukkan nilai-nilai ini, seluruh .file jpeg akan ditandai dengan warna biru. Untuk menyimpannya sebagai dfile, salin dengan mengklik kanan dan memilih Salinan, atau dengan menekan Ctrl + C. Selanjutnya, kami akan menempelkan informasi di file baru. Akan muncul kotak dialog, dan kita klik baik. Sekarang, kita siap untuk menyimpan file dengan mengklik File >> Simpan sebagai atau menekan Ctrl + S. Jika Anda membuka file yang disalin ini, Anda akan melihat gambar yang sama seperti di dokumen aslinya. Ini adalah teknik dasar untuk mengukir file media.
Alat Ukir Data Data
Alat pemulihan data memainkan peran penting dalam sebagian besar investigasi forensik, karena penyerang cerdas selalu berusaha menghapus bukti kejahatan mereka. Tercantum di bawah ini adalah beberapa alat pemulihan data penting di Linux dan jendela.
- Terutama (alat ukiran file)
Untuk memulihkan file yang hilang karena struktur data internal, header, dan footer, terutama, dapat digunakan. Terutama biasanya mengambil input dalam berbagai format gambar, seperti AFF atau format mentah, yang dapat dihasilkan menggunakan berbagai alat, seperti FTK Imager, DD, encase, dll. Anda dapat menavigasi ke halaman bantuan terkemuka untuk mempelajari dan menjelajahi perintahnya yang kuat menggunakan perintah berikut:
[dilindungi email]:~$ terutama -h Memulihkan file dari gambar disk berdasarkan jenis file yang ditentukan olehpengguna menggunakan sakelar -t.
jpg Dukungan untuk format JFIF dan Exif, termasuk implementasi
digunakan dalam kamera digital modern.
gif
png
Dukungan bmp untuk format bmp windows.
avi
exe Dukungan untuk binari Windows PE akan mengekstrak file DLL dan EXE
bersama dengan waktu kompilasi mereka.
mpg Dukungan untuk sebagian besar file MPEG (harus dimulai dengan 0x000001BA)
wav
riff Ini akan mengekstrak AVI dan RIFF karena mereka menggunakan file yang sama untuk-
tikar (RIFF). perhatikan lebih cepat daripada menjalankan masing-masing secara terpisah.
wmv Note juga dapat mengekstrak file wma karena memiliki format yang serupa.
ole Ini akan mengambil file apa pun menggunakan struktur file OLE. Ini
termasuk PowerPoint, Word, Excel, Access, dan StarWriter
doc Perhatikan bahwa menjalankan OLE lebih efisien karena Anda mendapatkan lebih banyak keuntungan
uangmu. Jika Anda ingin mengabaikan semua file ole lainnya, gunakan
ini.
zip Catatan itu akan mengekstrak .file jar juga karena mereka menggunakan yang serupa
format. Dokumen Open Office hanyalah file XML yang di-zip, jadi mereka
diekstraksi juga. Ini termasuk SXW, SXC, SXI, dan SX? untuk
file OpenOffice yang belum ditentukan. File Office 2007 juga XML
berbasis (PPTX, DOCX, XLSX)
jarang
htm
deteksi kode sumber cpp C, perhatikan ini primitif dan dapat menghasilkan
dokumen selain kode C.
Dukungan mp4 untuk file MP4.
semua Jalankan semua metode ekstraksi yang telah ditentukan sebelumnya. [Default jika tidak ada -t adalah
ditentukan]
- BinWalk
BinWalk digunakan untuk mengelola perpustakaan biner dan mengekstrak data penting dari gambar firmware. Alat ini sangat bagus untuk mereka yang tahu cara menggunakannya. BinWalk dianggap sebagai salah satu alat terbaik yang tersedia untuk rekayasa balik dan mengekstrak gambar firmware. BinWalk mudah digunakan dan dilengkapi dengan kemampuan luar biasa. Anda dapat menavigasi ke halaman bantuan binwalk untuk mempelajari lebih lanjut menggunakan perintah berikut:
[dilindungi email]:~$ binwalk --help Opsi Pemindaian Tanda Tangan:-B, --signature Pindai file target untuk tanda tangan file umum common
-R, --raw= Pindai file target untuk urutan byte yang ditentukan
-A, --opcodes Memindai file target untuk mendapatkan tanda tangan opcode umum yang dapat dieksekusi
-m, --magic= Tentukan file ajaib khusus untuk digunakan
-b, --dumb Nonaktifkan kata kunci tanda tangan pintar
-I, --invalid Tampilkan hasil yang ditandai sebagai tidak valid
-x, --exclude= Kecualikan hasil yang cocok
-y, --include= Hanya tampilkan hasil yang cocok
Opsi Ekstraksi:
-e, --extract Secara otomatis mengekstrak jenis file yang dikenal
-D, --dd= Ekstrak tanda tangan, beri ekstensi file , dan jalankan
-M, --matryoshka Pindai file yang diekstraksi secara rekursif
-d, --depth= Batasi kedalaman rekursi matryoshka (default: kedalaman 8 level)
-C, --directory= Ekstrak file/folder ke direktori khusus (default: direktori kerja saat ini)
-j, --size= Batasi ukuran setiap file yang diekstrak
-n, --count= Batasi jumlah file yang diekstrak
-r, --rm Hapus file yang diukir setelah ekstraksi
-z, --carve Mengukir data dari file, tetapi tidak menjalankan utilitas ekstraksi
Opsi Analisis Entropi:
-E, --entropy Menghitung entropi file
-F, --fast Gunakan lebih cepat, tetapi kurang detail, analisis entropi
-J, --save Simpan plot sebagai PNG
-Q, --nlegend Hilangkan legenda dari grafik plot entropi
-N, --nplot Jangan buat grafik plot entropi
-H, --high= Atur ambang batas pemicu entropi tepi naik (default: 0.95)
-L, --low= Atur ambang batas pemicu entropi tepi jatuh (default: 0.85)
Opsi Pembedaan Biner:
-W, --hexdump Melakukan hexdump / diff dari sebuah file atau beberapa file
-G, --green Hanya tampilkan baris yang berisi byte yang sama di antara semua file
-i, --red Hanya tampilkan baris yang berisi byte yang berbeda di antara semua file
-U, --blue Hanya tampilkan baris yang berisi byte yang berbeda di antara beberapa file
-w, --terse Membedakan semua file, tetapi hanya menampilkan hex dump dari file pertama
Opsi Kompresi Mentah:
-X, --deflate Memindai aliran kompresi deflate mentah
-Z, --lzma Memindai aliran kompresi LZMA mentah
-P, --partial Lakukan pemindaian yang dangkal, tetapi lebih cepat
-S, --stop Berhenti setelah hasil pertama
Pilihan umum:
-l, --length= Jumlah byte yang akan dipindai
-o, --offset= Mulai scan pada file ini offset
-O, --base= Tambahkan alamat dasar ke semua offset yang dicetak
-K, --block= Setel ukuran blok file
-g, --swap= Membalikkan setiap n byte sebelum memindai
-f, --log= Log hasil ke file
-c, --csv Log hasil ke file dalam format CSV
-t, --term Format output agar sesuai dengan jendela terminal
-q, --quiet Menekan output ke stdout
-v, --verbose Aktifkan keluaran verbose
-h, --help Tampilkan keluaran bantuan
-a, --finclude= Hanya pindai file yang namanya cocok dengan ekspresi reguler ini
-p, --fexclude= Jangan pindai file yang namanya cocok dengan regex ini
-s, --status= Mengaktifkan server status pada port yang ditentukan
Memulihkan Data dari Disk Terformat
Alat pemulihan data harus dipilih dengan hati-hati untuk memulihkan informasi dari disk yang diformat, flash drive USB, dan kartu memori. Alat yang dirancang untuk menyelesaikan berbagai aktivitas dapat menghasilkan hasil yang tidak terduga. Di bawah ini, kita akan melihat beberapa perbedaan antara berbagai alat pemulihan data untuk koreksi data di drive yang diformat.
Hapus format
Kesalahan fatal pertama yang dilakukan banyak pengguna komputer ketika secara tidak sengaja memformat drive mereka adalah menemukan, menginstal, dan menggunakan alat yang "tidak diformat". Ada banyak alat ini di pasaran; beberapa bersifat komersial, dan yang lainnya adalah barang gratis. Tujuan dari alat ini adalah untuk membangun kembali atau membuat ulang disk yang telah diformat sebelumnya dengan memulihkan sistem file.
Meskipun ini mungkin tampak seperti pendekatan yang layak untuk yang tidak berpengalaman, itu mungkin menjadi kesalahan yang lebih besar daripada kehilangan file di tempat pertama. Memformat disk akan menghapus sistem file asli, menggantinya setidaknya sebagian, biasanya di awal. Saat Anda mencoba memulihkan sistem file lama Anda, yang terbaik yang bisa Anda dapatkan adalah disk yang dapat dibaca dengan beberapa file Anda. Semuanya tidak dapat dipulihkan persis seperti ini, dan file yang paling berharga mungkin dikompromikan, dengan hanya sampel acak dari file asli pada disk. Ketika Anda berpikir tentang "memformat" drive sistem, lupakan saja; setidaknya beberapa file sistem akan hilang. Bahkan jika Anda dapat mem-boot sistem operasi, Anda tidak akan pernah mendapatkan sistem yang stabil.
Batalkan penghapusan
Kesalahan kedua yang akan dilakukan banyak pengguna komputer adalah menggunakan alat pemulihan. Meskipun alat ini ada dan cenderung melakukan tugasnya dengan itikad baik, alat ini tidak dirancang untuk menangani disk dengan sistem file yang dikecualikan. Bahkan dengan beberapa alat pemulihan terbaik, seperti RS File Recovery, Anda dapat menghapus banyak file, tetapi hanya itu.
Pemulihan partisi
Untuk memulihkan file, Anda harus mencari alat pemulihan partisi seperti RS Partition Recovery. Dirancang untuk menangani disk yang terdistribusi, diformat, dan rusak, alat ini dapat memindai seluruh permukaan disk atau partisi untuk memulihkan semua yang dapat ditemukan. Bahkan jika sistem file kosong atau dihapus, alat ini dapat memulihkan banyak jenis file, seperti dokumen, gambar, dan video, melalui fungsi tanda tangannya. Namun, meskipun alat pemulihan tersegmentasi adalah yang terbaik untuk pemulihan data, biasanya harganya cukup mahal. Jika Anda hanya ingin memulihkan disk yang telah diformat, akan berguna untuk mencari dan menyimpannya.
Pemulihan FAT dan NTFS
Anda dapat menghemat hingga 40% biaya pemulihan Partition RS dengan memilih alat yang hanya memulihkan disk berformat FAT atau NTFS. Ingat bahwa Anda perlu membeli alat yang cocok untuk sistem file asli dan bukan yang tertulis di atas. Jika drive asli adalah NTFS, dapatkan NTFS Recovery RS. Jika FAT atau FAT32, dapatkan FAT Recovery RS. Dengan cara ini, Anda akan mendapatkan alat kualitas yang sama, tetapi Anda akan terbatas pada format FAT atau NTFS. Ini adalah pilihan yang sempurna untuk pekerjaan yang unik.
File Ukiran (menggunakan alat)
FotoRec adalah perangkat lunak luar biasa yang digunakan untuk mengukir file dan terutama file jpeg atau gambar (itulah sebabnya dinamai Photo Recovery). PhotoRec mengabaikan kerangka dokumen dan mengejar informasi dasar, sehingga akan berfungsi terlepas dari apakah kerangka rekaman media Anda telah rusak parah atau diformat ulang. fotorec mudah diakses di sistem operasi Windows.
Sebagai contoh, kami akan memulihkan file gambar dari flash drive 8 GB menggunakan alat ini.
Pertama, jalankan FotoRec.exe file dan luncurkan aplikasi. Kita akan melihat layar seperti ini:
Di sini, kami memiliki semua partisi yang ditampilkan. Kami akan memilih /K sebagai target yang kami inginkan untuk memulihkan data.
Kita dapat melihat sistem file mana yang digunakan partisi ini di sini, dan ada empat opsi di bagian bawah.
Cari - Ini akan mencari partisi yang menyimpan file untuk pemulihan.
Pilihan - Digunakan untuk perubahan kecil pada opsi.
Pilihan File - Digunakan untuk memodifikasi jenis file yang akan dipulihkan.
Berhenti - Keluar dari proses.
Kami akan memilih Pilihan File (Opsi Berkas):
Ini akan memberi kami opsi untuk memilih file yang ingin kami pulihkan dari partisi yang diinginkan. Mendesak S akan menghapus tanda semua opsi. Kami akan memilih gambar JPG, karena kami hanya ingin memulihkan file gambar dari drive. Selanjutnya, kami akan menekan B.
Untuk memilih Berkas sistem, kembali ke opsi utama dan pilih Lain. Adapun opsi pemulihan, kami memiliki dua pilihan:
- pulih dari seluruh partisi
- pemulihan dari hanya ruang yang tidak terisi (FAT12, FAT16, FAT32, EXT1, EXT2, EXT3, dll.). Dengan menggunakan opsi ini, hanya file yang telah dihapus yang akan dipulihkan.
Sekarang, yang perlu kita lakukan hanyalah mengatur lokasi di mana file yang dihapus akan dipulihkan. Setelah itu, proses pemulihan akan dimulai dan selesai setelah beberapa saat. Kemudian, kami akan mencari file yang dipulihkan di lokasi yang ditentukan. File gambar yang dipulihkan akan ada di sana.
Kesimpulan
Ukiran File adalah istilah komputer forensik terkenal untuk menggambarkan pengidentifikasian jenis file dan menghapusnya dari kelompok non-bawahan menggunakan tanda tangan file. Tanda tangan file, juga dikenal sebagai angka ajaib, adalah nilai teks numerik atau permanen yang digunakan untuk mengidentifikasi format file. Ekstraksi file atau data adalah istilah yang digunakan dalam bidang informatika forensik. terkomputerisasi penyelidikan forensik adalah perolehan, verifikasi, analisis, dan dokumentasi bukti yang terkandung dalam sistem komputer, jaringan komputer, atau bentuk media digital lainnya. Mengekstrak data yang bermakna dari data mentah disebut ukiran.
Memahat File adalah identifikasi dan pemulihan file berdasarkan analisis format. Dalam komputasi forensik, memahat adalah cara yang berguna untuk menemukan file yang disembunyikan atau dihapus di media digital. FFile dapat disembunyikan di area seperti cluster yang hilang, cluster yang tidak terisi, dan disk yang diputar atau media digital. Untuk menggunakan metode ekstraksi ini, file harus memiliki tanda tangan standar, yang disebut a judul file, di awal file. Untuk mendapatkan header file, alat pemulihan akan terus melakukan kueri hingga mencapai footer file di akhir file. Data antara header dan footer diekstraksi dan dianalisis untuk memastikan integritas. Beberapa metode pemahatan digunakan dalam algoritmenya, tergantung pada jenis file.
Sistem operasi modern tidak sepenuhnya menghapus file yang dihapus tanpa izin pengguna. File yang dihapus dapat dipulihkan melalui berbagai alat dan taktik forensik jika file yang dihapus tidak ditambahkan ke file lain. File yang rusak dapat dipulihkan jika data tidak rusak sehingga tidak dapat dikenali.
Ada banyak perbedaan antara pemulihan file dan ukiran file. Pemulihan file menggunakan informasi dari sistem file; dengan memanfaatkan informasi ini, beberapa file dapat dipulihkan. Jika informasinya salah, itu tidak akan berfungsi. Dengan munculnya ukiran file, penegak hukum, profesional teknologi, dan profesional forensik telah menemukan alat lain yang dapat digunakan untuk memulihkan data yang terhapus. Meskipun tidak selalu sempurna dan halus, alat seperti Terutama, Pisau Bedah, dan fotorec telah membuat rekreasi file lebih mudah dari sebelumnya.
