Låt oss säga att den misstänkte har formaterat usb-minnet, men polisen vill ta reda på om minnet dessförinnan innehöll raderade bilder på den pistol som hittats på brottsplatsen.

1. Den misstänkte har formaterat sitt USB-minne för att dölja spåren efter pistolbilderna.

skärmbild

2. Vi kan inte se några raderade bilder i fil-listan.

skärmbild

3. Vi undersöker icke-allokerat utrymme (Unallocated Space) för att söka efter spår av raderade bilder och återskapa dem med så kallad file carving-teknik.

Det finns flera verktyg för file carving på både Windows och Linux. Några exempel är Testdisk, Scalpel, Formost, Photorec, FTK och Encase, men i vårt fall använder vi en manuell file carving-metod för att återskapa raderade filer genom att söka efter jpeg-signaturer.

Olika filtyper har olika signaturer. Bildfiler i jpg- eller jpeg-format startar med ”FFD8FF” som kallas filhuvud (header) och slutar med ”FFD9” som kallas för filfot (footer). För att återskapa en jpeg-fil karvar man allt mellan huvud och fot.

Vi kan börja undersöka första blocket av rådata som heter ”00005” under ”File List” nedan. Då kan vi se i HEX-rutan att filen i fråga började med ”FFD8FF” som tyder på att den mycket riktigt var i jpeg-format.

skärmbild

4. Vi högerklickar på filen ”00005” och exporterar den till en mapp som på skrivbordet som heter ”Återskapar raderade bilder”. Där sparar vi filen som ”1.jpg”.

skärmbild

5. I fillistan letar vi efter nästa bild inom samma fil ”00005” i oallokerat utrymme. Använd högerklick eller ”Find Next” och sök efter jpeg-huvudet ”FFDD8FF”. Detta kommer att peka direkt på nästa filhuvud, där nästa fil börjar.

skärmbild

6. Filhuvudet ”FFD8FF” på en jpeg-fil visas i visningspanelen. Samtidigt ser vi på högra sidan ascii-tecken på en jpeg-fil: ”ÿØÿ”.

skärmbild

7. Vi högerklickar på hexadecimalvisaren och väljer ”Set Selection Length”.

skärmbild

8. I ”Selection Size” skriver vi ¨filfoten på jpeg-filen i hex-format, FFD9.

skärmbild

9. Högerklicka på valda data och använd rullmenyn för att spara bilddata som ”2.jpg”.

skärmbild

10. Så lyckas vi återskapa andra bilden av pistolen med hjälp av filhuvud-och-fot-tekniken.

skärmbild

11. Nu försöker vi återställa den tredje bilden med samma metod som tidigare. Huvud och fot på en jpg-fil, och sedan sparar vi alla data mellan de två ändpunkterna och döper filen till ”3.jpg”.

skärmbild

12. Nu har vi lyckats återskapa alla tre bilderna från det formaterade usb-minnet.

skärmbild