skip to Main Content
 Lyon + 33 (0)4 28 04 01 48

COMMENT CRÉER DES RÈGLES DE RECHERCHE PERSONNALISÉES POUR LA RÉCUPÉRATION RAW

Dans la majorité des cas, Hexascan effectue une analyse approfondie des structures des systèmes de fichiers et interprète ces informations pour localiser et récupérer les données manquantes. Cependant, dans certaines circonstances, des enregistrements de service cruciaux peuvent être gravement endommagés ou même écrasés, comme lors du formatage, de l’initialisation ou d’autres manipulations avec le stockage. Il est alors impossible d’obtenir un résultat de récupération satisfaisant en utilisant l’approche mentionnée. Pour résoudre ce problème ou pour étendre le résultat obtenu, on peut activer IntelliRAW ou la méthode de « récupération brute« . Cette technique comprend la recherche de fragments prédéfinis de contenu de fichier ou de signatures de fichier (également appelés « nombres magiques »). Ces séquences binaires sont rencontrées avec un certain décalage au début et parfois aussi à la fin du fichier et peuvent être utilisées pour identifier des fichiers d’un certain type.

Hexascan contient déjà un vaste ensemble de règles IntelliRAW avec des signatures pour la plupart des types de fichiers courants, comme les documents, les images, le multimédia, les archives, etc. Cependant, en travaillant avec des formats de fichiers rares ou propriétaires, on peut vouloir étendre la liste disponible avec des règles personnalisées qui peuvent être chargées dans Hexascan et utilisées pendant le processus de récupération brute.

Un utilitaire spécial gratuit appelé éditeur de règles IntelliRAW offre la possibilité de définir facilement des types de fichiers personnalisés pour IntelliRAW ainsi que de nombreuses options pour leur configuration. Grâce à ce logiciel, vous pouvez :

  • Créer un nouveau fichier avec un type de fichier personnalisé, ouvrir un fichier existant et le compléter avec de nouveaux types de fichiers ou même fusionner les règles de plusieurs fichiers existants ;
  • Spécifier une extension de fichier qui sera attribuée aux fichiers trouvés du type de fichier personnalisé correspondant ;
  • Fournir un nom pour le type de fichiers qui sera également utilisé comme nom de dossier dans les résultats de la récupération brute ;
  • Spécifier une règle pour le démarrage du fichier en utilisant une ou plusieurs signatures sous la forme d’une séquence hexadécimale, d’une chaîne ASCII ou Unicode. Le logiciel peut être configuré pour scanner l’ensemble du bloc de données à la recherche du motif nécessaire, le trouver dans un bloc à un décalage donné ou diviser le bloc en sous-blocs d’une taille donnée et rechercher le motif à une position spécifiée.
  • Spécifiez une règle pour la fin du fichier :
    • Par une signature de remorque et un nombre déterminé d’octets après celle-ci ;
    • Par la taille du fichier définie comme un champ à un décalage donné avec une taille donnée. La valeur peut être multipliée par le nombre entier choisi et augmentée du nombre d’octets donné.

Le logiciel prend également en charge les commandes spéciales suivantes :

?

Masque 4 bits d’un nombre hexadécimal

p. ex. 0?11 peut signifier 0011, 0111…0F11

*N*

Toute valeur pour N octets

par exemple, g *12* signifie 12 octets

!N!

N’équivaut pas à la valeur en octets

e. g !0!, !FF!, etc.

{b,…}

Énumère les octets valides

e. g {00,?1,1F}

‘s’

Contient une chaîne ASCII

e. g ‘template

“s”

Contient une chaîne Unicode

e. g « template »

‘ s ‘

Contient une chaîne UTF-8

e. g ‘ template ‘

  •  

Rend toutes les chaînes suivantes sensibles à la casse

e. g. + « Template »

Rend toutes les chaînes suivantes insensibles à la casse

e. g – « template »

[XXX/YYY]

Correspond à la valeur hexagonale de XXX par le masque YYY

e. g [F80/FFC]

  • Définir les circonstances dans lesquelles le match aura lieu : 
    • Le format des données (binaire, ASCII ou Unicode)
    • Le champ d’analyse qui peut coïncider avec l’objet parent, être un sous-ensemble d’une taille particulière défini à un certain décalage ou par une signature hexadécimale donnée ;
    • Conditions de réussite : la règle définie peut être reglée pour s’appliquer à tous les cas, lorsqu’aucune des autres règles ne correspond, lorsque toutes les signatures définies sont trouvées ou lorsque l’une d’entre elles est réussie.

Pour définir votre propre type de fichier personnalisé et l’utiliser lors de l’analyse du stockage avec Hexascan, suivez la procédure indiquée :

1. Téléchargez, installez et lancez CI Hex Viewer. Cet utilitaire fournit des moyens pratiques pour analyser le contenu hexadécimal des fichiers sur la présence de signatures de fichiers

  • Ouvrez plusieurs exemples de fichiers au format requis dans CI Hex Viewer. Pour cela, utilisez la sous-rubrique « Un fichier » du menu « Ouvrir » et choisissez l’option « Le dossier en clair, tel qu’il est ». A titre d’exemple, nous utilisons cinq images JPEG simples.
  • Explorez les données binaires de chaque fichier ouvert pour trouver des modèles identiques, en particulier au tout début et à la fin. Parfois, il sera plus facile de naviguer en utilisant le champ de représentation du texte. Pour obtenir des résultats plus précis, vous devrez examiner autant de fichiers que possible. Dans nos exemples, nous pouvons voir que chacun des fichiers commence par la signature FF D8 FF (˙Ř˙) et se termine par FF D9 (˙Ů).

Note : Dans certains cas, il peut être difficile de faire la différence entre les véritables signatures de fichier et des modèles de données simplement similaires qui contiennent des informations de service. Si possible, essayez de prendre des échantillons de fichiers qui ne sont pas étroitement liés, par exemple, des vidéos enregistrées par différentes caméras.

  • Sélectionnez la ou les signatures trouvées et copiez-les dans le presse-papiers à l’aide de l’outil « Copier les données brutes ». Notez également la position de la première signature dans le champ « Début de la sélection ». Dans notre cas, il s’agit de 0x0.

2.  Maintenant que vous avez obtenu la signature de fichier nécessaire, vous pouvez créer un fichier avec des règles pour votre type de fichier personnalisé qui sera utilisé par Hexascan.  Pour cela, vous devez télécharger l'éditeur de règles IntelliRAW.

  • Exécutez le logiciel, créez un nouveau fichier en appuyant sur le bouton « Nouveau fichier » et cliquez sur « Nouveau type ». Dans l’onglet ouvert, indiquez le nom du type de fichier et l’extension du fichier. Dans notre cas, il s’agit d’images JPEG et jpg.
  • Définissez la signature obtenue pour le démarrage du fichier. Pour cela, appuyez sur le bouton « Démarrer » et collez la signature dans le champ « Rechercher ». Si la position de la signature est différente de 0x0, indiquez-la dans le champ « Position » et appuyez sur « OK ».
  • Si votre type de dossier comporte une signature pour la fin du dossier, prévoyez également une règle pour celle-ci. Pour ce faire, cliquez sur « Fin » et sélectionnez « Signature correspondante » dans le menu ouvert. Collez la signature de fin dans le champ « Recherche » et cliquez sur « OK ».
  • Si possible, fournissez des paramètres supplémentaires pour la recherche de fichiers ou continuez avec les paramètres par défaut.
  • Modifiez le statut de la règle en « actif » et enregistrez la règle créée dans un fichier en utilisant le bouton « Enregistrer le fichier ».

3.  Dans Hexascan, lorsque vous définissez les paramètres d'analyse, sélectionnez "Je suis intéressé par le résultat de la récupération par contenu connu" et activez "Je veux utiliser mes propres règles de recherche de données". Appuyez sur "Charger les règles", naviguez jusqu'au fichier "*.urrs" que vous avez créé et cliquez sur "OK".

Une fois la procédure terminée, Hexascan utilisera votre règle et fournira les fichiers trouvés avec son aide dans le dossier $Custom. Les fichiers se verront automatiquement attribuer de nouveaux noms car cette information n’est pas disponible avec la récupération brute. Vous devez également savoir que cette méthode a ses défauts et donne de mauvais résultats en cas de fragmentation importante des fichiers. De plus, s’il n’y a pas de signature claire pour la fin du fichier, beaucoup d’entre eux peuvent sembler endommagés.

Back To Top