Jest to procedura, którą wykonuje się w sytuacji braku możliwości dotarcia do danych w sposób uporządkowany, z zachowaniem kompletnych atrybutów (np., wskutek nadpisania lub zniszczenia pliku MFT). Pliki odzyskane tą metodą pozbawione są części atrybutów - brak lokalizacji, praw, dat, nazw, długości (wyjątkiem są niektóre typy, które mogą mieć długość zapisaną w nagłówku, np. avi, bmp, mov, pst).

Skanowanie nośnika odbywa się z pominięciem systemu plików - skaner wyszukuje zadaną sekwencję bajtów, które znajdują się w początkowej części pliku, np. dla .jpg jest to FF D8 FF (hex). W efekcie otrzymujemy cały zbiór wszystkich plików, zaczynających się od ww. sygnatury, kolejno ponumerowanych.

Poniżej podajemy link do artykułu (naszego autorstwa) który ukazał się na łamach miesięcznika HAKIN9 (nr 3/2010) i opisuje w sposób praktyczny podstawowe metody działania dla tego typu sytuacji.

Sygnaturowe odzyskiwanie danych (RAW)

wróć do listy pojęć