Title (eng): Carving fragmented JPEG images

Author: Schildendorfer, B. (Bernhard)

Description (deu): St. Pölten, FH-Stg. Information Security, Master Thesis, 2012

Description (deu): File carving spezialisiert sich auf die Wiederherstellung von gelöschten Dateien und stellt damit einen wichtigen Teil der IT Forensik dar. Diese Diplomarbeit zeigt unterschiedliche Carving-Techiken und beschreibt einen spezialisierten Ansatz, um gelöschte, mehrfach fragmentierte JPEG Bilddateien wiederherzustellen. Um dieses Ziel zu erreichen ist ein tiefgehendes Verständnis über die interne Funktionsweise des JPEG Dateityps ist notwendig. Sowohl der verwendete Kompressionsalgorithmus, als auch das JPEG Containerformat, wird im Rahmen dieser Diplomarbeit beschrieben. Nach der Evaluierung der forensischen Techniken und JPEG Spezifikationen, wird der implementierte JPEG File Carver erläutert. Als Grundlage für die Entwicklung wird der Open-Source Carver ”Multimedia File Carver” verwendet, der um Algorithmen für JPEG file carving erweitert wird. Die beschriebenen Algorithmen ermöglichen es dem File Carver JPEG Dateiblöcke auf dem Speichermedium zu identifizieren, daraus Fragmente zu bilden und diese miteinander mit Bildverarbeitungsmethoden vergleichbar zu machen, um anschließend deren korrekte Reihenfolge ermitteln zu können. Abschließend wird der implementierte File Carver anhand eines zufällig generierten Dateisystem getestet. Um die Effektivität der umgesetzten Algorithmen zu erheben, werden die Resultate mit den Idealergebnisse verglichen und interpretiert.

Description (eng): As a major task of IT forensics, file carving focuses on recovering deleted files. This thesis shows different carving techniques and describes a specialized approach, how to restore deleted JPEG image files, which are fragmented into multiple parts. To achieve this, deep knowledge of the internal mechanics of the JPEG file type is needed. Both the compression algorithm and the internal file type structure are explained. After evaluating the forensic techniques and file type specifications, the implemented JPEG file carver will be described. As a basis for development, the open-source carver ”multimedia file carver” is used, which will be extended with algorithms needed for JPEG file carving. New algorithms are required to identify JPEG data blocks on the disk, group them to file fragments and compare those fragments to each other, in order to reorder them correctly. In the end of this thesis, the implemented file carver is tested with a randomly generated disk image, that contains five different JPEG image files and many other files with different file type. The carving results will be analyzed, to evaluate the effectiveness of the implemented carving algorithms.

Object languages: English

Date: 2012

Rights: © All rights reserved

Classification: File Carving; JPEG-Standard; Daten; Rekonstruktion

Permanent Identifier