Ch a p t e r   2 2   -   F i l e   S i g n a t u r e   A n a l y s i s  
261 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Select the file types for which a signature analysis is to be conducted.  
Note that the speed of the analysis is affected by the number of file types 
selected. File signatures are inbuilt into Forensic Explorer and cannot be added. A 
custom file signature can be created using a script. See Chapter 18 - Scripts 
Module, for more information on writing scripts. 
Figure 205, Selecting file types for signature analysis 
Logging & Priority:   See 7.5 – Logging and Priority. 
Pdf metadata viewer online - add, remove, update PDF metadata in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Allow C# Developers to Read, Add, Edit, Update and Delete PDF Metadata
batch edit pdf metadata; delete metadata from pdf
Pdf metadata viewer online - VB.NET PDF metadata library: add, remove, update PDF metadata in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Enable VB.NET Users to Read, Write, Edit, Delete and Update PDF Document Metadata
extract pdf metadata; change pdf metadata creation date
262 | Page 
Ch a p t e r   2 2   -   F i l e   S i g n a t u r e   A n a l y s i s  
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
22.4
EXAMINE THE RESULTS OF A FILE SIGNATURE ANALYSIS 
There are three columns which relate to file signatures: 
1.
Extension 
The Extension column lists the files given extension (i.e. the extension given 
with the file name). 
2.
File Signature 
The File Signature column is the result of the analysis of the file header. After 
a File Signature Analysis has been conducted for a file, the column either: 
a.
shows an extension: This means that it has been successfully 
identified as a file type contained within the Forensic Explorer 
signature list, shown in Figure 205 above; or, 
b.
is blank: This means that the file signature could not be matched 
against the files types contained in the Forensic Explorer signature 
list. 
3.
Extension Mismatch 
The Extension Mismatch column alerts the forensic investigator to any files 
where the identified signature does not match the current extension. These 
files are worthy of closer examination to determine the underlying reason. 
Results of a file signature analysis are shown in Figure 206 below: 
Figure 206, File System module columns relating to file extension 
VB.NET PDF- View PDF Online with VB.NET HTML5 PDF Viewer
NET edit PDF bookmark, C#.NET edit PDF metadata, C#.NET NET read barcodes from PDF, C#.NET OCR scan PDF. Viewer & Editors, C# ASP.NET Document Viewer, C# Online
change pdf metadata; change pdf metadata creation date
C# HTML5 PDF Viewer SDK to view PDF document online in C#.NET
PDF Online. Convert PDF Online. WPF PDF Viewer. View PDF in Image to PDF. Image: Remove Image from PDF Page. Edit URL. Bookmark: Edit Bookmark. Metadata: Edit, Delete
pdf metadata online; embed metadata in pdf
Ch a p t e r   2 3   -   D a t a   R e c o v e r y 
263 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Chapter 23 - Data Recovery 
In This Chapter 
CHAPTER 23
- DATA RECOVERY 
23.1
DATA Recovery - Overview .............................................................................................................. 264
23.2
FAT data recovery ............................................................................................................................ 265
23.2.1
FAT - Deleted files .......................................................................................................... 265
23.2.2
FAT - Recover folders ..................................................................................................... 269
23.3
NTFS data recovery .......................................................................................................................... 272
23.3.1
NTFS - deleted files ........................................................................................................ 272
23.3.2
NTFS - orphans .............................................................................................................. 273
23.3.3
NTFS - Recover Folders .................................................................................................. 274
23.4
File carving ....................................................................................................................................... 276
23.4.1
Carving advantages and limitations............................................................................... 276
23.4.2
Forensic Explorer file carving engine ............................................................................. 277
23.4.3
Carving using scripts ...................................................................................................... 280
VB.NET PDF - WPF PDF Viewer for VB.NET Program
NET edit PDF bookmark, C#.NET edit PDF metadata, C#.NET NET read barcodes from PDF, C#.NET OCR scan PDF. Viewer & Editors, C# ASP.NET Document Viewer, C# Online
pdf xmp metadata; extract pdf metadata
VB.NET PDF - Create PDF Online with VB.NET HTML5 PDF Viewer
NET edit PDF bookmark, C#.NET edit PDF metadata, C#.NET NET read barcodes from PDF, C#.NET OCR scan PDF. Viewer & Editors, C# ASP.NET Document Viewer, C# Online
edit multiple pdf metadata; acrobat pdf additional metadata
264 | Page 
Ch a p t e r   2 3   -   D a t a   R e c o v e r y  
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
23.1
DATA RECOVERY - OVERVIEW 
An essential part of computer forensics is the ability to recover evidence from deleted 
data. Forensic Explorer automates the following data recovery procedures: 
1.
Recovery of deleted files within the existing file system; 
2.
Recovery of orphaned folders in the existing file system; 
3.
Recovery of folders from unallocated clusters; 
4.
File carving from unallocated clusters. 
It is important for the forensic investigator to understand the methodology behind the 
recovery automation and to be able to validate recovery results manually. This chapter 
sets out to provide a description of the tools for automation and the methodology to 
validate search results.  
It should be noted that the success of data recovery will depend on many factors, 
including such things as;  
Subsequent disk activity which may have overwritten and corrupted data; 
The level of file fragmentation and the extent to which it can be tracked. 
An investigator should always critically examine data recovery results before drawing 
conclusions. 
C# HTML5 PDF Viewer SDK to create PDF document from other file
NET edit PDF bookmark, C#.NET edit PDF metadata, C#.NET NET read barcodes from PDF, C#.NET OCR scan PDF. Viewer & Editors, C# ASP.NET Document Viewer, C# Online
add metadata to pdf file; get pdf metadata
C# WPF PDF Viewer SDK to view, annotate, convert and print PDF in
PDF Online. Convert PDF Online. WPF PDF Viewer. View PDF in Image to PDF. Image: Remove Image from PDF Page. Edit URL. Bookmark: Edit Bookmark. Metadata: Edit, Delete
batch pdf metadata; add metadata to pdf programmatically
Ch a p t e r   2 3   -   D a t a   R e c o v e r y  
265 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
23.2
FAT DATA RECOVERY  
When a file is from a FAT file system, the content of the file remains available for 
recovery from those newly unallocated clusters. The original data will remain in each 
cluster up until such time as it is used to store new data and the previous content 
overwritten. If only a percentage of clusters are reused, then partial recovery, or the 
recovery of a data fragment, may still be possible. If all clusters are re-used, all original 
content is overwritten and destroyed. 
23.2.1
FAT - DELETED FILES 
Forensic Explorer automatically displays deleted files and folders in Folders view and 
File List view. They are marked with the following icons: 
Deleted file 
Deleted folder 
An example is shown in Figure 207 below: 
Figure 207, Deleted folders and files in File System module Folder view and File List view 
FAT - IDENTIFYING DELETED FILES 
In a FAT file system Forensic Explorer identifies deleted files by locating the 0xE5 
marker in the first byte a files directory entry.  
When a file is deleted on a FAT system its entries in the FAT table are reset. At this 
point, as far as the FAT is concerned, a deleted file no longer occupies physical space 
on the disk.  
C# HTML5 PDF Viewer SDK to view, annotate, create and convert PDF
This online HTML5 PDF document viewer library component offers reliable and excellent functionalities. C#.NET users and developers
pdf metadata viewer; delete metadata from pdf
VB.NET PDF Image Extract Library: Select, copy, paste PDF images
zonal information, metadata, and so on. Extract image from PDF free in .NET framework application with trial SDK components for .NET. Online source codes for
read pdf metadata java; adding metadata to pdf
266 | Page 
Ch a p t e r   2 3   -   D a t a   R e c o v e r y  
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
Importantly, the directory entry for a deleted FAT file retains the attributes for the 
starting cluster and the logical file size. Forensic Explorer uses the logical file size to 
calculate the total clusters used by the file. 
FAT - FILENAMES OF DELETED FILES 
Some deleted files will display in File List view of Forensic Explorer with an underscore 
as the first character, whilst other deleted files retain their original name. An example 
is shown in Figure 207 above with the deleted file ͞_UNNY.JPG͟ (originally called 
͞ UNNY.JPG) has it first character replaced, but Koala.JPG in the same folder retains 
its original file name. 
The starting character of as Short File Name (SFN) is overwritten when a file is deleted 
by the 0xE5 marker. For display purposes, Forensic Explorer replaces the first 
character with an underscore. 
Were a file has both a SFN and a Long File Name (LFN) directory entry, the missing first 
character of the file name is located in the LFN and is used by Forensic Explorer to 
display the full original file name. 
FAT - LOCATING DATA FOR A DELETED FILE ON DISK 
The following example details the methodology used by Forensic Explorer to identify 
and locate deleted files on a FAT formatted disk.  
In Figure 208 below, the parent folder of the file Koala.JPG is highlighted in Folders 
view: 
Figure 208, Animals folder selected in Folders view 
The directory entries for the parent are displayed in Hex view: 
Ch a p t e r   2 3   -   D a t a   R e c o v e r y  
267 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Figure 209, Animals directory showing 32 byte directory entries 
The directory entries show: 
That file ͞åOALA   .JPG͟ starts with the 0xE5 deleted file marker.  
It has both a short file name and long file name directory entry.  
Koala.JPG is then highlighted and its directory entries are decoded in Filesystem 
Record view, as show below in Figure 210: 
Figure 210, Decoded directory entry of "Koala.JPG" 
268 | Page 
Ch a p t e r   2 3   -   D a t a   R e c o v e r y  
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
The following information is observed: 
1.
The short filename is ͞_OALA.JPG͟  
2.
The starting cluster is 492; 
3.
The file size is ͞780831͟ bytes; 
4.
The long file name is ͞Koala.JPG͟ 
To manually calculate the number of clusters used by Koala.JPG, the following 
additional disk information is needed: 
1.
Bytes per sector; and 
2.
Sectors per cluster. 
This information is available by decoding the Volume Boot Record (VBR) with 
Filesystem Record view: 
To determine the number of clusters used by Koala.JPG, the calculation is: 
File size: 780,832 bytes / 512 bytes per sector = 1525.06 sectors 
1525 sectors  / 8 sectors per cluster = 190.63 clusters 
The number of clusters that can be attributed to Koala.JPG is 191. The file therefore 
starts at cluster 492 and finishes at the end of cluster 682.  
To see this information in Forensic Explorer, switch to the ͞File Extent͟ view which 
details the byte, sector and cluster positions of the file: 
Cluster Start: 
492 
Cluster End: 
682 
Ch a p t e r   2 3   -   D a t a   R e c o v e r y  
269 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Cluster Length:  191 
Sector Start 
11941 
Sector End 
13468 
Sector Length  1528  
Highlighting the sectors in disk view reveals the following picture: 
Figure 211, Display view of Koala.JPG 
23.2.2
FAT - RECOVER FOLDERS  
͞Recover Folders͟ is a method of searching unallocated clusters to find deleted or 
missing folders and their content. Recover Folders will often locate multilevel folder 
and sub folder structures and make them visible to the investigator within the File 
System module. For this reason it is recommended that a Recover Folders search be 
one of the first tasks undertaken by an investigator in a new case.   
To run a Recover Folders search, click the Recover Folders toolbar icon in the File 
System module: 
Figure 212, Recover Folders File System module toolbar icon 
This opens the Folder Carve options window: 
270 | Page 
Ch a p t e r   2 3   -   D a t a   R e c o v e r y  
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
Figure 213, Recover Folders options 
Name: 
Enter the folder name which will hold the recovered folders 
in the Folders view of the File System module. 
Source: 
A Recover Folders search must be run on an existing 
partition. Select the partition from the drop down menu. 
File Systems: 
Select the type of File System records for which to search. 
Logging & Priority:  
See 7.5 – Logging and Priority. 
When the ͞Recover Folders͟ command is executed on a FAT partition in Forensic 
Explorer, the program searches unallocated clusters for the ͞dot, double dot͟ 
directory entry signature 0x2E and 0x2E2E as well as LFN and SFN directory entry 
structures.  
The ͞Double Dot͟ is used to locate the parent folder and traverse up the directory 
tree. Eventually, by reason of the fact that located folders are not part of the existing 
file system, a parent folder will not be found. Forensic Explorer appends the results in 
a folder in File System module Folders view using the generic name ͞Folder Carve X͟, 
as shown below: 
Documents you may be interested
Documents you may be interested