Klasifikacija fragmenata datoteka

Klasifikacija fragmenata datoteka predstavlja važan izazov u digitalnoj forenzici, osobito u slučajevima kada su strukture datotečnog sustava oštećene ili uklonjene. Fragmenti datoteka često ne sadrže zaglavlja, završetke ni metapodatke, zbog čega njihova identifikacija postaje znatno otežana.

Ovaj rad daje pregled osnovnih pojmova vezanih uz file carving i fragmentaciju datoteka te analizira metode klasifikacije fragmenata prema tipu datoteke. Razmatraju se tradicionalni pristupi temeljeni na statističkim značajkama i n-gram metodama, kao i suvremene metode temeljene na dubokom učenju.

Poseban naglasak stavljen je na primjenu konvolucijskih neuronskih mreža, vizualnih reprezentacija fragmenata te naprednih neuronskih arhitektura koje postižu visoku točnost u suvremenim forenzičkim sustavima.

Digitalni uređaji danas pohranjuju ogromne količine podataka koji mogu predstavljati ključne dokaze u kaznenim, civilnim i internim istragama. Tijekom forenzičke analize često se nailazi na situacije u kojima datotečni sustav nije u potpunosti očuvan, primjerice kod formatiranih diskova, oštećenih particija, djelomično prepisanih medija ili memorijskih dumpova.

U takvim slučajevima forenzičari se ne mogu osloniti na metapodatke poput naziva datoteka, putanja ili zapisa u tablicama alokacije. Umjesto toga, analiziraju se sirovi nizovi bajtova pronađeni u nealociranom prostoru. Ti nizovi često predstavljaju fragmente nekadašnjih datoteka, no bez dodatne obrade nije moguće znati kojem tipu datoteke pripadaju.

Problem dodatno otežava činjenica da fragmenti često ne sadrže zaglavlja formata, da su veličine fragmenata male te da različiti tipovi datoteka mogu imati vrlo sličnu statističku strukturu. Zbog toga se u digitalnoj forenzici razvilo posebno područje istraživanja poznato kao klasifikacija fragmenata datoteka.

Cilj ovog rada je prikazati temeljne koncepte klasifikacije fragmenata, pregledati korištene metode te analizirati suvremene znanstvene pristupe ovom problemu.

File carving je tehnika digitalne forenzike koja omogućuje oporavak datoteka iz sirovih podataka bez oslanjanja na strukture datotečnog sustava. Umjesto metapodataka poput naziva datoteka i zapisa u tablicama alokacije, analiza se temelji isključivo na sadržaju bajtova pohranjenih na mediju.

Tradicionalne carving metode koriste prepoznatljive potpise datotečnih formata, prvenstveno zaglavlja i završetke datoteka. Nakon pronalaska zaglavlja, podaci se izdvajaju sve do odgovarajućeg završetka, čime se pokušava rekonstruirati izvorna datoteka. Ovakav pristup učinkovit je kada su datoteke pohranjene kontinuirano i kada njihovi potpisi nisu oštećeni.

Problem nastaje kod fragmentiranih datoteka, kao i kod fragmenata koji ne sadrže početak ni kraj datoteke. U takvim slučajevima klasične metode temeljene na potpisima često nisu primjenjive, jer fragmenti ne sadrže dovoljno strukturalnih informacija za pouzdanu identifikaciju.

Zbog toga se u suvremenoj digitalnoj forenzici razvijaju metode klasifikacije fragmenata datoteka koje se ne oslanjaju na zaglavlja i završetke, već analiziraju statističke i sadržajne karakteristike samih podataka.

Fragmentacija datoteka nastaje kada se sadržaj jedne datoteke pohranjuje u više nepovezanih dijelova diska umjesto u jednom kontinuiranom bloku. Do fragmentacije dolazi uslijed učestalog pisanja i brisanja datoteka, nedostatka slobodnog kontinuiranog prostora te načina rada operacijskog sustava i datotečnog sustava.

Nakon brisanja datoteke njezini se fragmenti u pravilu ne uklanjaju odmah s diska, već ostaju prisutni u nealociranom prostoru sve dok ne budu prepisani novim podacima. To omogućuje njihovu forenzičku analizu i potencijalni oporavak.

Međutim, fragmentirana pohrana znači da se dijelovi iste datoteke mogu nalaziti na fizički udaljenim lokacijama, bez međusobne veze. Takva struktura značajno otežava klasične metode file carvinga te predstavlja jedan od glavnih razloga za razvoj tehnika klasifikacije fragmenata datoteka.

Klasifikacija fragmenata ima ključnu ulogu u suvremenom file carvingu jer omogućuje analizu podataka u situacijama kada nedostaju strukture datotečnog sustava, zaglavlja i završeci datoteka. Umjesto oslanjanja na potpise formata, klasifikacija se temelji na karakteristikama samog sadržaja fragmenta.

Primarna svrha klasifikacije jest određivanje tipa datoteke kojem fragment pripada, čime se omogućuje razlikovanje, primjerice, slikovnih, tekstualnih, multimedijskih ili izvršnih podataka. Time se znatno smanjuje količina nepoznatih podataka koje je potrebno ručno analizirati te se olakšava filtriranje forenzički relevantnog sadržaja.

Osim identifikacije tipa datoteke, klasifikacija omogućuje grupiranje fragmenata prema formatu, što predstavlja važan preduvjet za kasniju rekonstrukciju fragmentiranih datoteka. Fragmenti istog tipa mogu se međusobno povezivati, analizirati i kombinirati korištenjem dodatnih heuristika ili algoritama rekonstrukcije.

Bez primjene klasifikacije forenzičar se suočava s velikom količinom nepovezanih i kontekstualno nepoznatih podataka, što znatno otežava analizu i povećava vrijeme potrebno za istragu. Zbog toga se klasifikacija fragmenata smatra jednim od temeljnih koraka modernih forenzičkih sustava za oporavak podataka.

Klasifikacija fragmenata datoteka može se definirati kao problem nadziranog učenja u kojem je ulaz niz bajtova fiksne duljine, dok izlaz predstavlja tip datoteke, primjerice JPEG, PDF, MP4 ili DOCX. Fragmenti se u pravilu analiziraju u veličinama od 512, 1024 ili 4096 bajtova, što odgovara tipičnim blokovima datotečnih sustava.

Analiza se provodi bez ikakvih dodatnih informacija, uključujući zaglavlja, završetke, nazive datoteka i metapodatke. Time se simuliraju realni forenzički uvjeti u kojima su dostupni isključivo izolirani dijelovi sirovih podataka bez konteksta.

Jedan od glavnih izazova predstavlja visoka entropija komprimiranih datoteka, zbog koje fragmenti često nalikuju slučajnim nizovima bajtova. Dodatni problem je sličnost pojedinih multimedijskih formata koji koriste usporedive kompresijske tehnike.

Ograničena veličina fragmenata smanjuje količinu dostupnih informacija, dok djelomično šifrirani ili prepisani podatci dodatno narušavaju strukturu sadržaja. Zbog potpunog nedostatka kontekstualnih informacija, klasifikacija fragmenata predstavlja složen i istraživački zahtjevan forenzički problem.

Prvi pristupi klasifikaciji fragmenata datoteka temeljili su se na ručno definiranim značajkama dobivenima iz statističke analize sadržaja bajtova. Cilj ovih metoda bio je izdvojiti obrasce koji se razlikuju među datotečnim formatima te ih koristiti za izgradnju klasičnih modela strojnog učenja.

Rani sustavi za klasifikaciju fragmenata oslanjali su se na osnovne statističke karakteristike podataka. Najčešće korištene značajke uključuju distribuciju frekvencije bajtova (Byte Frequency Distribution), Shannonovu entropiju te korelaciju između uzastopnih bajtova.

Distribucija frekvencije bajtova opisuje koliko se često pojedine vrijednosti bajtova (0 - 255) pojavljuju unutar fragmenta, čime se dobiva osnovni statistički profil datoteke. Shannonova entropija mjeri razinu nasumičnosti podataka, pri čemu viša entropija obično upućuje na komprimirane ili šifrirane sadržaje. Korelacija između uzastopnih bajtova koristi se za procjenu lokalne strukture podataka i stupnja ponavljanja unutar fragmenta.

Dobivene značajke koriste se kao ulaz u klasične klasifikatore poput Support Vector Machine (SVM) modela i Random Forest algoritama. Ovakav pristup omogućava relativno jednostavnu implementaciju i prihvatljive rezultate na manjim skupovima podataka, ali pokazuje ograničenja kod modernih formata s visokom entropijom.

N-gram metode proširuju osnovni statistički pristup analizom nizova od n uzastopnih bajtova. Umjesto promatranja pojedinačnih vrijednosti bajtova, analiza se provodi nad kratkim sekvencama, primjerice nizovima duljine 2 ili 3 bajta, čime se dobiva detaljniji uvid u lokalnu strukturu fragmenta.

Na taj se način djelomično zadržava informacija o redoslijedu bajtova, što omogućuje razlikovanje formata koji imaju sličnu globalnu statistiku, ali različite lokalne obrasce. Svaki fragment može se opisati vektorom koji predstavlja učestalost pojavljivanja pojedinih n-grama unutar sadržaja.

U praksi se često koriste tehnike preuzete iz obrade prirodnog jezika, poput TF-IDF vektorizacije, kako bi se n-grami pretvorili u numeričke značajke pogodne za klasifikaciju. Ovakav pristup u pravilu daje bolje rezultate od jednostavne distribucije bajtova, ali uz cijenu znatno većih računalnih zahtjeva i dimenzionalnosti značajki.

Unatoč svojoj jednostavnosti, klasične metode imaju značajna ograničenja. One zahtijevaju ručno dizajniranje značajki, što otežava prilagodbu novim formatima i povećava ovisnost o stručnom znanju.

Takvi pristupi slabo se skaliraju na velike skupove podataka, osjetljivi su na promjene veličine fragmenta te postižu ograničenu točnost kod suvremenih formata koji koriste napredne kompresijske i kodne tehnike. Zbog toga su postupno zamijenjeni metodama strojnog i dubokog učenja koje omogućuju automatsko učenje reprezentacija iz sirovih podataka.

Razvojem dubokog učenja ostvaren je značajan napredak u području klasifikacije fragmenata datoteka. Za razliku od tradicionalnih pristupa, koji se oslanjaju na ručno dizajnirane statističke značajke, modeli dubokog učenja omogućuju automatsko učenje reprezentacija iz sirovih podataka. Time se znatno smanjuje potreba za domenskim znanjem te povećava prilagodljivost modela različitim formatima datoteka.

Konvolucijske neuronske mreže (CNN) mogu se primijeniti izravno nad nizovima bajtova fiksne duljine, bez potrebe za ručnom ekstrakcijom značajki. U tom pristupu svaki bajt fragmenta mapira se u numeričku vrijednost ili vektorsku reprezentaciju, čime se sirovi binarni podaci pretvaraju u oblik pogodan za obradu neuronskim mrežama.

Nad dobivenim nizom primjenjuju se jednodimenzionalne konvolucije koje djeluju kao pomični filtri. Svaki filtar uči prepoznavati lokalne obrasce unutar fragmenta, poput karakterističnih sekvenci bajtova, ponavljajućih uzoraka ili tipičnih prijelaza vrijednosti. Takvi obrasci često proizlaze iz unutarnje strukture datotečnih formata, primjerice kodiranja tablica, blokova kompresije ili binarnih zaglavlja.

Primjenom više konvolucijskih slojeva mreža postupno gradi hijerarhiju značajki, od jednostavnih lokalnih uzoraka u nižim slojevima do apstraktnijih reprezentacija u višim slojevima. Zahvaljujući toj sposobnosti automatskog učenja značajki iz sirovih podataka, CNN modeli pokazuju znatno bolju otpornost na fragmentaciju, šum i odsutnost metapodataka.

Rezultati brojnih istraživanja potvrđuju da ovakav pristup nadmašuje klasične statističke metode, osobito kod fragmenata male duljine i modernih formata s visokom entropijom.

Alternativni pristup temelji se na pretvorbi fragmenata datoteka u grayscale slike, pri čemu svaki bajt predstavlja jedan piksel s intenzitetom u rasponu od 0 do 255. Na taj se način problem klasifikacije fragmenata transformira u problem analize slike.

Takva reprezentacija omogućuje primjenu standardnih dvodimenzionalnih CNN arhitektura koje su se prethodno pokazale iznimno uspješnima u području računalnog vida. Vizualni obrasci nastali ovom pretvorbom često odražavaju unutarnju strukturu podataka, osobito kod multimedijskih formata.

Eksperimentalni rezultati pokazuju da vizualne metode postižu vrlo visoku točnost kod formata poput JPEG, PNG i MP4, gdje se u slikama pojavljuju stabilni teksturni uzorci karakteristični za pojedine tipove datoteka.

Hibridni modeli nastoje objediniti prednosti različitih neuronskih arhitektura. Najčešći pristup uključuje korištenje CNN mreža za izdvajanje lokalnih značajki, dok se LSTM (Long Short-Term Memory) i srodne rekurentne neuronske mreže koriste za modeliranje sekvencijalnih odnosa između bajtova.

LSTM mreže posebno su dizajnirane za obradu sekvencijalnih podataka te posjeduju unutarnju memoriju koja omogućuje zadržavanje informacija iz ranijih dijelova niza. Time mogu učiti dugoročne ovisnosti i redoslijed elemenata, što kod isključivo konvolucijskih mreža nije izravno moguće.

U hibridnim arhitekturama izlaz CNN slojeva prosljeđuje se LSTM mreži, koja analizira odnose između izdvojenih značajki duž cijelog fragmenta. Takav pristup omogućuje istodobno iskorištavanje lokalne strukture i globalnog konteksta podataka, što se pokazalo posebno učinkovitim kod većih fragmenata u kojima redoslijed bajtova nosi dodatnu informativnu vrijednost.

Najnoviji istraživački radovi sve se više oslanjaju na složenije neuronske arhitekture koje nadilaze klasične konvolucijske i rekurentne modele. Među najzastupljenijim pristupima ističu se dual-branch arhitekture, attention mehanizmi te transformer modeli primijenjeni izravno nad nizovima bajtova.

Dual-branch modeli paralelno obrađuju isti fragment kroz dvije ili više grana mreže. Jedna grana najčešće je usmjerena na lokalne obrasce, dok druga modelira širi kontekst i dugoročnije odnose među podacima. Spajanjem rezultata postiže se robusnija reprezentacija fragmenta i smanjuje vjerojatnost pogrešne klasifikacije sličnih formata.

Attention mehanizmi dodatno unapređuju klasifikaciju omogućujući modelu da automatski procijeni koji su dijelovi fragmenta informativniji za donošenje odluke. Umjesto ravnomjerne obrade svih bajtova, model se može fokusirati na karakteristične sekvence, čime se smanjuje utjecaj šuma i povećava točnost klasifikacije, osobito kod fragmenata bez zaglavlja i završetaka.

Transformer modeli predstavljaju najnapredniji pristup u ovom području. Za razliku od rekurentnih mreža, transformeri koriste self-attention mehanizam koji omogućuje paralelnu analizu cijelog fragmenta. Time se učinkovito uče dugoročne ovisnosti između udaljenih dijelova niza bajtova, što je osobito važno kod većih fragmenata i složenih formata datoteka.

Zbog sposobnosti učenja i lokalnih i globalnih obrazaca, ovi modeli trenutačno postižu najbolje rezultate na suvremenim skupovima podataka. Međutim, njihova primjena često zahtijeva veće količine podataka, dulje vrijeme treniranja i znatno veće računalne resurse, što ih u praksi čini zahtjevnijima u odnosu na jednostavnije pristupe.

Klasifikacija fragmenata datoteka predstavlja jedan od ključnih izazova suvremene digitalne forenzike, osobito u situacijama kada su strukture datotečnog sustava oštećene ili u potpunosti nedostupne. Fragmentacija datoteka i prisutnost izoliranih dijelova podataka značajno ograničavaju primjenu tradicionalnih metoda file carvinga koje se oslanjaju na zaglavlja i završetke datoteka.

U radu je prikazan razvoj pristupa klasifikaciji fragmenata, počevši od ranih statističkih metoda temeljenih na distribuciji bajtova i n-gram analizama, pa sve do suvremenih metoda dubokog učenja. Dok su tradicionalni pristupi jednostavni za implementaciju, njihova učinkovitost opada kod modernih formata koji koriste napredne tehnike kompresije i šifriranja.

Metode temeljene na dubokom učenju omogućile su značajan napredak zahvaljujući sposobnosti automatskog učenja značajki iz sirovih podataka. Posebno su se učinkovitima pokazali CNN modeli nad nizovima bajtova, vizualne reprezentacije fragmenata te hibridne arhitekture koje kombiniraju više tipova neuronskih mreža. Najnoviji istraživački radovi dodatno unapređuju rezultate primjenom attention mehanizama i transformer modela.

Pregled literature pokazuje jasan trend prelaska s ručno dizajniranih značajki na end-to-end modele dubokog učenja, uz kontinuirano povećanje točnosti klasifikacije. Ipak, izazovi poput male veličine fragmenata, visoke entropije podataka i potrebe za velikim skupovima za učenje i dalje ostaju otvorena istraživačka pitanja.

Zaključno, klasifikacija fragmenata datoteka predstavlja važan temelj modernog file carvinga i nezaobilaznu komponentu digitalne forenzičke analize. Daljnji razvoj metoda u ovom području očekuje se kroz kombinaciju naprednih neuronskih arhitektura, kvalitetnijih skupova podataka i integraciju klasifikacije s postupcima rekonstrukcije datoteka.

[1] 🌐 File Fragment Classification Using Grayscale Image Conversion and Deep Learning in Digital Forensics

[2] 🌐 File Fragment Type Identification Based on CNN and LSTM

[3] 🌐 A Byte Sequence is Worth an Image: CNN for File Fragment Classification Using Bit Shift and n-Gram Embeddings

[4] 🌐 ByteNet: Rethinking Multimedia File Fragment Classification through Visual Perspectives

[5] 🌐 SIFT – File Fragment Classification Without Metadata

[6] 🌐 Hierarchy-Based File Fragment Classification

[7] 🌐 File Fragment Classification using Light-Weight Convolutional Neural Networks